“我們很難想象，在一個高度信息化和數(shù)字化的社會，對于極富價值的信息和數(shù)字本身，缺乏妥善的管理和保護�！�

——羅黎

這是TüV萊茵大中華區(qū)數(shù)據(jù)化與信息安全副總裁羅黎在接受媒體采訪時的觀點。步入2019年，信息安全形勢似乎越來越嚴峻。在數(shù)字經(jīng)濟中，數(shù)據(jù)和信息技術安全日漸成為組織成功與否的關鍵因素，如：蘋果公司就將隱私保護作為重要賣點展現(xiàn)在宣發(fā)方案及廣告上。

于2018年5月生效的歐盟《通用數(shù)據(jù)保護條例》（以下簡稱GDPR）為市場帶來了許多未知數(shù)。在該條例實施的幾個月后，葡萄牙一家醫(yī)院因擅自查閱患者檔案和信息被葡萄牙數(shù)據(jù)保護局罰款40萬歐元。

盡管該條例總體執(zhí)行的速度相對較慢，首次罰款的額度也較低，但顯而易見，不只是歐盟，GDPR已經(jīng)在全球范圍內(nèi)對數(shù)據(jù)保護產(chǎn)生重大影響。對大多數(shù)行業(yè)來說，與其將自己局限于遵從區(qū)域范圍內(nèi)的隱私條款，還不如選擇開發(fā)和設計符合全球標準的產(chǎn)品和服務更能節(jié)約成本。

GDPR的重要性凸顯

羅黎在電子電器領域有超過十五年的檢驗、檢測及標準制定的經(jīng)驗。

那么，基于當前GDPR對企業(yè)獲取用戶信息的管控，個人與企業(yè)對信息保護的邊界在哪里？

面對OFweek編輯提出的問題，羅黎作出了兩點解釋：“一是如何正確理解GDPR對歐洲公民個人數(shù)據(jù)的保護；二是中國企業(yè)產(chǎn)品及服務在歐洲運行的合法性。”

對于個人數(shù)據(jù)的保護，GDPR有明確和細致的規(guī)定，其主要是查閱權、被遺忘權、限制處理權和數(shù)據(jù)移植權等方面。

作為保護歐洲公民個人數(shù)據(jù)安全的條例，GDPR對于中國企業(yè)最大的挑戰(zhàn)莫過于企業(yè)向歐洲公民或者市場提供產(chǎn)品或者服務時，必須自覺保護公民的隱私安全。如中國的智能家電企業(yè)將產(chǎn)品售賣到歐洲，這臺智能電視及背后的企業(yè)要進行GDPR符合性方面的準備。

諸多以安防監(jiān)控為主的企業(yè)不僅僅售賣單一的攝像頭，其業(yè)務范圍更多地擴展到整個社區(qū)的安防系統(tǒng)，如果中國企業(yè)需要售賣整套的安防系統(tǒng)，其系統(tǒng)內(nèi)的攝像頭、服務器及處理流程會產(chǎn)生諸多數(shù)據(jù)，在這種的情況下，中國出口企業(yè)就要考慮到是否觸犯了歐洲的GDPR，提前在整套系統(tǒng)設計過程中進行充分的準備。在這個領域，TüV萊茵一直幫助出口企業(yè)按照GDPR在產(chǎn)品、系統(tǒng)、方案及云等多個層面進行多維度的評估，盡力避免因觸及法律而引發(fā)的多重風險。

GDPR產(chǎn)品檢驗層的三個步驟

羅黎說，目前中國出口歐洲的企業(yè)分布于多個行業(yè)如電子電器、消費品等，面對紛繁復雜的產(chǎn)品檢驗層，TüV萊茵進行了邏輯上的規(guī)整，其做法可分為三個步驟：

首先，梳理產(chǎn)品工作過程中涉及到與個人相關的敏感數(shù)據(jù)。羅黎解釋道，不論是冰箱、電視還是視頻攝像頭，不同的應用環(huán)境會涉及不同的個人數(shù)據(jù)，因此，第一步需甄別這些數(shù)據(jù)是否為敏感數(shù)據(jù)。

第二步，在產(chǎn)品和云平臺的實現(xiàn)過程中，TüV萊茵會根據(jù)數(shù)據(jù)流的走向進行分析，了解這些數(shù)據(jù)的傳輸過程，包括如何實現(xiàn)終端與云端的數(shù)據(jù)互通，以及數(shù)據(jù)存儲的位置等。

