我是一名开发者,通用数据保护条例(GDPR)没什么大不了的。或者是?
我是一名开发者,通用数据保护条例(GDPR)没什么大不了的。或者是?
我做了将近 20 年的开发者。在那段时间里,我经受住了各种规章制度和标准的考验。我见过 PCI 和 HIPAA 像一群银背大猩猩一样冲进来,一拳就把一个开发团队掀翻在地。Y2K?算了吧!我一边坐着祈祷飞机不要从天上掉下来,一边把 SQL 6.5 数据库更新到四位数年份。当我第一次听说 GDPR 的时候,我自然不会害怕。也许我应该是。也许你也应该。
通用数据保护条例 (GDPR,给知情者)。听起来不太令人兴奋的名字,是吗?如果真的很严重,那就像是“信息主动战术抹杀”(TOII——商标待定),对吧?抛开风格不谈,这个小小的缩写词在世界各地的组织中引起了不小的轰动。从银行到教育,企业开始押注欧洲的新法规将对消费者、企业以及肯定会创纪录的法律费用产生多大影响。
如果你认为它不适用于你的非欧盟网站,再猜一次!得益于“一切都通过互联网连接”的理念,GDPR 的影响力遍及全球。如果你储存了任何关于欧洲用户的信息,GDPR 将适用于你。数据请求需要在 30 天内完成。数据泄露呢?哦,天啊!你有三天时间去报告。2000 万欧元的费用就要到手了,每个人都应该做好准备享受这一乐趣。
那么,GDPR 到底是什么?
如果你还没有享受过坐在那里听完关于 GDPR 的法律影响和后果的演讲的快乐,那么这对你有好处!对于那些已经知道的人,请耐心听我为其他读者总结新规定。
GDPR 致力于在数字空间保护人们的信息。随着我们的生活越来越多地受到他人关于我们的信息的影响,需要更严格的控制和监督是关键。有了正确的信息,你可以接管一个人的完整身份,并对他们的职业生涯、人际关系和他们的易贝卖家档案造成严重破坏。
目前针对在线数据的大部分法律都是在上世纪 90 年代中期起草的。当然,我们有 Windows 95、美国在线(AOL)和一些惊人的 56K 调制解调器速度!我们所不知道的是,未来 20 年,人们会分享什么(以及分享多少)信息。在过去的二十年里,人们在社交媒体和其他网站上记录了他们的整个生活,这为一些严重的脆弱性创造了条件。
GDPR 主要是试图控制这些数据,并确保人们确切知道一个网站存储了多少关于他们的信息。这是为了让他们能够控制自己的细节,并确保公司遵守“被遗忘的权利”、“未成年人同意”和“T2”数据可移植性要求。这是关于网站所有者的漏洞,以及管理他们如何处理用户的信息。
嗯,所以这听起来像是一件大事。
好吧,也许你和我一样,已经开始改变你那种不顾一切、不穿衬衫就煮培根的言论。GDPR 不是一件小事,对任何行业的任何人都会有很多影响(是的,尤其是开发商!).其影响非常深远,肯定不会仅限于欧盟观众。开发者现在需要开始教育自己做好准备。
那么,您需要了解哪些信息?当然,每个开发人员都应该熟悉新法规的基本内容。您应该完全了解 GDPR 适用于哪些数据,以及您需要为消费者提供哪些新功能。
谈到技术方面,有几个关键领域您会想知道。
数据流
GDPR 关注的是数据。这意味着了解并报告正在收集哪些数据,在何处收集,数据发生了什么,以及谁可以访问。人们的个人信息是如何在你的组织中传播的,叫做 数据流 。有了这些规定,公司将被要求提供一条信息在组织内进行的每一步的详细历史。这意味着开发人员将需要跟踪他们客户的数据,谁可以访问它,以及如何使用数据来满足新的标准。
明确同意
长期以来,公司一直能够分析和利用人们的信息进行有针对性的营销沟通、用户分析,甚至出于邪恶的原因,而几乎没有监督。GDPR 改变了这一切,要求公司在收集和使用用户数据时,必须获得用户的明确同意。企业必须给出一个清晰的定义,说明将收集多少用户信息,以及如何使用这些信息。这项规定旨在阻止人们的数据在不知情或未经同意的情况下被使用。开发人员需要了解数据是如何收集的,以及将如何使用。这意味着开发一种机制来获得应用程序的任何用户的同意。
访问权限
人们通常愿意将他们的信息提供给可靠的来源。如果组织是有信誉的,并且他们的意图是真实的,大多数公司在获得数据收集的同意方面不会有问题。但是,当一个来源不明的第三方获得这些数据时,会发生什么呢?人都失去理智了!GDPR 就是要把这种权力还给消费者,并确保他们知道每一个可以访问他们信息的人,以及为什么。这意味着开发者需要开始考虑如何限制对用户信息的访问,除非这些信息对业务至关重要。
GDPR 法规的另一个重要部分是要求在需要时向个人提供信息。根据新的法律,公司将被要求提供他们收集和/或存储的所有个人信息的详细清单。我是说一切!开发人员现在应该计划如何报告这些信息,因为法律要求您在请求后 30 天内提供这些信息!
