投票脱离欧盟之后,为了使其与欧盟的通用数据保护条例一致,英国于上周提出了新数据保护法,包括被遗忘权、巨额罚款和新的数据收集规则,预计在秋季发布。众多安全专家分别对新数据保护法进行了解读。
独立于任何欧洲立法,英国政府正推出自己的“被遗忘权”(也被称为“删除的权利,是隐私权在互联网时代延伸出来的一种新的权利类型),用来增加人们对他们的数字数据的控制。英国数字部长马特.汉考克上周宣布的这项新数据保护法案,预计将于9月推出,为英国脱欧做准备。
社交媒体平台将被要求删除儿童和成人的信息,这是为了纠正一种情况,政府的研究显示80%的人认为他们没办法完全控制他们在网上的数据。
网络安全行业对此举表示欢迎,不过它警告说,此举强化了企业要知道自己拥有什么数据,这一些数据在哪,并在需要的时候能够删除这一些数据,网络安全行业也欢迎对此规则表示欢迎。然而研究主管西蒙.米格利亚诺(Simon Migliano)补充说到: “对政府来说,鼓吹这些新的数据保护的方法是虚伪的,然而与此同时要对调查权力法案(或刺探者)负责,它与这些提议完全背道相驰。
在被问及政府是否要求“明确的”许可来获取数据时,他说:“你能要求政府查看或删除他们持有你的数据吗?对此我持怀疑的态度”。
一个政府声明指出,依赖于默认选择退出或预先选择确认,不论哪一个都非常大程度上忽略了容许组织收集个人资料将成为过去。IP地址包含在个人资料的定义中。
在这些新措施中,英国的数据保护监督管理的机构再一次与GDPR相一致,英国信息专员办公室(ICO)也将被赋予更多权力以保护消费者利益,并处以更高的罚款,罚款的数额高达1700万英镑或公司全年营业额的4%,假设发生了最严重的数据泄露,因此也为其措施寻求治外法权。
TechUK首席执行官朱利安.戴维说,他的组织将支持数据保护法案的目标,全方面执行通用数据保护条例(GDPR),把英国放在一个强有利地位上,以确保一旦它离开了欧盟,数据就能够不受阻碍的流动并且让企业清楚地明白他们的新责任。
在政府发布的一份新闻稿中,国家数码部长马特汉考克表示:“这项法案将赋予人们更多的对数据的控制,需要更加多的同意,并为英国脱欧准备好。”我们拥有世界上最好的数据科学,这项新法律将帮助它茁壮成长。”
在政府的一个发布会上,英国国务大臣马特.汉考克针对数字说:“该法案将使人们对他们的数据获得更多的控制权,对于它的使用上的要求更多的同意并且为英国脱欧准备好。我们拥有一些世界上最好的数据科学,而该新法规将有利于它的发展”。
此外,新的刑事犯罪将被创建来阻止组织要么有意或肆意创造一些人可以从匿名数据中被辨认出来的情况。
信息专员伊丽莎白.德纳姆评论道:对那些处理数据的人来说,数据保护规则也将会变得更清晰,但是他们将对他们所处理的关于个人隐私权的优先数据更加的负责。那些组织执行高风险的数据处理将有义务进行影响评估,以了解所涉及的风险。
另外,英国工业联合会的创新总监汤姆.塔克雷在一封电子邮件中说,这一立法在改善保护标准的同时,在促进企业开发新产品和服务方面实现了良好的平衡。
帕洛阿尔托网络公司副总裁兼EMEA首席安全官格雷格·戴维斯(Greg Day)说:“为了欧洲的网络安全,组织实施GDPR,这是一个关键的时期。”并补充说:该措施为国家的商业和网络安全的领导给予了受欢迎的确定性和方向。英国即将推出该法案,它将有利于在英国实施GDPR, 确认这一个国家希望成为一个卓越的灯塔,对于组织应如何保护个人资料,包括通过成功的阻止网络攻击,并让个人控制他们的个人资料如何被使用。
