GDPR 带来的数据安全思考

盖国强 中国地区首位Oracle ACE和ACE总监，曾获评"中国首届杰出数据库工程师"，拥有近20年数据行业咨询和实践经验，著有《深入解析Oracle》《循序渐进Oracle》等技术书籍；2011年创立云和恩墨公司，致力于以『数据驱动，成就未来』为使命，为企业和用户提供卓越的数据产品和服务。

当我们置身于网络世界之中时，一切的行为都将会被记录下来，互联网企业还会通过用数据描绘的“用户画像”让用户具象化、真实化。事实上，在数据面前，我们每个人都只是在穿着皇帝的新衣。

那么，如何面对这些让人细思极恐的数据世界？欧盟制定了《通用数据保护条例》（General Data Protection Regulation，GDPR）。

欧盟议会于 2016 年 4 月通过了 GDPR，规范欧盟成员国以及任何与欧盟各国进行交易或持有公民（欧洲经济区公民）数据的公司存储和管理个人数据的方式。这项法规在 2018 年 5 月 25 日生效。

然而在 GDPR 生效之后，一些新闻报道称：为遵守刚生效的 GDPR，美国网站屏蔽了５亿欧洲居民。

Bloombergquint 网站的报道更是使用了 Blocking 500 Million Users Easier Than Complying With GDPR（屏蔽 5 亿用户比遵守 GDPR 更容易）这样的标题。

GDPR 于 5 月 25 日生效后，众多美国网站纷纷拒绝了来自欧洲的访客。值得注意的是，欧洲有 5 亿居民，是美国人口的 1.5 倍。

拒绝或暂时拒绝欧洲访客的知名网站包括 Los Angeles Times、Chicago Tribune、New York Daily News 和Instapaper。

USA TODAY 则选择为欧洲访客专门制作一个 GDPR 版本的网站，删除了所有跟踪脚本和广告，结果美国版本的网站大小有 5.2MB，而 GDPR 版本的只有 500KB，页面加载速度也从 45 s 减少到 3 s，JS 脚本数量从 124 个减少到 0 个，请求的网址数量也从 500 多个减少到 34 个，简直就像是最初启用了 Adblocker的效果。

通过这样的事件，我们大约可以知道一个网站到底采集了多少用户数据。

那么 GDPR 到底是什么？为什么实施起来困难重重，让美国企业选择了简单粗暴的拒绝访问。

GDPR 的本质是赋予欧盟公民个人信息保护的基本权利，其核心是使个人数据的收集、存储及使用有更高的透明度，并对其加强管控。在这个条例的约束下，只要是收集欧盟公民数据的企业就要受到 GDPR 的管辖。

GDPR 主要完成了以下几大使命：

1. 明确公民的数据权利和隐私权。
2. 明确并扩大了数据保护范围。
3. 规范数据收集企业的数据保护及使用权责。

这其中的数据安全事故通知条款规定，在数据安全事故（比如数据泄露）发生之后，应当在 72 小时内向监督机构报告。

GDPR 提高了处罚标准，对于重大违规事件的罚款可高达 2000 万欧元或前一财年全球收入的 4%。

GDPR 进一步扩大了数据保护范围，以下种种信息都在保护范围内：

• 公民基本的身份信息，如姓名、地址和身份证号等。
• 网络数据，如位置、IP 地址、Cookie 数据和 RFID 标签等。
• 医疗保健和遗传数据。
• 生物识别数据，如指纹、虹膜等。
• 种族或民族数据。
• 政治观点。
• 性取向。

公民的数据权利被强化保护，条例中有 4 条提到了“用户许可”：

• 在用户许可的情况下处理数据，数据控制者应能够证明数据主体同意处理其个人数据。
• 如果用户许可是在书面声明中也涉及其他事项的情况下提出的，则同意书应明确指出该许可区分于其他事项。同意书应使用清晰明了的语言，方便用户理解和区分。构成违反本法规的此类声明的任何部分均不具有约束力。
• 数据主体有权随时撤回其许可。撤回许可不应影响撤回前基于许可的其他处理的合法性。撤销用户许可应该同授予时一样容易。
• 用户许可必须是自由做出的。这意味着数据主体在做出许可时，其选择是真实的，例如，不存在受到胁迫或者欺诈的风险。如果数据主体受到数据控制者的影响（例如，数据控制者是数据主体的雇主，或者是一个公共权威），则考虑到此类关系的性质，许可并不被认为是自由做出的。

