最近 Equifax 可谓是站在了风口浪尖上，最大的原因还是自身对于数据的保护不力，而对于监管层面来说，是否有更好的预防措施呢。

欧盟出台的通用数据保护法规（GDPR）将在明年5月正式实施，想象一下，Equifax 是在 GDPR 生效期间出的事，它的结果又将如何呢，或许，它的处境会更加艰难。

　　GDPR 不仅仅局限于欧洲

这里有关于 GDPR 的详细信息，简单的说，GDPR 就是一套用来保护欧盟公民个人隐私和数据的新法规。对那些需要欧盟公民的个人信息的企业来说，无论企业所在地在不在欧洲都会受到影响，所以，这项法规不不仅仅局限于欧洲。法规中对企业通报数据泄露事件的时间做出了高要求，在一些情况下，需要在发现数据泄露事件72小时内就通知给外界。

企业还必须遵守法规中的其他规定，保证欧盟公民不会受到更多的损失：

1.数据提供权：用户可随时要求企业提供自己的数据

2.数据删除权：用户可随时要求企业删除自己的数据

3.数据转移事先通知权：企业若与第三方共享用户数据 ，必须事前告知用户并得到用户许可。

4.用户知情权：用户有权知晓企业是否保存了他们的数据。

为了执行 GDPR 中的法规，企业可能需要额外的配置，技术和人员。普华永道对美国企业做了一份调查，将近70%的受访者表示将投入1百万到1千万美元来执行这项法规。这听起来是不是很多，但这与 GDPR 给出的罚款来说，还是九牛一毛啊。

GDPR 的惩处力度空前强大

对于那些违反 GDPR 法规的企业，将会面临年收入4%的或2000万欧元（超过2300万美元）的高额罚款，二者取最高为准。这对于那些利润微薄的企业来说，巨额罚金简直是一个噩梦。

大家可能对4%的总收入没什么概念，举个简单的例子：

谷歌2016年财报显示：实现营收903亿美元。

如果谷歌没有遵守 GDPR 法规的话，按照4%的比例，面临的处罚将近要36.12亿美元。

而相比美国其他的隐私保护条例，通常情况下罚金的范围是几十万到几百万美金。很明显，GDPR 的罚款力度在数量级上就远高于其他数据保护条例。

数据隐私条例对于美国企业可不是什么新鲜事了。事实上，像加利福尼亚和特拉华这样的州，对于在线数据隐私的规定非常严格。美国商务部花了很长的时间来执行欧盟的隐私法案，这样双方之间的贸易（大部分是在线贸易）才能正常进行。

美国企业可以自证提供的隐私保护是“充足的”，尽管该法规在美国的实施情况并不是太完美，但美国企业仍需符合 GDPR 的相关条款。

对于 GDPR ，企业应早做准备

对于 GDPR ，美国企业应该提前做好哪些准备呢，相信以下的这5步可以提供一些帮助。

了解自己拥有的是什么数据，并存储在哪里

企业应弄清楚自己掌握的是欧盟公民的什么数据，如果你手里都没有这些数据，就根本不用顾虑 GDPR，但是在今天经济全球化的趋势下，这是不可能的。如果你拥有欧盟公民的数据，你应该要想到，每家企业都会有数据泄露事件发生，但大多企业对泄露都并不知情。企业需要提前就做好准备，主动关注用户敏感数据的走向。在 GDPR 明年开始实施的时候，对数据泄露的相关知识了解的越多，也就会越有准备。

确保供应链安全

大多数企业的供应链都很长。比如一级金融机构有15000家供应商/合作伙伴，而这些合作伙伴大多都拥有金融机构中的个人信息。在 GDPR 的实施下，数据拥有者和流通者都有义务保护欧盟公民的隐私。企业应确保供应商也有足够的安全防范意识和控制措施。

完善措施

隐私保护措施本身也在不停的修正当中，GDPR 以后会演变成什么样子也是一个未知数，企业要可以证明自己有能力保护欧盟公民隐私的能力和决心。这可以帮助企业更好地配合 GDPR ，从而与欧盟国家进行更好的业务往来。

即刻制定符合 GDPR 法规的安全流程

企业需要提前建立好安全流程，在事件发生的时候才知道具体应该怎么做。因为 GDPR 留给大多数企业的时间只有72小时，并且还要注意 GDPR 中还谈到的公民数据的其他权利，包括数据提供权，删除权，转移通知权和用户知情权。必要时可任命一名数据保护专员。

寻找法律顾问

应对数据泄露事件需要相当多的时间和精力，寻求专业的法律咨询，可以帮助企业选择合适的方法处理紧急事件。

无论怎样，Equifax 的处境都会很艰难

可以肯定的是，GDPR 的影响范围不仅仅只局限于欧洲。而不确定的是，法规执行初期，欧盟将以何种执行效率和力度对待那些不符合规定的企业。无论怎样， 相关企业都应提前做好准备，降低风险。

而对于 Equifax 来说，就算 GDPR 正式实施也难巨额罚款，现在的 Equifax 处境已经很艰难了，GDPR 就不要再来雪上加霜了。

*参考来源：securityweek，FB小编 Liki 编译，转载请注明来自FreeBuf.COM