摘要：媒体警告说英国议会对网络攻击的准备不足，而也有报道称，美国证券交易委员会已经加强了处理违规的公司的规则，网络安全事件通常都将成为新闻头条。由于欧盟的“通用数据保护条例”(GDPR)将于5月25日生效，行业媒体关注的焦点进一步加剧。

    媒体警告说英国议会对网络攻击的准备不足，而也有报道称，美国证券交易委员会已经加强了处理违规的公司的规则，网络安全事件通常都将成为新闻头条。由于欧盟的“通用数据保护条例”(GDPR)将于5月25日生效，行业媒体关注的焦点进一步加剧。
　　
　　GDPR的影响范围广泛，对企业的违规行为处以巨额罚款，GDPR的实施标志着数据监管方式发生了巨大变化。新法律要求私营组织和公共实体在大多数情况下向监管机构报告数据泄露事件，这将对整个欧盟产生直接影响。
　　
　　与此同时，欧盟以外的组织（如以欧盟为目标消费者的美国公司）监测欧盟公民或向欧盟消费者提供产品或服务（即使免费）也必须遵守。
　　
　　英国退欧是不可避免的
　　
　　重要的是，对于英国公司来说，英国脱欧公司不是没有逃离监狱的证卡：英国不仅在GDPR的实施日期仍然是欧盟的一部分（因此GDPR将自动适用），但英国政府有除了承诺保留英国脱欧后的法律以减轻过渡之外，所有这些都进行了承诺。
　　
　　英国信息信息委员会（ICO）委员ElizabethDenham在去年的一次演讲中宣称，不应该将GDPR看作是一个惩罚的法规，而是一种可以用来建立隐私文化的框架”，企业对此做好准备不仅是可取的，而且至关重要。
　　
　　毕竟，随着媒体对网络安全的持续关注，触犯GDPR法规可能会造成重大的声誉损失，更不用说可能支付的高达2000万欧元的罚款或企业全球营业额的4％（以较高者为准）。
　　
　　鉴于收集和存储的信息量以及黑客可能利用的无线技术的潜在弱点，确保有效合规性的需求对于在物联网领域运营的数据中心和企业尤其明显。首先，企业应该意识到引入GDPR的以下关键点：
　　
　　•同意
　　
　　引入了关于数据收集的新规则，例如，某些类别的同意必须是“明确的”。现有的同意书可能不再有效，并且获得的同意书应该达到这个新的门槛。此外，默认情况下，包含隐私设置的物联网产品应设置为最符合隐私的设置，尽管用户可以选择在初始设置过程中更改这些设置。
　　
　　•增强个人权利
　　
　　新的权利将围绕（i）主题访问引入;（ii）反对处理;（iii）数据可移植性;和（iv）反对剖析等等。数据可移植性的权利使得个人可以请求将他们的数据以机器可读形式传输给第三方（也有可能是竞争对手）。
　　
　　•隐私政策
　　
　　公平处理通知现在需要更加详细，以便组织需要确保更新策略。
　　
　　•国际转移
　　
　　对于采用控制器和处理器的企业规则作为传输手段合法化的一种手段，将首次得到明确承认，因此应被视为欧洲经济区外数据传输的一个转移机制。此外，如果英国没有“数据交易”而离开欧盟，除非有保障措施，否则不允许在英国和欧洲之间转移个人数据。企业应该现在检查受影响的数据流，并制定英国脱欧后数据传输的应急计划。
　　
　　•违约通知需要在72小时内向监管机构报告违规行为的新规则以及受影响的个人（受条件限制），因此需要重新审视现行（或非现有）流程以适应这些规则。
　　
　　•责任
　　
　　至关重要的是，那些违反法规的企业将被要求遵守规定。例如：
　　
　　-（i）保存某些文件;
　　
　　-（ii）进行隐私影响评估;
　　
　　-（iii）按设计和默认实施隐私（在所有活动中），需要大量前期工作。
　　
　　例如，在开发物联网产品时，需要进行风险评估，以评估所收集数据的敏感性并检测潜在风险。
　　
　　不仅仅是一个快速修复
　　
　　这个立法的目的是促进整个组织的问责制。仅仅通过快速修复这种“开箱即用”的技术解决方案来应对是不够的，组织需要考虑真正的、积极的方面的合规性，并应至少优先考虑以下几点：
　　
　　•准备和更新数据安全违规计划-确保在需要时可以满足新规则。
　　
　　•建立问责制定框架-例如监督流程、程序和培训工作人员。
　　
　　•审查隐私声明和政策-确保这些是GDPR兼容的。例如，他们是否提供个人拥有的新权利？
　　
　　•审核企业的国际转账–企业是否有合法的基础来传输数据？转移后在英国退欧后如何继续转移？
　　
　　•审核企业的同意书–企业是否合法处理数据？企业是否被允许在GDPR下继续处理数据？物联网产品的默认隐私设置是什么？
　　
　　对于尚未考虑其义务的企业，建议尽快开始考虑GDPR下的合规性。遵守法规不仅对于保持客户的信任至关重要，还应该有助于避免对信誉和利润的重大损害。尽管GDPR的实施日期是2018年5月25日，企业事实上需要在2018年5月24日之前符合规定，因为不调查违规将于第二天开始。
　　
　　编辑：Harris