经过两年的准备之后,欧盟关于个人数据和隐私保护的法律条例“通用数据保护条例”GDPR (General Data Protection Regulation) 终于于今年5月25日正式生效了。根据 GDPR 的规定,企业在收集、存储、使用个人信息上要取得用户的同意,用户对自己的个人数据有绝对的掌控权。GDPR 对企业违法行为的惩处力度非常大,行为轻微的要罚款1000万欧元或全年营收的2%(两者取最高值),行为严重的则要罚款2000万欧元或全年营收的4%(两者取最高值)。很多企业都已经根据 GDPR 进行相应的合规准备,以确保他们的业务行为和 IT 系统都是合规的。
一个企业要做到 GDPR 合规需要包含各个方面的准备,包括业务流程、法务、运营、审计等各个方面,其中正确地实施各种 IT 系统是企业实现 GDPR 合规的一个重要环节。数字化工作空间平台 Workspace ONE 就是一个很好的例子,作为业界第一个智能驱动的数字化工作空间平台,Workspace ONE 让企业员工通过各种智能设备便利地访问企业的各种应用,同时做好企业信息安全的保护。Workspace ONE 针对企业员工、应用、智能设备有一整套的安全管控措施,这些在数据安全和隐私保护方面的举措很好地满足了 GDPR 的要求。
让我们来看一下 Workspace ONE 是如何在数据安全和隐私保护这两个方面做到 GDPR 合规的。
1. 控制和策略
Workspace ONE 是基于 AirWatch 统一端点管理技术构建的,企业可以利用 Workspace ONE 平台来管理各位类型的智能设备,包括:iOS、Android、Windows 10、macOS、Chrome OS 和各种强固设备 (Rugged Device)。管理员能够通过一个控制台界面来管理所有这些不同类型的设备,设置哪些数据需要被管理和收集,例如:企业配发手机的电话号码可以收集,但是员工自带手机的号码不会被收集 (在 GDPR 条例下这可能属于个人隐私数据);企业擦除这种数据防丢失 (DLP – Data loss prevention) 操作只会擦除企业相关数据 (防止企业敏感数据泄漏),而不会触碰任何个人数据。DLP 和个人隐私控制由专门的 CPO (Chief Privacy Officer) 来管理,防止 IT 管理团队做出的设置跟企业隐私策略相冲突。Workspace ONE Intelligence 服务能够让管理团队洞察员工的整个数字化工作空间 (笔记本电脑、平板、手机等),确保企业的信息安全和隐私保护策略满足 GDPR 的要求。
2. 隐私策略透明
Workspace ONE 也明确定义了个人隐私数据是如何被保护的,它通过一个专用的 Privacy App 来告诉员工设备上的哪些数据会被企业收集、哪些数据不会被收集,收集到的数据是如何被使用的,从而让每个员工都清楚地了解企业对于员工隐私数据的保护,消除他们对于 Workspace ONE 在个人隐私方面的顾虑。
员工也可以访问 https://whatisworkspaceone.com/privacy/ 网站来进一步了解 Workspace ONE 平台关于个人隐私的策略。
3. 隐私同意流程
除了让隐私策略对员工透明之外,Workspace ONE 也建立了一套用户认知和同意流程。当员工第一次使用 Workspace ONE 或对 Workspace ONE app 进行升级时,Workspace ONE 会告知 Workspace ONE 平台上的各种应用 (如邮件客户端 Boxer) 是如何收集和使用数据的,这些应用获取了哪些权限 (例如访问通讯录和手机日历),另外还有企业关于员工隐私的保护策略。大家可以点击链接看一下这个流程的演示视频。
这套流程包含有“事先同意 (opt-in)”和“选择退出 (opt-out)”的机制,把选择权和控制权交到最终用户手中。这套流程也被嵌入到了 Workspace ONE 的 SDK 开发包中,以便于第三方厂商或客户利用 SDK 包开发其他的应用。
Workspace ONE 平台内置了数据保护的能力、隐私控制和管理、隐私策略透明,让企业更加方便地实现合规的目标,这些措施让 Workspace ONE 平台在企业的 GDPR 合规项目中扮演着重要的角色。
本文内容来自于 VMware 终端用户计算事业部高级产品经理 Sachin Sharma 的博客文章 “3 Ways Workspace ONE Can Simplify Data Protection and Privacy As Part Of Your GDPR Compliance Program“。