这其实是在明确用户许可的获取过程，也是在规范这些用户许可的使用。在互联网上，因为一个“同意”而导致无穷尽的后果应该通过法律法规来避免。

GDPR 对数据泄露的行为会做出高额惩罚，同时对企业的数据管理角色及其责任进行了规范，这其中包括：

• 数据控制员（Data Controller）：明确个人数据的处理方式和目的，确保外部承包商能够遵守相关规定。
• 数据处理员（Data Processor）：可以是维护和处理个人数据记录的内部团队人员（如业务分析师），也可以是参与数据处理的任何外部服务提供商的员工。GDPR 要求数据处理员为违规行为负责。
• 数据保护员（Data Protection Officer，简称 DPO）：核心活动涉及处理或存储大量的欧盟公民数据、特殊类别的个人数据（健康记录、犯罪记录）的组织必须指定 DPO，DPO 主要负责基于 GDPR 提供咨询意见，并向最高管理层报告。

必要的流程管控是提升安全性的重要手段，设置必要的岗位也非常重要。DPO 会逐渐成为数据安全领域的一个重要角色。

除了明确岗位职责，GDPR 还对数据存储安全保护提出了要求：

• 明确数据保护方法。
• 将安全性体现在与合作伙伴、服务提供商签订的合同上。
• 对数据进行加密或假名化。
• 制定对风险评估做出回应的安全措施。
• 若想保留数据以进行额外处理，就必须采取相应的保护措施。

GDPR 特别将加密作为安全性要求。对于很多企业来说，做好加密工作是非常迫切的。要知道，很多泄密事件都是数据未加密存储导致的。

GDPR 生效以来，已经开始发挥威力，2019 年已针对 Google 做出一则判罚：

英媒称，法国 1 月 21 日首次援引欧盟严格的 GDPR，宣布向 Google 罚款 5000 万欧元。

据路透社报道，法国资料保护办公室 CNIL 称，Google 的隐私条款难以被用户理解，尤其在个人化广告上，用户难以管理个人资料如何被使用，因此被判决。Google 发表声明称，用户期待高度透明的数据运用及对隐私的自我控制，而 Google 也一直承诺确保达到预期，会研究判决再决定下一步行动。

报道称，两个团体去年 5 月代表约 1 万名民众发起诉讼，指出 Google 在 Android 系统的部分应用程序中表示除非用户同意条款否则不提供服务，这属于“强制用户同意”的行为。这是 GDPR 落实以来的首个案例。根据 GDPR 的规定，企业可被判罚 2000 万欧元或前一财年全球收入的 4%，以最高者为准。

其实不仅仅是互联网公司，传统企业同样面临着数据保护、数据加密的挑战。在中国，数据泄露的事件同样层出不穷。尤其是在使用数据库的环境下，数据备份、数据传输都需要置于可信的环境下，避免备份被窃取，数据被篡改。

无论如何，任何企业都需要不断加强数据安全和隐私保护的建设，GDPR 在某种程度上为企业加强了推动力。

本文选自《Oracle DBA手记 4，数据安全警示录（修订版）》。本书第一版最初写于 2012 年，转眼已有 8 个年头，当时还是 Oracle 10g 的天下，而现在 19c 已经发布。作品中对读者和企业而言最有价值的经验分享，来自作者这些年来的不断记录、不断完善，将职业生涯中的所见所闻，那些有关数据的风险和灾难如实地刻画下来，旨在给读者警示，引发思考，进而采取行动，制定原则，得以规避和防范问题。本文左下角阅读原文可以一键开启「警戒模式」，让你的数据，让你的团队，让你的企业，驶入数据安全斑马线！

内容简介：本书源于众多实践案例的总结，我们将大量的数据安全事件、数据库安全漏洞、Oracle数据库灾难恢复案例融合于一体，进行了详细的阐述和分析，并总结形成了指导企业规范运维、强化管理、规避灾难的指导原则。

通过概括总结形成的数据库运维原则，本书希望能够给企业运维管理者以警示，通过提前预防措施和规范化管理避免遭遇到书中描述的种种情形；此外，本书还通过复杂的Oracle数据库灾难恢复案例，深入阐述了数据库运行和工作的内部原理，希望能为读者的深入技术探索提供帮助。

本书既适合企业自动化和智能化运维的管理者参考，也适合深入学习数据库技术的读者学习探索。