第三步，排查數(shù)據(jù)傳輸過程中每個環(huán)節(jié)是否能夠有效控制，如傳輸過程中傳輸?shù)膮f(xié)議是否加密，以及通過何種方式進行加密保護，會不會通過特殊的渠道被第三方輕易獲取等。

成果方面，TüV萊茵與國內(nèi)諸多領先企業(yè)進行了基于GDPR的隱私保護方面的合作。在智能家電及視頻監(jiān)控等領域，從產(chǎn)品、云端到體系三個層面，TüV萊茵均有不同的解決方案。

提及國內(nèi)隱私保護法案，羅黎對OFweek編輯表示，我國早于2016年發(fā)布了網(wǎng)絡安全法，業(yè)內(nèi)周知的隱私保護條例尚在制定中，目的是保護公民的個人隱私。

羅黎預測，中國版的個人隱私保護條例可能會和網(wǎng)絡安全法配合使用。各個國家將對個人隱私的保護越來越重視，前不久美國出臺的《2018年加州消費者隱私法案》（CCPA），旨在加強消費者隱私權和數(shù)據(jù)安全保護，該法案有很多條例與GDPR類似，隨著數(shù)字化的發(fā)展和信息安全以及隱私保護越來越受重視，隱私保護將成為未來國際貿(mào)易中的重要法則。

人工智能是重要的研究方向

羅黎及其團隊同時與全球的數(shù)字化團隊在人工智能、人臉識別、自動駕駛等領域進行密切的合作。在研究方案中，其數(shù)字化團隊會給客戶提供專業(yè)的方向預判或研究報告。

羅黎表示，國內(nèi)諸多領先企業(yè)也意識到，技術的應用會涉及信息安全風險。針對這些風險，國內(nèi)科技領頭企業(yè)開始著手人工智能方面的研究，如視頻監(jiān)控過程中“是否會采集過量數(shù)據(jù)”等。而國際科技巨頭則將隱私保護放在廣告的第一項，這是互聯(lián)網(wǎng)及科技企業(yè)進步的標志，也是TüV萊茵現(xiàn)階段努力推動的目標。

組建專業(yè)團隊為客戶提供定制化方案

TüV 萊茵的全球數(shù)字化與信息安全團隊超過一千人。目前，他在中國的幾個大城市，如北上廣深、香港和臺北都有專門的技術團隊。

羅黎出席多個信息安全相關論壇

他說：“談信息安全就不得不提及底層技術保障，我們分別在上海、深圳建立滲透性測試實驗室，并組建了專業(yè)的滲透測試團隊，他們從黑客的角度去審視產(chǎn)品、Web端、App或者云端是否存在漏洞�！�

羅黎相信，每一個管理者或者員工都有自己的管理風格和做事方法。但是他比較推崇的是多元化的管理，根據(jù)環(huán)境及團隊成員的情況，以區(qū)別化的激勵方法和溝通方式達到管理目標。

羅黎所在的信息安全團隊有兩個技術方面的大團隊，一個是從技術角度出發(fā)，基于網(wǎng)絡攻擊模式分析而進行滲透性測試的團隊；另一個則是從管理方案和流程導入出發(fā)，代表TüV萊茵為客戶提供特定解決方案的資深顧問�？梢韵胂�，對于他來說，最大的挑戰(zhàn)，在于平衡各方的意見和風格，為客戶提供最合適的服務方案。

羅黎向OFweek編輯表示，優(yōu)秀的團隊能充分發(fā)揮每個成員的優(yōu)勢，為客戶提供更合適、有效的解決方案。

TüV萊茵《2019年網(wǎng)絡安全趨勢概要和展望白皮書》于8月1日發(fā)布，內(nèi)容包括全球范圍內(nèi)關于信息安全和數(shù)據(jù)保護的八大趨勢和預測，探討了網(wǎng)絡犯罪的演變?nèi)绾斡绊懢W(wǎng)絡環(huán)境，如運營技術、物聯(lián)網(wǎng)，以及它對長期技能短缺、管理層之間的權力平衡的影響。同時，預測了紅隊滲透測試、敏捷安全、安全自動化、機器學習和大數(shù)據(jù)分析等概念將日益成熟。即刻下載白皮書了解更多詳情，同時可免費獲得企業(yè)app安全掃描（Quick Scan）。