隱私保護一直都是信息安全領域的一個內容。隨著《一般數據保護條例》(General Data Protection Regulation，以下簡稱GDPR)的正式實施，隱私保護與伴隨而來的數據安全成為了企業必須面對的課題。本文針對隱私保護和數據安全方面的內容，展現一個相對全面，客觀的視角，幫助企業更深入的了解和理解當下隱私保護和數據安全的前沿態勢，以及如何落地該法案。

　　隱私保護一直都是信息安全領域的一個內容，隨著歐盟委員會于2016年4月14日投票通過了商討四年之久的《一般數據保護條例》(General Data Protection Regulation，以下簡稱GDPR)，隱私保護與伴隨而來的數據安全在近2年成為了歷次國際性安全會議中不可或缺的議題，在2018年4月的RSA2018會議中也有多個會議議題與次相關。本文結合RSA2018展會上觀察到情況和后續了解的一些其他資料，針對隱私保護和數據安全方面的內容，展現一個相對全面，客觀的視角，幫助企業更深入的了解和理解當下隱私保護和數據安全的前沿態勢，以及如何落地該法案。

　　一、 GDPR在國外的影響

　　在RSA2018展會中，除了有多個會議主題涉及GDPR和隱私保護的內容外，筆者還看到了不少廠家均針對GDPR的要求對自身的產品進行改善。例如，微軟公司在其Azure云平臺中特別強調了對隱私保護的保護措施和聲明，而一些包括安全防護類、數據/行為分析類、安全漏洞與安全配置檢測類、安全認證類的設備廠家紛紛在其產品中增加了與GDPR有關的功能項，這些功能項包括專門針對隱私數據的防護策略和組件(如Checkpoint)、隱私數據在機構網絡中流動的監測與分析(如BigID)、針對GDPR的安全基線評估項(如Titania)，以及輸出對標GDPR合規要求的專業分析報告(如Evident)。筆者在現場的直觀感受是，GDPR的影響無所不在，就連一些通常認為合規不怎么覆蓋的領域如軟件代碼安全檢測領域也有廠家(如Veracode)在其宣傳材料和現場演示中宣稱他們的產品可以針對GDPR的要求對代碼中隱私數據安全保護的機制進行評估和審計。就RSA2018展會整體來看，國外(歐美)大量的安全廠家顯然是十分關注GDPR，并確實為此對產品進行了新一輪的開發與更新完善，雖然GDPR和我國國內絕大部分的機構產生的交集很少，但國外安全廠家這種對合規的關注和產品更新的市場態度值得我們國內安全廠家學習。

　　二、 《個人信息安全規范》中國版的 GDPR

　　《信息安全技術 個人信息安全規范》(GB/T 35273—2017)(以下簡稱《個人信息安全規范》或《規范》)是我國國家質量監督檢驗檢疫總局和國家標準化管理委員會在2017年12月29日發布，2018年5月1日正式實施的一部關于我國公民個人隱私安全保護重磅技術標準。與GDPR不同的是，該標準不是一部強制性標準而是一部推薦性標準。盡管如此，該標準在編制之初，各界專家以及我國監管機構都對此給予了高度關注和重視。在2016年中央網信辦《關于加強國家網絡安全標準化工作的若干意見》的第二部分《加強標準體系建設》中就提出“推進急需重點標準制定”，并明確將制定“個人信息保護”方面的標準列為工作重點之一。該標準的編制有以下四個特點[4]:

　　特點1：充分考慮標準在多方訴求方面的平衡性

　　標準的編制不僅考慮了個人對信息保護的訴求，也同時考慮了社會發展應用的需求、國家安全的需求。做到多方的價值平衡。

　　特點2：立足國內現有的法律、法規、規章、標準

　　標準的編制考慮到與現有法律、法規、規章、標準要求的一致性。包括全國人大常委會《關于維護互聯網安全的決定》、全國人大常委會《關于加強網絡信息保護的決定》、《刑法修正案(五)》、《刑法修正案(七)》、《刑法修正案(九)》、《電信和互聯網用戶個人信息保護規定》、《信息安全技術公共及商用服務信息系統個人信息保護指南》(GB/Z28812-2012)、《信息安全技術信息技術產品供應方行為安全準則》(報批稿)等。

　　特點3：參考對標國際最先進的規則和立法

　　標準的編制參考了在個人信息保護方面最先進的國外立法。例如，OECD(經濟合作與發展組織)隱私框架、APEC(亞洲太平洋經濟合作組織)隱私框架等國際規則，歐盟《通用數據保護條例》(GDPR)、歐美“隱私盾”(EU-US Privacy Shield)協議、美國“消費者隱私權法案”(Consumer Privacy Bill of Rights)等歐美個人信息保護方面的立法.