被遗忘的权利
哦,天啊,这可是个大家伙!识别和报告你拥有的关于一个人的所有数据是一回事,但让用户有能力删除这些数据是一件大事。GDPR 最重要的部分之一是为人们提供删除公司存储的所有信息的选项。这意味着一旦提出请求,就要在要求的 30 天内删除个人信息以及其他可识别的数据。对于开发人员来说,这意味着您需要在应用程序中处理这种数据删除,在需要的地方补充虚拟数据。这可能是一件大事,尤其是如果应用程序的大部分功能都是围绕每个用户的个性化定制信息构建的。试想一个没有个人信息的社交媒体网站!
关于这种数据删除需要注意的一点是,它并不是一切。对于某些网站,如电子商务应用程序,保留个人数据可能是报告和审计所必需的。这意味着,当用户提出请求时,一些网站可能需要擦除其数据,但是,为了遵守金融法规和法律,关键信息可能会被保留。这就是理解 GDPR 法律变得特别重要的地方!开发人员需要知道什么时候从他们的系统中删除数据是合适的,什么时候需要保留它们。这意味着要和律师进行很多有趣的谈话,来解决你网站上的每一点数据!
你需要做什么?
好的,在这一点上你可能正在查找“如何成为一个土豆农民”或其他职业变化。别担心,没那么糟!您应该对 GDPR 将如何影响您的应用程序有一个明确的想法。您还应该知道在应用程序的什么地方更新代码和添加新功能。有了这些信息,你就可以开始采取行动。
制定计划
你知道需要发生什么。现在你需要让它发生!您应该首先绘制出您在发现阶段发现的所有数据,并将其分成逻辑部分。了解应用程序的哪些区域需要更改以适应修改,并开始在团队中进行划分。你需要认识到你可能缺乏的资源,并在你开始改变之前努力获得这些资源。定义一个完整而彻底的实施计划不仅在看板上看起来很棒,它还能帮助你保持在正轨上,并了解每件事需要多长时间。
拿走任何你不需要保留的东西
如果你能减少你要处理的数据量,你就可以省去很多未来的麻烦。也许在你的研究中,你发现你的营销团队为网站的每个用户存储了完整的家谱。如果这些数据不是必不可少的,那就扔掉它!回顾你储存的每一点信息,看看你能没有什么。你的用户数据越不敏感,你就能越顺利地到达 GDPRland。
限制访问,如果可以的话
GDPR 有很多关于数据的规则,但是,很大一部分是数据如何存储、备份和访问。您的计划应该包括一个长期的、严格的调查,看看您的组织中谁可以访问这些信息。您应该与相关人员进行面谈,重新整理您的灾难恢复(DR)清单,并开始尽可能限制对数据的访问。如果你发现有人不重要,把他们从名单上删除!如果你被审计了,以后在报告信息时,你会感谢自己的。
准备回答很多问题
说到报告信息,如果没有人执行,新法规就毫无意义。因为 GDPR 将会对全球产生影响,在未来的某个时刻,肯定会有一场审计。别担心!你应该准备好回答任何问题,并有详细的日志和令人兴奋的报告提供给你的法律团队。您对您的系统和数据了解得越多,这个过程就越容易,所以现在就开始计划吧。
结论
作为一个开发者,自信是很棒的。勇气和决心让你克服障碍和挑战,拒绝承认失败。在 GDPR 问题上,你的勇气可能会受到考验。别害怕,我的朋友。GDPR 是影响我们开发生活的一长串标准中的下一个演进。通过适当的教育和准备,任何开发人员都可以轻松处理 GDPR。确保您正确地存储数据,并始终按照标准编码,您将很快回到复活节彩蛋编码上来!
还在寻找更多信息吗?查看我们的GDPR 文章集以获得答案!