港口

十月,欧洲法院(ECJ)裁定,欧盟-美国安全港条款是公司在欧盟和美国之间传输数据的一种简单方法,因此无效。这项15年的协议被取消是28岁的奥地利法律系学生Max Schrems提出的大胆法律挑战的直接结果。

Schrems能够收购看似坚不可摧的科技公司,并在用户权利方面取得了胜利,这使他赢得了许多人的赞誉,尤其是爱德华·斯诺登(Edward Snowden),他最初因揭露美国安全部门对欧盟的在线监视而引发了大西洋两岸的摩擦。 。 ECJ裁决的时机出乎意料,但其实际决定符合欧盟最近收紧数据隐私规则的模式。

美国隐私法比欧盟法律宽松。在裁定之前 安全港 是美国和欧盟之间折衷解决方案的框架。隐私程序。自2000年以来,安全港(Safe Harbor)允许位于美国的公司将符合欧洲隐私标准的欧洲公民的数据转移到美国。希望转移数据的公司必须就数据的处理方式签署七项原则,但是欧洲法院的裁决发出了一个强有力的信息,即用户隐私权需要法律的规定,而不仅仅是自我认证。自从《安全港》宣布以来,大西洋两岸的企业都必须审查他们收集,存储,处理和移动与欧盟公民有关的个人数据的方式。

企业将如何受到影响?

依赖免费数据传输的企业(如欧盟和美国)将处于困境。很多分析都集中在该裁决对美国社交媒体和其他互联网公司的意义上,但也将影响到美国云文件共享站点,例如Dropbox(及其使用其服务存储欧盟公民个人数据的客户),云服务供应商,在欧盟拥有买家的全球零售商以及管理欧盟公民个人数据的任何美国企业。

现在,全球公司的CISO开始争先恐后地寻求遵守新规定的方法。毋庸置疑,用户隐私非常重要,应该是一项基本权利,但是这项裁决的影响远不止Facebook和Google,后者在他们的组织中已经预见并已经解决了这一问题。这很可能会改变公司处理两大洲之间数据流的方式。欧洲和美国之间交换着大约一半的世界数据,而拒绝安全港意味着中小型企业都将发生巨大变化。

尽管我们尚不知道究竟将用什么来取代安全港,但我们知道日常业务将受到影响。在欧盟和美国之间提供服务和数据将变得更加困难。

所有关于数据隐私法规的问题听起来都很熟悉。还有哪些其他规则?

发现安全港不符合数据保护指令的要求。欧盟似乎越来越反对美国的数据隐私方法。曾经在其他决定(例如被遗忘权)的背景下看到的安全港裁定,明确表明“现在繁荣,以后再隐私”在欧盟将行不通。

尽管已就欧盟对拟议的数据保护计划的通用方法(通用数据保护法规)达成了一致,但实际法规仍在协商中,因此可以灵活地为这些公司提供明确的指导。但是,可以合理地假设这会影响该目标采用日期,即当前的年底。

企业如何为立法做准备?

最近 调查 ipswitch的研究表明,企业正在为未来的变化做准备,但步伐缓慢。尽管GDPR已经进行了近四年的磋商,但从2015年9月开始的民意调查显示,英国五分之一的企业仍然不知道这些更改是否将适用于他们,尽管他们确认确实存储并处理了个人数据,而69%的公司认为他们需要投资技术,以帮助他们根据新标准处理和存储数据。

那么,企业现在应该怎么做才能跟上步伐?

组织不应低估这种立法可能带来的负担。根据企业现有的数据传输惯例,安全港的决定可能需要进行深入的更改,并需要组织中的许多部门参与。这是帮助IT部门规划隐私合规性的五个步骤。

明确的问责制

鉴于对公司维护数据隐私的需求日益增长,任命数据保护官可能是非常好的第一步。许多公司已经这样做了,并且即将颁布的GDPR法规可能会坚持要求更多的公司效仿。 Gartner分析师卡斯滕·卡斯珀(Carsten Casper)对许多公司指出,“不管法律如何,都有一名隐私官是很有意义的”。

合规流程将需要C级参与,部门间协作,资源配置,预算签署和技术投资。无论公司采用哪种方法,都需要弄清组织中谁负责该项目。

审核您当前的做法

尽管企业需要一定时间才能达到合规性,但他们应立即开始审核其数据共享实践,包括使用诸如Dropbox之类的美国云共享服务,以便他们确切了解自己的立场并准备在未来采取行动发布了指导。审核还应考虑组织中的哪些人将受到更改的影响以及所需的支持。

计划解决当前合规性挑战具有良好的商业意义。质疑现在可以采用哪些流程,策略或技术来为您将来的项目服务。一个成熟,敏捷的组织的标志是其解决方案可以满足当今的需求,但具有足够的灵活性以适应未来的变化。

您最脆弱的地方在哪里?

随着安全港的报废,安全可靠地移动数据以支持关键业务流程成为人们关注的焦点。确保您的文件传输政策从未如此重要。在没有替代安全港系统的新指南的情况下,让我们假设接下来发生的一切都会更加严格,并且需要证据证明。

在数字经济日益成为规范的世界中,与合作伙伴,承包商或客户建立更好的联系具有良好的商业意义。管理客户,员工,合作伙伴,业务系统之间的所有文件的传输和存储可能很艰巨。一种可以帮助的技术是 托管文件传输,使数据可访问,并使IT部门拥有完全的控制权和可见性。

传播这个词

仅制定适当的安全数据传输策略已不再足够,组织必须确保其拥有正确的文件传输技术,安全系统,流程,完整的审计跟踪以及(最重要的是)员工培训。

您可以使用世界上所有的技术,但是如果您的员工不知道他们需要什么,那么您将失败。让您的员工为 新的数据保护要求 与准备好技术一样重要。

行动起来

欧盟国家/地区的国家数据保护机构一直在忙于对公司应如何进行日常工作进行审查,摘要并提供指导。在合同中使用示范条款一直是国家主管部门之间的一个激烈争论的问题,一些专家主张在没有进一步指导的情况下将其用作“创可贴”,而其他一些专家(例如德国监管机构)则认为这些是 不能代替安全港。在这里,当局是信息专员办公室。它的建议更加合理,有利于对程序进行紧急审查,而不是取消现有的数据传输方法。 ICO专门针对Dropbox等文件托管公司的主题,澄清了组织可以像以前一样继续使用它们 目前。重点是规划未来,以便在时机成熟时迅速实现合规性。

如果这一切听起来充其量是不便的,最糟糕的是,这是公司必须跳入的耗时的循环,那么就应该记住安全港裁决对我们全体公民的意义。这是个人隐私的一大胜利。对于企业来说,这也可能是一个巨大的胜利。为了解释物理学原理,创新令人厌恶。我认为,随着组织寻求更好的解决方案以对数字经济的挑战承担更大的责任,安全港带来的真空将被证明是一个改善的机会。

 

首席安全架构师David Juitt ipswitch

供电 字型