　　特點4：不是自成一體而是與國際接軌

　　標準的編制在內容上與國際標準接軌，主要參考ISO/IEC 29100系列標準，包括：ISO/IEC 29100《隱私保護框架》、ISO/IEC 29101《隱私體系架構》、ISO/IEC 29190《隱私能力評估模型》、ISO/IEC 29134《隱私影響評估》、ISO/IEC29151《個人可識別信息保護指南》等。此外，還有美國的保護個人身份信息機密性指南(NIST SP800-122)、聯邦信息系統隱私與安全控制(NISTSP800-53);歐盟的數據保護審計實踐清單(CWA 15262:2005)，管理者的自評估框架(CWA 16112:2010)，個人數據保護良好實踐(CWA 16113:2010)，等等

　　限于篇幅，本文不在此對《個人信息安全規范》進行詳細解讀，但有兩點需要特別指出。第一，雖然該標準是推薦性標準，但是該標準的定位是我國個人信息保護工作的基礎性標準文件。它是我國今后開展與個人信息保護相關的各類活動的參考標準，而且也為今后制定和實施個人信息保護相關法律法規奠定基礎。因此社會各機構，尤其是與個人信息搜集及使用緊密聯系的金融、運營商、醫療、社保、教育以及政府等機構務必認真關注和研讀該標準并開展相關的數據安全建設活動。第二，該標準的整體內容要求不亞于國際標準，在某些內容上甚至高于國際標準，即便是對比GDPR。例如《個人信息安全規范》要求組織開展個人信息安全培訓，對建立個人信息保護負責人和個人信息保護工作機構的組織大小及個人信息處理數量做出了規定(見10.1 明確責任部門與人員);要求建立個人信息安全影響評估制度，定期(至少每年一次)開展個人信息安全影響評估(見10.2 開展個人信息安全影響評估);要求對接觸個人敏感信息的內部人員開展背景調查，除了培訓還需考核，并使用自動化審計工具(見10.4 人員管理與培訓);要求開展個人信息安全審計(見10.5 安全審計)。以上這些條款和要求在GDPR中都沒有明確或涉及。

　　三、 企業機構開展隱私與數據安全保護建設的建議

　　在企業機構開展隱私與數據安全保護建設時，企業高管們首先應該高度重視機構本身所肩負對客戶隱私信息的保護責任。因為沒有應有的盡責不僅將失去用戶的信任，也將面臨著來自合規的處罰。

　　根據RSA[5]對法國、德國、意大利、英國和美國的7500名消費者的調查結論表示，80%的消費者表示銀行類和金融類數據丟失是最令人關注的問題。而發生信息泄露后，62%的個人認為他們會責怪商家未盡到責任而不是責怪黑客。在我國，個人信息泄露也是一個重災區，人民日報2016的報道顯示有數據統計，在個人信息保護方面，網民被泄露的個人信息涵蓋范圍非常廣泛，其中78.2%的網民個人身份信息被泄露過，包括網民的姓名、學歷、家庭住址、身份證號及工作單位等。

　　GDPR規定對于未遵從該法規的企業將處以最高2千萬歐元或企業年度收入的4%(二者取其最高者)。而國內《中國人民共和國網絡安全法》(以下簡稱《網絡安全法》)第六十四條針對侵害個人信息的機構提出了處罰違法所得1-10倍的罰款或100萬以下罰款(無違法所得)，嚴重的吊銷業務許可或營業執照。此外對直接負責的主管人員或其他直接責任人還有1-10萬元的處罰。

