数据保护法案
1. 谁有深度整理的欧盟《一般数据保护法案》(GDPR)核心要点中文内容
前言:
整理本文的原因有三:
1、 网上很多关于GDPR的文章并不全面,甚至有误
2、 以此机会在公司内部开展关于GDPR的专项培训
3、 青莲云的部分客户业务在未来会受到GDPR的影响
之后,我们计划编写一系列相关文章,更多的是站在企业角度来思考法案对物联网行业的影响以及应对措施,一来希望与同行企业可以就GDPR进行更多的互动讨论;二来也是希望传播国际法案对于安全和隐私的态度,共同提高物联网安全意识。
以下您将了解到:
1、 什么是GDPR(重要)
2、 GDPR的发展历程
3、 GDPR的关键术语定义(重要)
4、 GDPR会影响哪些企业(重要)
5、 GDPR不适用于哪些情况
6、 GDPR约束了哪些数据(重要)
7、 GDPR中数据主体的权利(重要)
8、 GDPR中处理个人数据的基本原则(重要)
9、 GDPR中对合法处理数据的定义
10、 GDPR中针对儿童数据的处理规定
11、 GDPR中数据控制者与数据处理者的义务(重要)
12、 GDPR中针对特别类型个人数据的处理规定
13、 GDPR中关于数据主体被遗忘权的规定(重要)
14、 GDPR中关于数据主体可携带权的规定(重要)
15、 GDPR中关于个人数据泄露通知的规定(重要)
16、 GDPR中关于设立数据保护官的规定
17、 GDPR关于执法和处罚的规定(非常重要)
18、 总结
什么是GDPR
2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(General Data Protection Regulation (GDPR)),新法案由11章共99条组成,该法案将于2018年5月25日正式生效,将取代现有的《数据保护指示》(Data Protection Directive 95/46/EC),统一欧盟成员国关于数据保护的法律法规。
此外,GDPR新规是在28个欧盟成员国统一实施生效的,这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。
GDPR作为一套用来保护欧盟公民个人隐私和数据的新法规,其颁布意味着欧盟对个人信息的保护及监管达到了前所未有的高度,堪称史上最严格的数据保护法案
GDPR的发展历程
(图片来自网络)
GDPR的关键术语定义
个人数据:是指任何指向一个已识别或可识别的自然人(数据主体)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份证号、定位数据、在线身份识别这列标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。
处理:是指针对个人数据或个人数据集合的任何一个或一系列操作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他利用、排列、组合、限制、删除或销毁,无论此操作是否采用自动化手段。
匿名化:是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据的处理方式。该处理方式将个人数据与其他额外信息分别存储,并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。
数据控制者:能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。
数据处理者:是指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。
数据接受者:只是接收到被传递的个人数据的主体,无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。政府因在欧盟或其成员国法律框架内特定调查接收到的个人数据,不得视为“数据接受者”。
个人数据外泄:是指个人数据在传输、存储或进行其他处理时的由安全问题引发的个人数据被意外或非法破坏、损失、变更、未经授权披露或访问。
GDPR会影响哪些企业
欧盟GDPR法案具有域外效应。也就是说,GDPR赋予了欧盟在个人信息安全方面的域外管辖权。
主要受影响的企业为以下四类:
l 设立在欧盟境内的企业(控制者、处理者)
l 未在欧盟境内设立,但向欧盟境内的数据主体(自然人)提供产品和服务的企业(控制者、处理者)
l 未在欧盟境内设立,但涉及监控欧盟境内数据主体(自然人)行为的企业(控制者、处理者)
l 未在欧盟境内设立,但在欧洲成员国法律适用的地方设立的企业(控制者、处理者)
总结来说,GDPR不仅适用于位于欧盟境内的企业组织机构,也适用于位于欧盟以外的企业组织机构,无论机构所在地位于哪里,只要其向欧盟数据主体提供产品、服务或者监控相关行为,或处理和持有居住在欧盟境内的数据主体的个人数据,都将受到GDPR法案的监管。
