前些日子，國外調查組織的一項調研發現，在所有受訪公司中，只有20%的企業完全符合GDPR標準，53%正處于實施階段，27%尚未開始實施。雖然GDPR合規之路任重而道遠，但相比于去年的調查結果，過去的十個月已取得了長足的進步。

近期沸沸揚揚的Google、Facebook等著名互聯網大廠被訴案，這些企業一旦因此新規被判輸，將面臨超過50億美金的罰款，在許多在歐盟成員國有業務的國內企業也因為不能滿足GDPR合規性而暫停業務，而這還只是剛剛開始。不得不說，如今人們對個人隱私數據保護的重視正在成為影響企業運行發展的重要因素，筆者也相信，歐盟的GDPR將會成為世界各國互聯網安全立法學習的典范。就國內而言，2017年6月1日正式頒布實施的《網絡安全法》，第四十至五十條闡述了做為數據處理者和管理者等角色的責任和義務。相信在不遠的未來，國內也會出臺更具體的細則條例來支撐網安法的落地，提升對數據主體的權益。

在今年的5月25日，GDPR在歐盟地區正式全面實施，盡管只是一部只在歐盟區域內部實行的法律，卻也在國際范圍內引起了廣泛的關注。國內安全圈更不例外，一度興起了半個多月的討論熱潮。

在近兩個多月時間里，也偶爾在一些平臺看到幾篇關于GDPR的文章，但是絕大多數的內容僅僅停留在討論這部法律的規定有多么嚴苛，對企業提出了哪些新的要求，極少有文章在實際性的探討企業通過哪些手段去滿足GDPR的合規性要求(也可能是因為國內在做歐洲做生意的企業不多，很多企業無需為了GDPR改造優化自己的業務系統?)。

昨日看到Freebuf在推廣的一個關于GDPR的視頻，課程的開始簡要的介紹了GDPR的一些背景情況，如果你還不知道GDPR是什么，可以直接去看一看。

企業組織應該為GDPR做哪些技術措施方面的準備?

主講人結合GDPR的合規性要求，從數據流動傳輸的幾個主要過程一一闡述他以及IBM對此的認知和建議。

對應的五個關鍵技術措施場景：

場景一：發現和分類個人數據

高爽老師講到，在GDPR出臺前，很多企業對這些數據的梳理已經有了一些實踐，但這些實踐大都是一次性的，沒有一個長效的機制。個人數據被采集后，在企業內部的流動性很強，很多的業務環節都需要這些數據的支撐，僅通過梳理記錄文檔的形式不持久，并且沒有辦法動態的發現個人數據中存在的風險。企業需要一套方案或技術手段，對數據進行分類(屬性、標簽等)處理，并且應用到后續的各種安全策略中。

場景二：識別、修復數據系統安全風險

也即數據的周邊環境安全問題。首先是數據所依存的環境，數據庫、大數據系統等，企業需要持續動態的發現這些基礎設施中的安全漏洞問題。除了胸痛設施以外，還要對能夠接觸使用到這些數據用戶(相關數據庫、應用賬戶)的權限進行監控，及時發現越權賬戶并進行規避處理。

場景三：追蹤數據是如何處理的

也即要監控數據在內部各個環節流轉過程，發現違規訪問行為并發出警報并采取隔離措施。用戶變更、完全刪除個人數據滿足與證實。不僅要對主動采集的用戶信息進行保護，對從其他數據源中搜集到的數據也要進行同樣的保護跟蹤措施。

場景四：追蹤數據主體的訪問權，更正權，刪除權等權利

及時響應數據主體(個人)的要求(更正、刪除等)。這需要一套標準化的合規的流程，將需要的信息和流程環節整合。

場景五：組織需要具備安全問題管理和通知的能力(包括事件調查)

即：應急響應，每家企業對數據泄露后的應急處理也是GDPR所關注的重點，在條文中規定企業須在72小時內向監管機構匯報。

通過這個視頻，筆者對從技術場景角度滿足GDPR合規性要求有了一定的了解(稍稍吐槽下，硬廣略多，期待大廠專家能多分享干貨，少賣廣告)，對于不“出海”的企業而言似乎用什么實際意義，畢竟國內企業對公眾個人數據的處理……當然，作為一個大數據多年的從業者，筆者對如何幫助企業滿足國內法律要求也有了大致的技術思路，能滿足GDPR合規性要求的一定可以滿足國內法律要求，你說呢?