今年4月份，歐盟通過了一項新立法 通用數(shù)據(jù)保護條例(GDPR)。根據(jù)對超過20,000個云服務的調(diào)查分析，只有6%的云服務完全符合該法規(guī)。

這個新的標準化的數(shù)據(jù)保護法律最遲將于2018年春季在歐盟所有成員國內(nèi)實施。嚴格意義上講，也包括英國。盡管發(fā)生了英國退歐公投事件，但是在調(diào)用第五十條啟動離開過程的兩年時間內(nèi)英國仍將是歐盟的正式成員。并且，第五十條目前尚未被調(diào)用。

我們做一個簡單的自動假設，如果將數(shù)據(jù)放在云端，就免除了對數(shù)據(jù)的責任，并將責任轉(zhuǎn)接給了云服務提供商。但是事實并非如此，GDPR對數(shù)據(jù)管理者和數(shù)據(jù)操作員做出了區(qū)分，管理者負有主要責任。如果一個公司在云中存儲或使用數(shù)據(jù)，那么該公司就是數(shù)據(jù)的管理者， 在GDPR之下就要對數(shù)據(jù)負責。此外，GDPR即不受限于公司的國籍，也不受限于云服務的地理位置 所以只要涉及到一個歐洲公民的個人數(shù)據(jù)，那么GDPR就適用。

這實際上意味著將歐洲公民的個人數(shù)據(jù)存儲到云中會降低公司符合GDPR規(guī)定的程度。根據(jù)Skyhigh的分析。這是一個令人擔憂的問題。 云服務仍然是所有企業(yè)的關(guān)鍵，但歐盟GDPR使得云服務的立即可用變得困難重重。 Skyhigh Networks的首席歐洲發(fā)言人Nigel Hawthorn說到。 簡單地說， GDPR中的標準條款和條件，使得幾乎所有和云服務相關(guān)的公司都不再適合在歐洲做生意。一旦歐盟開始執(zhí)行GDPR，那么幾乎所有的公司都需要重新審核和談判，或者被直接駁回。

舉例來說，84%的云服務不會在合同終止時立即刪除客戶數(shù)據(jù)。所以，一旦這些數(shù)據(jù)包含了歐洲公民的個人信息，那么馬上該項云服務就違反了GDPR。

Skyhigh還指出，只有1%的云服務會在24小時內(nèi)提供安全事件通知。GDPR要求數(shù)據(jù)管理者(記住，是指云服務的客戶而不是云服務提供商)在72小時內(nèi)通知相關(guān)數(shù)據(jù)保護監(jiān)管機構(gòu)。很明顯，這是幾乎是不可能的，因為大量的云服務用戶會違反GDPR的通知要求。

用戶IP則是另一個問題。Skyhigh指出，58%的云服務不能提供IP所有權(quán)的保證。一些云服務可能會取得所有上傳IP的所有權(quán)，而其他的云服務根本無法做出保證。在某種程度上，這只是一個簡單的業(yè)務問題;但是Skyhigh再一次聲明，如果它包含了歐洲公民的個人數(shù)據(jù)，那么就會牽涉到GDPR。

此外，關(guān)于云服務和GDPR有兩個問題需要仔細考慮。第一個問題是：現(xiàn)在的制裁力度與早些時候相比，有了大幅度的提高，現(xiàn)在最高可以罰款2000萬歐元，即全球前一財政年度的年營業(yè)額的4%。第二個問題是：監(jiān)管機構(gòu)肯定會考慮公司做出的 努力 。如果一個公司可以表明它已經(jīng)做出了努力去符合GDPR的規(guī)定，那么監(jiān)管機構(gòu)可能不會對該公司開出最大罰款。

當考慮歐盟GDPR時，不只是 服從或不服從 , 安全或不安全 那么簡單， Skyhigh 說到。 該規(guī)定超過100條，這是一個龐大并且復雜的問題，需要每個公司在評估很多變量之后做出自己的判斷。 所有這一切都意味著，GDPR規(guī)定只是其中一個因素(盡管它是一個嚴重的因素)，但是現(xiàn)有CISOs還存在一個主要問題即對云供應商的管理。對此，Skyhigh為其客戶提供了一項免費服務，可以對其云提供商是否合乎GDPR規(guī)定進行評估。

那么，面對GDPR，企業(yè)到底該何去何從?這個問題只有留待時間來解決了。

責任編輯：hang

文章編輯：CobiNet(寧波)  
本公司專注于電訊配件,銅纜綜合布線系列領域產(chǎn)品研發(fā)生產(chǎn)超五類，六類,七類屏蔽網(wǎng)線/屏蔽模塊及相關(guān)模塊配件, 我們是萬兆屏蔽模塊，10G屏蔽模塊，屏蔽線生產(chǎn)廠家。

歡迎來電咨詢0574 88168918,郵箱sales@cobinet.cn，網(wǎng)址78867.cn