“我們很難想象，在一個(gè)高度信息化和數(shù)字化的社會(huì)，對(duì)于極富價(jià)值的信息和數(shù)字本身，缺乏妥善的管理和保護(hù)�！�

——羅黎

這是TüV萊茵大中華區(qū)數(shù)據(jù)化與信息安全副總裁羅黎在接受媒體采訪時(shí)的觀點(diǎn)。步入2019年，信息安全形勢(shì)似乎越來(lái)越嚴(yán)峻。在數(shù)字經(jīng)濟(jì)中，數(shù)據(jù)和信息技術(shù)安全日漸成為組織成功與否的關(guān)鍵因素，如：蘋果公司就將隱私保護(hù)作為重要賣點(diǎn)展現(xiàn)在宣發(fā)方案及廣告上。

于2018年5月生效的歐盟《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱GDPR）為市場(chǎng)帶來(lái)了許多未知數(shù)。在該條例實(shí)施的幾個(gè)月后，葡萄牙一家醫(yī)院因擅自查閱患者檔案和信息被葡萄牙數(shù)據(jù)保護(hù)局罰款40萬(wàn)歐元。

盡管該條例總體執(zhí)行的速度相對(duì)較慢，首次罰款的額度也較低，但顯而易見(jiàn)，不只是歐盟，GDPR已經(jīng)在全球范圍內(nèi)對(duì)數(shù)據(jù)保護(hù)產(chǎn)生重大影響。對(duì)大多數(shù)行業(yè)來(lái)說(shuō)，與其將自己局限于遵從區(qū)域范圍內(nèi)的隱私條款，還不如選擇開(kāi)發(fā)和設(shè)計(jì)符合全球標(biāo)準(zhǔn)的產(chǎn)品和服務(wù)更能節(jié)約成本。

GDPR的重要性凸顯

羅黎在電子電器領(lǐng)域有超過(guò)十五年的檢驗(yàn)、檢測(cè)及標(biāo)準(zhǔn)制定的經(jīng)驗(yàn)。

那么，基于當(dāng)前GDPR對(duì)企業(yè)獲取用戶信息的管控，個(gè)人與企業(yè)對(duì)信息保護(hù)的邊界在哪里？

面對(duì)OFweek編輯提出的問(wèn)題，羅黎作出了兩點(diǎn)解釋：“一是如何正確理解GDPR對(duì)歐洲公民個(gè)人數(shù)據(jù)的保護(hù)；二是中國(guó)企業(yè)產(chǎn)品及服務(wù)在歐洲運(yùn)行的合法性�！�

對(duì)于個(gè)人數(shù)據(jù)的保護(hù)，GDPR有明確和細(xì)致的規(guī)定，其主要是查閱權(quán)、被遺忘權(quán)、限制處理權(quán)和數(shù)據(jù)移植權(quán)等方面。

作為保護(hù)歐洲公民個(gè)人數(shù)據(jù)安全的條例，GDPR對(duì)于中國(guó)企業(yè)最大的挑戰(zhàn)莫過(guò)于企業(yè)向歐洲公民或者市場(chǎng)提供產(chǎn)品或者服務(wù)時(shí)，必須自覺(jué)保護(hù)公民的隱私安全。如中國(guó)的智能家電企業(yè)將產(chǎn)品售賣到歐洲，這臺(tái)智能電視及背后的企業(yè)要進(jìn)行GDPR符合性方面的準(zhǔn)備。

諸多以安防監(jiān)控為主的企業(yè)不僅僅售賣單一的攝像頭，其業(yè)務(wù)范圍更多地?cái)U(kuò)展到整個(gè)社區(qū)的安防系統(tǒng)，如果中國(guó)企業(yè)需要售賣整套的安防系統(tǒng)，其系統(tǒng)內(nèi)的攝像頭、服務(wù)器及處理流程會(huì)產(chǎn)生諸多數(shù)據(jù)，在這種的情況下，中國(guó)出口企業(yè)就要考慮到是否觸犯了歐洲的GDPR，提前在整套系統(tǒng)設(shè)計(jì)過(guò)程中進(jìn)行充分的準(zhǔn)備。在這個(gè)領(lǐng)域，TüV萊茵一直幫助出口企業(yè)按照GDPR在產(chǎn)品、系統(tǒng)、方案及云等多個(gè)層面進(jìn)行多維度的評(píng)估，盡力避免因觸及法律而引發(fā)的多重風(fēng)險(xiǎn)。

