书接上文：【热点】当GDPR来敲门（上）

GDPR合规实践

由于绝大部分中国出海企业在欧盟并没有办事机构，而是通过上架应用或者代理商的方式开展业务，因此，下面主要讨论只在欧盟发行业务而没有办事机构，或者没有专门欧盟业务，而有欧盟用户的情况下的合规实践。

具体应对措施

下面根据是否保留欧盟市场分开讨论。

保留欧盟市场

不在欧洲发行，有少量用户问题不大，不需要采取应对措施，这时触发GDPR的可能性不大。但如果有大量用户，比如总用户数超过10万等，这时就要谨慎应对了。

总体思路

• 企业需要表明立场，同时付诸行动：发公告、在技术实现或者流程限制上做出表示。
• 修改用户协议与隐私政策

1. 秉承公平公正的原则，应当通知用户，经过授权才能拿；
2. 使用目的应当符合使用场景，而不是以借口a用于b；

• 为用户提供更多管理个人信息的权限

1. 给用户提供迁移和删除权限以及手段
2. 安全事件主动通知，确保用户知情权

• 数据处理方式

1. 如果对外传输的数据经过脱敏（ip hash或者用户标识符 hash等），只要不可逆就是可以的， 也可以在欧盟内分析再传回国内。
2. 欧盟市场的产品七层流量统一走https

• 执行情况
  具体适用需要看国际法，如果GDPR与中国法律冲突，需要按照国际法去选择

退出欧盟市场

放弃欧盟市场的采用ip地址库封掉ip即可

不应该走捷径或者耍小聪明

• GDPR内公有云不同region流通数据是否合规需要确认，但DPD是允许的
• 同样的，企业私有云或者走内网/vpn跨境传输数据也应当纳入GDPR考虑范围内
• 不走空中传输，先到公有云然后走内网回国内，也在GDPR保护范围内，因为Processor也受监管

Processor的选择

大部分中国互联网公司出海，业务都承载在公有云之上。此时公有云自然而然就成了GDPR的Data Processor，此外随着大数据分析的需要或者开放平台的需求，企业也会给第三方开放接口，多少会涉及到用户数据，比如微信、新浪微博开放用户昵称、头像等信息。与此同时，互联网应用无法避免应用分发的问题，需要接入其他厂商的sdk，那么用户数据不再是通过企业后端接口获取，而是直接在客户端获取了。所以，对于公有云、第三方厂商、渠道商需要谨慎选择，确保对方也符合GDPR要求才行，严格遵循最小权限原则、有限授权、认证与审计并重、同步监控报警以及准备紧急事件应对方案。

• 公有云：目前AWS、GCP、Azure等都提供了GDPR支持服务，其中AWS是在2017年初已经提供了完备的GDPR用户文档，并宣布自身满足GDPR，相对而言另外几家上线服务较晚，基本都是2017年之后陆续推出的。
• 第三方厂商：对于第三方厂商的选择需要注意Facebook的前车之鉴：给剑桥分析提供接口获取数千万用户的政治观点暴露。
• 渠道商：外部sdk的接入，使渠道商也能在客户端获取到用户信息。

延伸话题

GDPR本地化

当前国内立法紧跟国际趋势，在立法效率和立法标准上与欧美不遑多让，我国国家质量监督检验检疫总局和国家标准化管理委员会在2017年12月29日发布，2018年5月1日正式实施的一部关于我国公民个人隐私安全保护重磅技术标准：《信息安全技术 个人信息安全规范》（GB/T 35273—2017）（以下简称《个人信息安全规范》或《规范》），与GDPR不同的是，该标准不是一部强制性标准而是一部推荐性标准。 该规范具有以下4个特点：

• 充分考虑标准在多方诉求方面的平衡性标准的编制不仅考虑了个人对信息保护的诉求，也同时考虑了社会发展应用的需求、国家安全的需求。做到多方的价值平衡。

• 立足国内现有的法律、法规、规章、标准标准的编制考虑到与现有法律、法规、规章、标准要求的一致性。包括全国人大常委会《关于维护互联网安全的决定》、全国人大常委会《关于加强网络信息保护的决定》、《刑法修正案(五)》、《刑法修正案(七)》、《刑法修正案(九)》、《电信和互联网用户个人信息保护规定》、《信息安全技术公共及商用服务信息系统个人信息保护指南》（GB/Z28812-2012）、《信息安全技术信息技术产品供应方行为安全准则》（报批稿）等。

• 参考对标国际最先进的规则和立法标准的编制参考了在个人信息保护方面最先进的国外立法。例如， OECD（经济合作与发展组织）隐私框架、APEC（亚洲太平洋经济合作组织）隐私框架等国际规则，欧盟《通用数据保护条例》（GDPR）、欧美“隐私盾”（EU-US Privacy Shield）协议、美国“消费者隐私权法案”（Consumer Privacy Bill of Rights）等欧美个人信息保护方面的立法。

• 不是自成一体而是与国际接轨标准的编制在内容上与国际标准接轨，主要参考ISO/IEC 29100系列标准，包括：ISO/IEC 29100《隐私保护框架》、ISO/IEC 29101《隐私体系架构》、ISO/IEC 29190《隐私能力评估模型》、ISO/IEC 29134《隐私影响评估》、ISO/IEC29151《个人可识别信息保护指南》等。此外，还有美国的保护个人身份信息机密性指南（NIST SP800-122）、联邦信息系统隐私与安全控制（NISTSP800-53）；欧盟的数据保护审计实践清单（CWA 15262:2005），管理者的自评估框架（CWA 16112:2010），个人数据保护良好实践（CWA 16113:2010）等。

GDPR与企业安全建设

GDPR通过TOMs落地，其中要求身份标识与访问控制、日志与审计、备份恢复、开发/测试数据集分离、监控与告警、加密等技术手段。其中大部分属于企业信息安全体系的重要内容，相信借着这个机会，很多企业也会重新梳理自己的安全体系架构。下面按照安全技术体系和组织规范建设分别展开。

安全技术体系

• 构建企业网络边界入侵检测系统
• 启用内部审计UEBA系统
• 在网络与系统边界实施访问控制
• 信息采集、存储支持高可用和端-管道-端的统一加密

安全组织规范建设

• 需要1个企业级安全应急响应中心（SRC），对外接收安全漏洞与威胁情报，对内组织漏洞修复与安全加固
• 需要有明确的数据流转规范，确保敏感数据被加密、隔离，并执行有效的访问控制策略
• 需要重视软件供应链安全，确保员工使用安全的工具办公
• 需要开展安全教育与培训，避免员工因安全意识薄弱被利用

参考资料

GDPR官方文档

GDPR检查列表

隐私保护与数据安全-RSA2018后记

GDPR实务

至今为止GDPR《通用数据保护规范》解释的最清楚的文章

EU GDPR：金融机构需注意的GDPR要点分析

GDPR合规安全技术措施循序渐进

本文来自网易实践者社区，经作者林伟壕授权发布。未经许可请勿转载。