欧盟将颁布新隐私法规，B2B 数据分享趋向复杂化

2017年6月26 日报道，开展国际业务的美国公司近来纷纷抱怨即将在 1 年内生效的欧盟新隐私法规过于严苛，应在控制哪些数据可以在线存储方面赋予消费者更多权利。

乔治城大学法律中心教授、国家安全与法律中心研究员 Clare Sullivan在无界网络会议（Borderless Cyber Conference）上表示个人数据 B2B 分享将趋向复杂化。Sullivan 认为，对于威胁情报团体而言，需要在私有部门与美国及国外政府实体之间制定明晰的规则，并且该规则不得与欧盟《全球数据保护法规》（GDPR）相冲突。

“组织机构参与全球 B2B 网络威胁情报分享的合法能力会受到许多因素影响。关注焦点在于 IP 地址能否作为网络威胁情报在组织机构间分享。”

美国公司在全球范围内具有举足轻重的地位，因此需要对欧盟隐私法进行深入了解。乔治城大学网络威胁分享项目调查结果显示，与欧盟存在贸易往来的许多国家也都采用了欧盟隐私条例。

“全球多数国家（除美国外）都遵循欧盟隐私模型并以现有的欧盟规定作为各自数据保护与隐私法规的依托。欧盟全球数据保护法规（GDPR）将于 2018 年 5 月正式生效，届时这些国家都将执行新规。”

全球多国采用欧盟隐私法规的原因在于欧盟始终坚持与其产生贸易往来的国家必须遵守欧盟隐私法规。欧盟模型对个人数据进行了非常宽泛的定义，将能够直接或间接识别个人身份的数据全部纳入考虑范畴。

尽管如此，相关企业需要特别关注欧盟新规《治外法权》（Extraterritoriality）。新规明确规定处理欧盟范畴个人数据的美国企业必须遵守欧盟数据保护法规，可以说是欧盟做出的一项重大改变。

美国曾与欧盟签署《美国-欧盟隐私保护协议》（US-EU Privacy Shield），允许 2,000 多家美国云服务公司传输欧盟公民个人数据至美国而无需承担违反欧盟基本隐私权的风险。今年 1 月，特朗普总统签署了一份行政命令，对上述协议内容进行了修改，避免在对非美国公民监控过程中与欧盟隐私法规产生冲突。此举产生的潜在后果是为在欧盟开展数字业务的美国公司制造了麻烦。据悉，协议年审将于今年 9 月进行。

在处理或收集 IP 地址等看似无害的信息方面，Sullivan 表示，判断 IP 地址是否属于个人信息这一问题存在模糊地带，应根据具体情况分析，但作为一项法规，不应让企业承担相应责任。此类法规不适用于威胁情报分享。

“当然，在网络安全方面，我们不希望将收集 IP 地址等操作告知当事人，但欧盟隐私法规允许以保护公共利益为由的数据收集行为。对此，负责对不透明问题发表非法律意见与裁决的欧盟第 29 条工作组（Article 29 Working Party）在威胁情报团体背景下审视了这一问题。”

Sullivan 的研究发现不仅有助于威胁情报团体理解即将面临的国际法律环境，还为全球企业制定政策与流程提供见解，实现及时、有效、合法的网络威胁分享。

原作者：Tom Spring，译者：游弋，校对：FOX

from hackernews.cc.thanks for it.