物联网企业如何应对GDPR挑战：保护用户隐私与数据安全的全面指南

对于物联网公司来说，GDPR 的影响非常深远。事实证明，很多设备没有连接互联网，因此不存在用户隐私泄露的风险；但现在，设备联网已是大势所趋，数据控制者和处理者会直接或间接接触到大量的个人用户数据，例如：姓名、性别、年龄、身份证号、手机号码等。此外，由于需要对设备和用户数据进行操作分析和监控，更多有关用户行为的隐私数据也将被收集。

对于物联网公司来说，遵守GDPR的所有规定无疑是一项具有挑战性的任务，因为很难获得处理物联网网络中的个人数据所需的权限。此外，GDPR倡导“隐私源于设计”，强调数据安全应贯穿于整个数据生命周期。

但合规并非不可能，许多物联网公司正在做出非凡的努力来保护数据隐私。这种努力永远不会白费，未来客户信任度的提高将使企业受益。 Kate O'Flaherty 在一篇文章中提出了物联网公司应对这一监管的要点。

注：物联网智库仅以原文为素材，编译整理。

1.了解您正在收集和处理的数据

专家建议，涉及物联网的企业应组织其组织评估其收集的信息是否属于个人数据。但需要注意的是：如果您不收集个人信息，并不意味着您可以高枕无忧。

欧洲、中东和非洲地区网络安全倡导负责人阿德里安·戴维斯 (Adrian Davis) 表示：“通过传感器从物联网设备收集数据并不能免除 GDPR 的约束。您必须知道您的数据在哪里、如何保护数据以及是否出现问题。该如何处理。”

安全支付提供商 Nuggets 的创始人兼首席执行官也表示：“作为应对措施的一部分，一些公司需要重新考虑如何存储数据。”他认为客户端加密和区块链等技术可能有助于保护企业。

“这种类型的技术堆栈可以减轻数据泄露时的 GDPR 风险：公司数据库中不会存储用户数据以供恶意第三方窃取。”

2. 理解“同意”

GDPR强调数据所有者的知情权，规定数据的使用必须事先获得数据主体的同意，并且“同意”必须是具体、明确的，并且由用户在充分知情的情况下自由给出。

若扩大数据使用范围，无论是向第三方提供数据还是作为企业对外服务的一部分，均需重新获得数据主体的授权同意；数据主体也可以随时撤回同意。其中，GDPR强调用户在使用数据时必须表明其具体使用目的，这意味着过度获取数据将受到控制。

据悉，5月25日，包括微信海外版、新浪微博国际版、阿里巴巴旗下速卖通在内的多家中国互联网巨头更新了隐私政策，要求对欧洲用户重新授权。 。

3.GDPR将影响整个供应链

许多物联网公司没有意识到客户也有“撤回同意的权利”和“忘记其数据的权利”。换句话说，如果用户请求删除数据，公司需要在数据库中找到该数据并将其删除。如果该数据已传播或提供给公司的供应商，公司还有责任通知其供应商删除该数据。

“物联网公司需要考虑的不仅仅是获得用户的同意。他们还需要考虑如果用户要求撤回同意并行使‘被遗忘权’该怎么办。”

此外，数据主体还享有“数据可移植性”的权利，这意味着一个数据控制者的个人数据可以转移到另一个数据控制者。例如，Facebook 用户可以将其帐户中的照片和其他信息传输到其他社交服务网络。这项权利不仅适用于社交网络服务，还适用于云计算和移动应用等自动数据处理系统。

4. 记录您为满足 GDPR 要求所做的一切

该法规要求公司记录其整个数据处理过程。如果出现问题并被调查，公司可以以此作为证据来证明调查人员是错误的。

应该明确的是，GDPR 并不是一个专门抓着一些公司的头发并将其赶出的坏人。相反，其目的只是为了防止数据被滥用。

技术研究公司 Gigaom 的分析师乔恩·柯林斯 (Jon Collins) 表示：“了解你所做的一切，告诉人们你所做的一切，并言行一致。” “如果你是一家致力于做正确事情的企业，这条规则不会让你出局。”

5.关注“设计隐私”和违约

“隐私设计”是 GDPR 的条款之一。在物联网中，这适用于设备和软件，但不适用于后端系统。

新思科技软件集成部门的安全策略师 Steve Giguere 表示：“仅通过保护物联网设备无法实现 GDPR 合规性，因为它们通常是更大生态系统的一部分。必须制定安全和隐私政策并将其应用于物联网设备，传输数据的网络和处理数据的后端系统。”

“产品需要从头开始开发。”例如，您应该具有删除数据的能力，以遵守用户的数据“被遗忘权”。

6. 基本安全措施将帮助您遵守规定

基本的安全措施（例如确保所有系统都打补丁）至关重要。随着网络攻击变得越来越严重，物联网世界变得越来越脆弱，因此始终保持系统更新非常重要，但这些最基本的原则往往被忽视。即使你拥有世界上最好的系统，你仍然可能会犯错误。

许多物联网公司只关注非常低级的数据安全，例如加密。他们没有考虑更复杂的攻击模式，例如拒绝服务 (DoS)、数据操纵或其他数据处理问题。

7. 将 GDPR 视为业务差异化因素

正如我们在剑桥分析公司和 Facebook 丑闻中看到的那样，信任是数据保护的未来。

2018年3月，美国《纽约时报》和英国《观察家报》爆出了令人震惊的消息：一家名为Cambridge Analytica的数据公司非法窃取了5000万Facebook用户的数据，并利用算法进行大数据分析，基于每个用户的日常偏好、性格特征、行为特征，预测他们的政治倾向，甚至操纵美国大选。

GDPR 的重点不是罚款，而是增加组织内部的信任。这是不可避免的，如果做得正确，您可以增加用户的信任并获得竞争优势。

8. 聘请数据保护官

GDPR还对企业的人力提出了建议：无论是否在欧盟境内，如果在欧盟境内员工人数超过250人，则需要聘请一名“数据保护官”（Data Protection Office）。欧盟所有28个成员国均设立了监管机构——数据保护局，负责监督GDPR在各国的实施。

界面新闻援引界面新闻报道称，在欧洲拥有较大市场份额并有意进军物联网的海尔、华为等制造业龙头已经聘请了专门团队来应对GDPR。

9. 提前做好准备

如果一家科技公司发现数据泄露，即使什么也没发现，也必须在三天内向监管机构报告，所以你最好提前做好准备，确保测试、演练和更新你的管理计划以应对任何情况。违反规定情况

欧盟是一个拥有5亿消费人口的市场，对于想要“走出去”的中国企业来说具有巨大的吸引力。近年来，越来越多的中国企业和中国物联网企业开展欧洲相关业务。它甚至在欧洲设立了分支机构。随着GDPR的到来，中国企业必须做好准备，积极应对这一新规定。