欧洲通用数据保护规则如何改变产品设计

——解释了欧洲的GDPR法规即将执行的问题和电子公司将如何解决这些问题

作者:Rutronik 公司嵌入式和无线营销总监:Bernd Hantsche

“Alexa,我邻居的彩票中奖了吗?”Amazon的虚拟个人助理很容易回答这个问题,因为这些在线服务现在收集和关联的数据是如此之多。Facebook和LinkedIn等社交网络可以执行同样令人不安的任务,揭示人与群体之间的隐秘联系。即使是简单的物联网设备,比如连接式恒温器、智能门锁和Wi-Fi照明,现在也能泄露敏感的个人信息。
在某些地方,这些网络和设备的技术能力受到数据保护法的限制。然而,在中国,正在试点推动个人数据分析的边界,根据用户的数字足迹对其进行评估和分类。然后,将这些分类用于决定是否给公民发放贷款,或是发放哪类火车票。父母使用这个系统来获取关于他们孩子潜在配偶的信用信息。如果试点进展顺利,分析工具将在全国范围内作为一个“社会信誉系统”在2020年推出。中国希望它能帮助创造更好、更谨慎的公民,因为在这样一个数字监控的社会里,他们的每一个失误都会导致社会可见的后果。
向专制说“不”
对隐私的态度因文化而异。在欧洲,在欧洲,在专制政权下,他们想要了解和控制人们生活中最私密的细节,但隐私仍然受到高度重视。这就是为什么欧盟在2016年4月推出了通用数据保护法规(GDPR),并在今年5月25日将做出强制性规定。GDPR的制定是为了回应对现有数据保护措施的不满,包括国家各州的不一致的实施,以及罚款数额太小,不足以引发及时地采取行动。
在GDPR下,目前,罚款金额可能高达每年集团营业额的4%,达到2000万美元的上限,这更有动力。随着GDPR的实施,其他主要的改变是,在过去的情况下,你认为你做了合理的保护个人数据的事情,然后和监管机构讨论,如果他们发现了错误,现在如果你不能证明你做了正确的事情,法律就认为你没有做了正确的事情。
保护设备上的个人数据
对于几乎所有的组织,尤其是硬件设计人员来说,这都是一个挑战。
GDPR适用于所有的欧洲自然人。对许多组织来说,其后果是如此之大,以至于正在创造新的角色,信息技术、人力资源、质量保证和其他部门的员工必须快速学习,并进行深入的合作,以改写公司的政策和指导方针。
硬件和软件开发人员、产品经理、购买者和有价证券管理人都面临着他们自己的GDPR问题。该条例第32条涵盖“处理的安全性”,而第25条讨论“设计和默认的数据保护”。
这些章节将对电子工程师和嵌入式软件专家产生深远的影响。例如,GDPR表示,个人数据应该被加密,在某种程度上考虑到相关的最先进的技术。目前还不清楚哪些数据将被视为个人信息,这还没有得到法律上的澄清。同样,“技术发展最新水平”的定义对所有元件、流程和预期应用的解释都是开放的。GDPR的这一条款意味着设计者必须始终使用基于RSA的非对称加密策略,或者大约快1000倍的AES方法吗?对于哪些应用,从法律的角度来看,错误检查和纠正或混合SSL/TLS方法将是一个令人满意的折衷方案?
GDPR所要求的数据处理和数据保护的安全性并没有随着加密问题而结束。例如,法规规定数据处理必须“永久”保证。那么,设计师们是否会选择更持久的单级单元的NAND闪存,或者选择更便宜的三层电池和NAND内存的RAID阵列来满足这些规定呢?
冗余电源用于医生电脑?
GDPR还规定必须始终提供数据系统。这是否意味着每个拥有个人数据的医生的电脑都必须有一个多余的电源?如果是这样的话,如何使用备用电池来查看不间断电源,以及有多少保护措施可以被视为足够?考虑到设计也应该具有内置的冗余和额外的高质量结构,在发生物理或技术事故时,是否需要快速恢复对个人数据的访问?
你越分析这两段话,并关注在线论坛的讨论,就越会对未能遵守GDPR的所有要求感到担忧——或者更糟的是,不得不面对由市场竞争对手发起的一连串勒令停止通知,声称你的设计违反了它的规定。
保护显示、用户界面、无线连接等
我们的设计团队已经对GDPR的影响进行了一段时间的评估,我们对它的研究越多,它的影响就越明显。
起初,团队专注于核心主题,如数据传输、数据存储和数据处理设备要符合GDPR的要求。我们现在将我们的视野扩展到了更系统的问题上,比如寻找方法来克服黑客对“社会工程” 设备的攻击,防止黑客利用合法用户获取非法访问的信息,或者从合法用户那里骗取关键的安全信息。解决这个问题可能意味着放弃使用可以被黑客攻击的PIN码和密码,转而使用指纹传感器等生物传感器。
GDPR涉及硬件和软件开发等的多个方面。设计师们可能不得不开始使用带有狭窄视角的显示器,就像那些熟悉的银行机器一样,以保护敏感数据不被俯瞰。也可能是时候了,开始使用私有的无线协议,通过滚动代码保护,以创建比标准协议更安全的无线链接。嵌入式设计人员必须了解所有的机理,在引导过程、更新和正常操作期间,他们的系统有可能会被恶意代码破坏,以保护流经他们设备的用户信息。
获得GDPR帮助
Rutronik已建立多学科的专家团队,帮助客户理解执行GDPR要求所涉及的问题。来自存储技术、无线技术、嵌入式板卡、嵌入式系统、安全模块、微控制器、显示器、传感器产品领域的专家,已经开发出完整的系统概念,尽他们的知识和信念满足GDPR要求。我们不能取消客户对符合规定要求的责任,但我们可以提供有关安全隐患的灵通消息、最新的建议。
Rutronik还发布了一份全面的安全白皮书,从2018年初开始,将有一个专家团队在客户集会期间支持销售团队。销售人员也在接受有关GDPR在线课程的培训。
当我们努力满足GDPR的要求时,值得记住的是,这么做不仅仅是为了逃避惩罚。这些努力还有另一个重要目的:为Alexa和所有收集和处理个人数据的其他设备设置明确的界限。我们在欧洲最不希望看到的是一个“社会信用”机构——调查准新娘和新郎,以及其他所有人!
在欧洲,在专制政权下,他们想要了解和控制人们生活中最私密的细节,但隐私仍然受到高度重视。
我们的设计团队已经对GDPR的影响进行了一段时间的评估,我们对它的研究越多,它的影响就越明显。
需要阅读更多内容,请点击“环球 SMT与封装