开发符合GDPR要求的物联网产品，你不知道我来告诉你

时间：2020-07-27 17:09:01

关键字：智能家居物联网

手机看文章

扫描二维码
随时随地手机看文章

[导读] 在万物互联时代，有一些职业可能对于大众来说既熟悉又陌生，例如手机、家用电器、智能家居设备的工程师、产品开发者。随着设备连接更多人们的生活，诞生的个人信息和数据也随着大量增加，对于企业和产品开发者

在万物互联时代，有一些职业可能对于大众来说既熟悉又陌生，例如手机、家用电器、智能家居设备的工程师、产品开发者。随着设备连接更多人们的生活，诞生的个人信息和数据也随着大量增加，对于企业和产品开发者来说，无疑要面临巨大的信息利用和安全管理危机。

物联网产品开发，最容易忽视信息安全

据报告显示，中国目前已超过10亿互联网用户，而每个人可能同时有多种智能设备联网，所以可能演变成50亿台，可能是100亿台的设备互联，这么多设备产生的数据会让一个人变得越来越透明。当云时代来临，这些个人用户信息能不能保证足够的安全，这将决定一个物联网产品的生命力，甚至严重影响一个企业的成败。

在开发的过程，需对产品的代码、系统接口监控、系统维护方案、数据监控、数据分析和清理等做出整体评估后才能正式发布提供给客户使用。而上线发布后的信息调用、数据反馈、服务器监控跟踪等流程，成为个人数据泄露或信息被入侵的一大途径。

信息安全，简单可以分成三层面：

信息层面：简单来说是专注通信加密，密码加固等传统的安全领域。

用户层面：也就是说用户信息存储到了服务器上，企业要如何保证隐私不受侵犯。

架构层面：就是如何保证信息不丢。

很多企业或者开发者，往往只在第一个信息层面进行了安全保护，而且还不一定采用了最新最高级的通信加密的技术标准或者协议，就对外宣布产品的加密性极高，一旦被曝光漏洞，基本“背锅”的就是产品开发相关人员了。

物联网产品开发，最难是技术要求合规

有人常说，做产品最困难的是创意。

其实，创意无处不在，而对于做物联网产品的来说，最难的是技术层面是否合规，往深一点去想，更惨的是告诉你不合规，你也不知道如何去改正。

在技术法规法律方面，其实早已推出一些重要的国际标准协议。BSI英国标准协会在2009年正式发布个人信息管理体系（PIMS，BS 10012），是一套对个人信息进行保护的管理体系，主要针对管理或使用个人信息的企业或组织，目的是保护个人隐私。此标准具体说明了对个人信息管理体系的各项要求，降低组织运营与合规方面的风险。

欧盟即将于 2018 年5 月25 日全面实施《一般数据保护法案（GDPR）》，法案明确要求不论直接或间接识别到个人的资料，都属于个人数据范围，政府或者民间组织，均有义务保护因为业务需要，所搜集、处理、利用的个人数据。　　那么，大家会以为，找一些法律顾问团队，不就足够完成信息安全了吗？

举例说，最近陷入信息安全风波的Facebook，在5月召开大会，推出“一键清除”的新功能，方便用户快速清除浏览信息和大量减少接受广告信息投放，并且还准备针对欧盟数据法案，发布更多相应的隐私控制细节。

这样的平台巨头，不缺产品创意，不缺用户数量、不缺需求反映，却摔倒在“信息安全”层面上。可想而知，在大数据时代，只靠一个法律顾问团队，是远远不够的。因为消费者完全不清楚自己把什么数据交给了厂商，也不知道厂商如何处理这些数据，安全不能得到保障，一旦口碑被毁，那么或者用户将不再信任你，不敢选择你，如果没有从根本性的解决信息安全保护，必将付出惨重的代价。

所以，只了解欧盟个人隐私保护法律条款还不够，因为目前企业最急需解决的问题——技术方面如何解决产品、服务合规这一难题。

那么又会有人认为，信息安全就是互联网安全公司干的事，其实任何一家互联网公司，包括现在做硬件的公司，都最终会变成一个互联网服务型公司，用户会使用这些设备产生大量的数据。所以，任何一家互联网公司都有责任保护用户信息的安全，要在云端对用户数据进行足够强度的加密，包括安全存储和安全传输，其中涉及到很多知识点和成本。

对于知识点来讲，企业不知道自己所掌握的这些知识点和信息安全方法是不是足以满足目前的法规或者标准要求;从成本上来讲，做好这些防患于未然的准备工作是很耗费财力精力的，在不清楚标准要求，法规要求的前提下，不会也不应该贸然投入，以免导致资源浪费。

信息安全不是一家公司的问题，也不是几家安全公司的问题，而是从巨头到各互联网公司以及产品供应商、服务提供商，大家要共同推动的事情。而随着国内外交易与产品推广的加速发展，信息安全领域的优化，迫在眉睫。

物联网产品开发，更需从技术层面解读GDPR法案

当一般企业或者个人在应对GDPR法案时，目前一些法务机构可以从法律层面上来解读，企业的产品哪里是合法的，哪里是不合法的，但是从产品开发的技术角度来说，如何让它变的合法，这就需要像SCA联盟这样的专业技术服务机构提供关于企业产品符合GDPR要求的产品开发技术合规性咨询啦。

2018年6月11日在上海证大美爵酒店，即将召开由SCA联盟主办的“GDPR欧盟一般数据保护法案（欧盟个人隐私保护法）基础解析会议”。从框架层面介绍如何从技术上满足GDPR的要求。提升对于个人数据管理活动的了解，协助组织推动相关开发和管理工作，以及了解现行个人数据管理与国际标准和法律、法规之间的差异，持续强化管理能力。

欢迎从事管理体系活动、公司治理、产品技术开发、政策制定经理人、管理体系代表、审核员、运营风险管理相关经理人、法务与合规人员等人士报名参会。

关于SCA安全通信联盟：

SCA安全通信联盟简称SCA，由安全通信和安全身份认证产业链中不同业务层面的企业决策层人员共同发起组成的一个中立、专业、开放的业务、技术、趋势等信息交流和产品服务平台，目前联盟拥有来自6个国家的50多家企业成员。

SCA是全球首家牵头制定符合国际信息安全标准ISO15408（Common Criteria）的智能家居信息安全国际技术规范的机构，与国际信息安全领域专家有着积极的沟通与交流。