　　那么，企業具體應該如何展開建設呢?筆者認為可以從以下五個方面來開展。

　　1. WHAT

　　結合機構自身的業務內容和覆蓋范圍，組織專項人員學習了解與個人信息保護相關的國內外法律法規和相關標準。

　　制訂機構隱私數據保護建設的方向和建設內容

　　2. HOW

　　仔細回顧和評估機構對個人信息數據保護與相應法律法規在合規要求上的一致性和存在差距。評估內容包括個人信息數據在業務開展過程中是以哪種形式被收集的?在收集過程中是否對用戶提供清晰的解釋并獲得了用戶的明確許可?包括機構本身以及機構委托或與之合作的第三方機構在內的數據控制與處理主體是如何對收集的數據進行處理及保存?機構是否對用戶提供了撤回或刪除個人信息的渠道及方式方法?數據控制主體在個人信息數據保護方面(包括對信息數據完整性、可用性、機密性、不可抵賴性、真實性、可控性)具備怎樣的保護機制以及保護措施的效果是否達到了與合規要求相符的期望?機構在發生信息泄露時是否具備的應急處置機制，包括在規定時間內的監管上報機制、事件排查及數據恢復機制、與第三方(如云服務商、CERT等)聯動處置機制、在規定時間內向客戶進行通告的通報機制?

　　3. WHO

　　對業務和數據流進行梳理，明確認知哪些客戶的個人信息被收集，是否存在過度收集的情況? 尤其是未成年人以及歐美個人的個人信息。

　　明確在業務處理過程中，機構內部哪些人員具備對個人信息的訪問權和控制權。權限的合理性和最小需求設置是否正確。

　　明確在業務處理過程中，來自第三方的哪些外部人員具備對個人信息的訪問權和控制權。權限的合理性和最小需求設置是否正確。

　　根據機構情況，建立數據保護小組或相應的部門機構，任命數據保護官員(Data Protection Officer，DPO)，明確其工作職責并保證其工作的獨立性。

　　4. WHERE

　　清晰辨析和知曉個人信息數據的物理和邏輯存放位置，本地還是云端，國內還是國外。尤其是對于涉及公有云的業務情況，需要評估是否涉及跨境數據存放以及評估業務所在國對跨境數據存放與傳輸的法律規定對業務開展的影響情況。

　　5. WHEN

　　每年定期在機構內部開展個人信息數據保護的培訓工作。培訓內容包含在業務開展中保護個人數據的實施操作指南，發生信息泄露后的上報及處置機制與流程等

　　每年定期在機構內部開展針對個人信息數據保護情況的安全審計工作。審計的內容主要包括機構的隱私保護安全政策、實施流程以及措施有效性等。

　　四、 主要的注意事項

　　結合《個人信息安全規范》與GDPR的要求，在隱私數據安全防護建設中有以下五個事項需要得企業機構著重關注。

　　1. 數據主體信息的獲取與刪除

　　個人信息的獲取無疑是所有隱私保護工作的初始，沒有獲取，自然也無從談起對其的安全保護。但在獲取過程中，作為數據控制的實體，在數據獲取過程中，必須考慮以下三點。其一，信息數據的搜集遵循最小需求的原則。對于與業務功能無關聯的數據不應進行搜集。其二，對于未成年人個人數據的獲取?！秱€人信息安全規范》5.5條款中提到對于未成年人的數據搜集必須獲得其監護人的明示同意。其三，對于從非數據主體間接獲取數據的方式除需要合法合規外，還需要認識到獲取數據的同時意味著自身也承擔了對數據進行保護的等同責任。

　　《個人信息安全規范》和GDPR都明確了數據主體所具備的對個人信息數據進行刪除的權利(《規范》稱為主體參與原則，GDPR稱為刪除權或被遺忘權)。就目前而言，提供刪除的功能以及刪除相應數據的工作在短期內全球大部分企業可能都難以提供和完成。當然，一些巨型跨國公司較早認識到這點并已開始提供此項功能，例如Facebook和Google已提供個人數據下載和賬戶信息刪除功能。對用戶而言，一旦他們向上述服務商提交個人數據刪除申請后，它們將在最長90天的時間內進行相關信息刪除。

　　2. 第三方合作方的合規遵從

　　對企業機構而言在與第三方開展合作時，務必考慮以下二點。其一，只要第三方參與并涉及到個人信息數據的讀取、存儲、再加工等，第三方均有責任對數據進行保護。其二，與第三方的合作，對企業機構而言不意味著安全責任也隨之外包。在此過程中，作為數據控制主體的機構應該與合作方通過簽署一系列的合同和協議來進行安全約定。這些內容包括約定合作方應有的安全保護措施、對數據的最小采集(包括范圍、類型和數量)、最小使用(僅限特定用途)、發生信息泄露的處置措施和處罰措施以及當合作終止時，對數據的回收以及第三方對數據(包括原始和備份數據)的銷毀。