毕马威公司的隐私顾问负责人马克.汤普森表示同意,他说:“这一承诺也传达了一个强有力的信息,即英国将会有弹性的数据保护机制,在它脱离欧盟之后”。继续观察,“然而这必然会给商业在让他们的内部秩序井然方面带来一些挑战,然而最终,这在某种程度上预示着现在隐私需要成为他们商业策略的核心”。
英帝国勋章获得者、UKFast首席执行官劳伦斯.琼斯说:“鉴于英国脱离欧盟,我们从始至终呼吁英国政府至少要建立与GDPR类似的法律,所以看到马特·汉考克在今天宣布这些措施,以落实欧盟法律,这是令人欣慰的。像这样强有力的规定有助于让我们建立信心并在有价值的数据货币中交易,但是只有我们保持同样的标准,并鼓舞全球潜在的合作伙伴的信心,这一机遇才能被实现。我们应该确保一旦我们脱离了欧盟,就有合理的保障措施,以维持并巩固我们的地位”。
Mimecast公司的网络弹性专家丹.索洛伯格表示同意说:新的数据保护法案强化了期望GDPR的风格服从性对于英国的企业来说是一个至关重要的要求,即便英国脱欧还是悬而未决的。事实上,英国脱欧之后,围绕数据保护显示责任可能成为与欧洲和其公民做生意的一个必要条件。
云信息学公司EMEA副总裁格雷格.汉森警告说:“英国公司必须对他们持有的所有有关数据有一个全面的了解,如果他们要遵守新数据保护法案。如果一个客户激发了他们的被遗忘的权利,而企业并没有一个全面的数据管理策略,它就不能确保删除所有的必要信息”。他补充说:“注意到新的严重罚款”。结果是,英国的企业要确定哪些数据将会受新法的支配,并确保在需要时,能够方便地使用和删除这样的数据。为此,他们应该在整个组织中绘制出所有的数据,不管这一些数据被存储在哪。许多的公司已用了几年的时间建立了巨大的个人资料数据库,所以一个自动化的数据查找系统是至关重要的,因为人类无法立即处理它。“一个强有力的自动化的数据管理策略也是必要的,如果英国企业要获得他们要去做那些事有一个深刻洞察力,以确保它们是服从法律要求的”。
Quest软件公司的首席技术战略家科林.特鲁伦强调说:“企业要清楚地了解其组织处理的敏感数据的范围,并实现适当的流程来保护这一些数据。对存储的个人数据有一个清晰的理解,它的所在位置,谁有权限,谁负责它的维护及处理是关键的第一步。
对于许多的组织来说,这将是一次重要的挑战,因为它们的数据被存储在多个筒仓内;常常在房舍和各种存储设备上以及在云端。利用一个能够收集并集中存储来自整个企业的多个系统、设备和筒仓内的数据的方案是必须的,本来就应该任命一名数据保护官员,以确保所有员工都接受了如何遵守GDPR的教育。
米格利亚诺总结说:“虽然新的保护的方法无疑是朝着正确方向迈出的第一步”。他建议消费者不应该依赖政府看护他们的数字权限和数据。相反的,他们应该通过一个谨慎的组合,仔细的习惯和技术例如使用隐私浏览设置或一个VPN(虚拟私人网络)对最小化他们的数字足迹负责。
卡巴斯基实验室的首席安全研究员大卫.艾姆也支持个人负责并且指出,新数据保护法案将如何赋予消费者前所未有的权利,迫使社会化媒体网站和网络公司删除它们的数据,并收回对它们对个人隐私信息的控制。
因此,他说:“重要的是,公众要接受这种新的自由并认识到个人数据的价值,不只是对我们自己,而是对潜在的网络犯罪分子”。他还指出:“重要的是,我们在个人层面上知道被保存的信息是什么以及怎么样处理这一些信息。这也将降低它落入坏人之手的可能性。不论当使用一台工作计算机、家庭笔记本电脑、手机或平板设备的时候,上网保持警惕应该是第二天性。通过简单的步骤像定期的修改密码,在社会化媒体上查看默认设置并在所以设备上使用杀毒软件可以显著的帮助保护数据”。