GDPR產(chǎn)品檢驗(yàn)層的三個(gè)步驟

羅黎說(shuō)，目前中國(guó)出口歐洲的企業(yè)分布于多個(gè)行業(yè)如電子電器、消費(fèi)品等，面對(duì)紛繁復(fù)雜的產(chǎn)品檢驗(yàn)層，TüV萊茵進(jìn)行了邏輯上的規(guī)整，其做法可分為三個(gè)步驟：

首先，梳理產(chǎn)品工作過(guò)程中涉及到與個(gè)人相關(guān)的敏感數(shù)據(jù)。羅黎解釋道，不論是冰箱、電視還是視頻攝像頭，不同的應(yīng)用環(huán)境會(huì)涉及不同的個(gè)人數(shù)據(jù)，因此，第一步需甄別這些數(shù)據(jù)是否為敏感數(shù)據(jù)。

第二步，在產(chǎn)品和云平臺(tái)的實(shí)現(xiàn)過(guò)程中，TüV萊茵會(huì)根據(jù)數(shù)據(jù)流的走向進(jìn)行分析，了解這些數(shù)據(jù)的傳輸過(guò)程，包括如何實(shí)現(xiàn)終端與云端的數(shù)據(jù)互通，以及數(shù)據(jù)存儲(chǔ)的位置等。

第三步，排查數(shù)據(jù)傳輸過(guò)程中每個(gè)環(huán)節(jié)是否能夠有效控制，如傳輸過(guò)程中傳輸?shù)膮f(xié)議是否加密，以及通過(guò)何種方式進(jìn)行加密保護(hù)，會(huì)不會(huì)通過(guò)特殊的渠道被第三方輕易獲取等。

成果方面，TüV萊茵與國(guó)內(nèi)諸多領(lǐng)先企業(yè)進(jìn)行了基于GDPR的隱私保護(hù)方面的合作。在智能家電及視頻監(jiān)控等領(lǐng)域，從產(chǎn)品、云端到體系三個(gè)層面，TüV萊茵均有不同的解決方案。

提及國(guó)內(nèi)隱私保護(hù)法案，羅黎對(duì)OFweek編輯表示，我國(guó)早于2016年發(fā)布了網(wǎng)絡(luò)安全法，業(yè)內(nèi)周知的隱私保護(hù)條例尚在制定中，目的是保護(hù)公民的個(gè)人隱私。

羅黎預(yù)測(cè)，中國(guó)版的個(gè)人隱私保護(hù)條例可能會(huì)和網(wǎng)絡(luò)安全法配合使用。各個(gè)國(guó)家將對(duì)個(gè)人隱私的保護(hù)越來(lái)越重視，前不久美國(guó)出臺(tái)的《2018年加州消費(fèi)者隱私法案》（CCPA），旨在加強(qiáng)消費(fèi)者隱私權(quán)和數(shù)據(jù)安全保護(hù)，該法案有很多條例與GDPR類似，隨著數(shù)字化的發(fā)展和信息安全以及隱私保護(hù)越來(lái)越受重視，隱私保護(hù)將成為未來(lái)國(guó)際貿(mào)易中的重要法則。

人工智能是重要的研究方向

羅黎及其團(tuán)隊(duì)同時(shí)與全球的數(shù)字化團(tuán)隊(duì)在人工智能、人臉識(shí)別、自動(dòng)駕駛等領(lǐng)域進(jìn)行密切的合作。在研究方案中，其數(shù)字化團(tuán)隊(duì)會(huì)給客戶提供專業(yè)的方向預(yù)判或研究報(bào)告。