　　與第三方合作中最難的是與云服務商的合作。由于云計算及應用場景特殊的屬性，使得在滿足監管合規時更難以應對，因此企業機構在選擇云服務商時更需要認真考察其對隱私保護的承諾以及所具備的能力。以AWS和Google Cloud為例，AWS為了滿足GDPR合規的要求，在2017年11月專門出了一份介紹其如何滿足GDPR要求的文檔[6]。而谷歌公司則做出了官方承諾[7]以及介紹其如何滿足GDPR的說明文檔[8]。

　　3. 信息泄露后的應急處置與用戶通告

　　在當前復雜的網絡攻擊和各種利益誘惑下，想要完全杜絕發生個人信息泄露的行為幾乎是件不可能完成的任務。因此機構在開展建設時需要建立應急處置機制、制定和完善應急處置預案。對于國內機構而言，發生信息泄露事件后除了應按照《國家網絡安全事件應急預案》和行業監管要求及時向相應監管部門進行上報，也應該通過多種方式向涉及到個人數據主體進行及時的告知(詳見《個人信息安全規范》9.2條款)。在此，機構需特別注意通告的及時性，GDPR要求是事件發生后的72小時內，超出必須進行解釋?！兑幏丁冯m然沒有具體明確時限，但也是強調要及時。因此企業機構有必要在信息泄露的應急預案中明確對受侵害數據主體的通告方式以及通告時限。

　　4. 個人隱私保護權利不是無限的

　　當公眾談個人隱私保護的時候，有少部分人會陷入一個誤區，常把個人隱私的權利無限放大或置于國家和公眾的利益之上。事實上，無論是國外和國內，主流的觀點都是認為個人隱私保護的權利也是受限的，并不存在完全無條件的權利。在GDPR和《個人信息安全規范》中針對數據主體隱私數據的多項權利和處置原則，都明確了一些例外情況?？傮w而言，當隱私保護的權利和處置原則與國家安全、防務、政府監管、公共安全、公共利益、司法程序與司法獨立等發生沖突的情況下，首先滿足的是后者的需求。因此機構切不可為了保護隱私數據而走向另一個極端。舉例來說，監管機構在網絡上提供失信人員名單查詢，失信人員因此發起法律訴訟聲稱自己的隱私權益受到侵害，在此情況下，考慮到失信人員可能對公眾利益造成損害，其法律訴訟可能并不被支持和受理。又如，當本國司法機關按法律程序要求進行隱私數據查詢時，作為數據控制者的機構應該提供其開展司法訴訟成立、行使、辯護所必須的信息數據。但國外政府機構或國際機構的類似訴求必須得到本國政府機構的明確同意后才可以提供。

　　5. 人的因素

　　根據國內媒體報道近年來我國侵犯公民個人信息類刑事案件的數量呈逐年上升趨勢，尤其是2017年，該類案件陡增，與2016年相比，同比增長了81%。

　　在這些案例中統計發現有不到兩成的被告人系通過利用職務或工作之便、侵入計算機系統等竊取的方式獲得公民個人信息。這些被告人行為主體主要是企業機構或國家機構人員，例如金融機構的職員、快遞行業從業人員、房地產從業人員、教育培訓機構人員、戶籍民警、稅務人員等。涉及最多的三項罪名為非法獲取公民個人信息罪、出售、非法提供公民個人信息罪和侵犯公民個人信息罪[9] 。從以上資料信息可以看到內部人員的潛在威脅是機構開展隱私數據安全保護建設過程中必須考慮的威脅因素，而這也是GDPR和《個人信息安全規范》有相應獨立章節條款來規范對內部人員的管理與訪問控制、開展持續的安全培訓與安全審計的原因。

　　五、 結束語

　　GDPR和《個人信息安全規范》這類法規和標準的制定、發布與正式實施將對企業機構未來的隱私數據安全保護建設帶來許多的改變。法規和標準中的條款內容對數據控制者提出了非常高的合規要求。盡管一些條款仍有爭議，但法規和標準的適用對象仍需保持開放和接受的心態并以認真和積極的態度投入到這一場需要極大耐心和耐力的征程當中。

<menuitem id="zjj55"></menuitem>

<menuitem id="zjj55"></menuitem>

<big id="zjj55"></big>

責任編輯：韓希宇