羅黎表示，國(guó)內(nèi)諸多領(lǐng)先企業(yè)也意識(shí)到，技術(shù)的應(yīng)用會(huì)涉及信息安全風(fēng)險(xiǎn)。針對(duì)這些風(fēng)險(xiǎn)，國(guó)內(nèi)科技領(lǐng)頭企業(yè)開(kāi)始著手人工智能方面的研究，如視頻監(jiān)控過(guò)程中“是否會(huì)采集過(guò)量數(shù)據(jù)”等。而國(guó)際科技巨頭則將隱私保護(hù)放在廣告的第一項(xiàng)，這是互聯(lián)網(wǎng)及科技企業(yè)進(jìn)步的標(biāo)志，也是TüV萊茵現(xiàn)階段努力推動(dòng)的目標(biāo)。

組建專業(yè)團(tuán)隊(duì)為客戶提供定制化方案

TüV 萊茵的全球數(shù)字化與信息安全團(tuán)隊(duì)超過(guò)一千人。目前，他在中國(guó)的幾個(gè)大城市，如北上廣深、香港和臺(tái)北都有專門的技術(shù)團(tuán)隊(duì)。

羅黎出席多個(gè)信息安全相關(guān)論壇

他說(shuō)：“談信息安全就不得不提及底層技術(shù)保障，我們分別在上海、深圳建立滲透性測(cè)試實(shí)驗(yàn)室，并組建了專業(yè)的滲透測(cè)試團(tuán)隊(duì)，他們從黑客的角度去審視產(chǎn)品、Web端、App或者云端是否存在漏洞。”

羅黎相信，每一個(gè)管理者或者員工都有自己的管理風(fēng)格和做事方法。但是他比較推崇的是多元化的管理，根據(jù)環(huán)境及團(tuán)隊(duì)成員的情況，以區(qū)別化的激勵(lì)方法和溝通方式達(dá)到管理目標(biāo)。

羅黎所在的信息安全團(tuán)隊(duì)有兩個(gè)技術(shù)方面的大團(tuán)隊(duì)，一個(gè)是從技術(shù)角度出發(fā)，基于網(wǎng)絡(luò)攻擊模式分析而進(jìn)行滲透性測(cè)試的團(tuán)隊(duì)；另一個(gè)則是從管理方案和流程導(dǎo)入出發(fā)，代表TüV萊茵為客戶提供特定解決方案的資深顧問(wèn)�？梢韵胂螅瑢�(duì)于他來(lái)說(shuō)，最大的挑戰(zhàn)，在于平衡各方的意見(jiàn)和風(fēng)格，為客戶提供最合適的服務(wù)方案。

羅黎向OFweek編輯表示，優(yōu)秀的團(tuán)隊(duì)能充分發(fā)揮每個(gè)成員的優(yōu)勢(shì)，為客戶提供更合適、有效的解決方案。

TüV萊茵《2019年網(wǎng)絡(luò)安全趨勢(shì)概要和展望白皮書(shū)》于8月1日發(fā)布，內(nèi)容包括全球范圍內(nèi)關(guān)于信息安全和數(shù)據(jù)保護(hù)的八大趨勢(shì)和預(yù)測(cè)，探討了網(wǎng)絡(luò)犯罪的演變?nèi)绾斡绊懢W(wǎng)絡(luò)環(huán)境，如運(yùn)營(yíng)技術(shù)、物聯(lián)網(wǎng)，以及它對(duì)長(zhǎng)期技能短缺、管理層之間的權(quán)力平衡的影響。同時(shí)，預(yù)測(cè)了紅隊(duì)滲透測(cè)試、敏捷安全、安全自動(dòng)化、機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析等概念將日益成熟。即刻下載白皮書(shū)了解更多詳情，同時(shí)可免費(fèi)獲得企業(yè)app安全掃描（Quick Scan）。