GDPR法案同样适用于“数据控制者”和“数据处理者”。如果是数据处理者涉案,数据控制者也无法免除责任,GDPR规定控制者需要承担更多的责任,以确保和数据处理者之间的合同能够严格遵守GDPR的规定。
GDPR不适用于哪些情况
GDPR更多的是监管企业对数据的使用行为。以下4个方面的数据使用情况不适用于GDPR:
l 为了预防、调查、侦查或起诉刑事犯罪,主管当局为执行刑事处罚目的而产生的数据处理行为
l 基于国家安全目的而产生的数据处理行为
l 自然人在纯粹的个人或家庭活动中产生的数据处理行为
l 欧盟法律规定范围之外的活动过程中产生的数据处理行为
GDPR约束了哪些数据
个人数据:
可以通过某个标识直接或间接识别某一自然人的信息。
不管是采用自动化手段还是人工进行归类的数据,包括按时间顺序排列的包含个人数据的记录集合。
已经被匿名化的个人数据,取决于用已有标识来识别特定个体的困难程度。
敏感个人数据:
也被称为“特殊种类的个人数据”。
包括揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员的个人数据。
包括遗传数据和经过处理可以唯一识别个体的生物特征数据。
不包括涉及刑事定罪和罪行的个人数据,但该类数据的处理和保存有特殊要求。
GDPR中数据主体的权利(第三章)
l 知情权
l 访问权
l 反对权
l 可携带权
l 纠正权
l 删除权/被遗忘权
l 限制处理权
l 免受数据画像影响
GDPR中处理个人数据的基本原则
l 合法、正当、透明
l 处理数据的目的是有限的
l 仅处理为达到目的的最少数据
l 确保数据准确、及时更新
l 存储数据的期限不得长于为达到目的所需要的时间
l 采取技术和管理措施以保护数据的安全
l 数据控制者有责任并应能够证明做到了以上几点
GDPR中对合法处理数据的定义
至少满足一下中的某一项,处理数据才是合法的
l 数据主体同意为了特定目的处理其数据
l 处理数据是为了签订或履行合同的需要
l 处理数据是为了遵守法定义务的需要
l 处理数据是为了保护数据主体或其他自然人的至关重要的利益
l 处理数据是为了公共利益或形式政府授受的权力
l 处理数据是为了追求数据控制者的合理利益,但不得损害数据主体的利益
GDPR中针对儿童数据的处理规定
处理16岁以下儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。各成员国可以对上述年龄进行调整,但是不得低于13岁
GDPR中数据控制者与数据处理者的义务
设置DPO(数据保护官)
文档化管理
数据保护影响评估
事先咨询机制
数据泄露报告机制
安全保障措施
遵守数据跨境转移规则
GDPR中针对特别类型个人数据的处理规定
禁止收集处理反映个人种族或民族起源、政治观点、宗教和哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据,如已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要并在法律允许的范围内且已采取了适当的保护手段等。
GDPR中关于数据主体被遗忘权的规定(重要)
当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。
如果该数据被传递给了任何第三方(或第三方网站),数据控制者应通知该第三方删除该数据。
GDPR中关于数据主体可携带权的规定(重要)
数据主体可向数据控制者索要其数据,也可将其个人数据转移至另一个数据控制者。
GDPR中关于个人数据泄露通知的规定(重要)
数据控制者应在72小时之内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时,数据控制者必须毫不延误的通知数据主体,以便数据主体及时采取措施。
GDPR中关于设立数据保护官的规定
为确保数据保护合规并处理数据保护相关事务,数据控制者和数据处理者需设置数据保护官(DPO)。
控制者和处理者应当对数据保护官不下达任何指令,DPO不能因为执行任务的原因被解雇或者受到刑事处罚。
数据保护官直接向最高管理者报告工作。
根据联盟法律或者成员国法律规定,数据保护官应当对其执行任务的内容进行保密。
数据保护官也可以执行其他任务,履行其他职责。
GDPR关于执法和处罚的规定(非常重要)
不遵守信的数据隐私法规的后果就是会受到严厉的制裁和巨额的罚款。
GDPR的处罚并不是像网上传的那样直接就罚全球营收的4%。而是有两个等级的征收行政性罚款的规定:
对于一般性的违法,罚款上限是1000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的2%(两者中取数额大者);
对于严重的违法,罚款上限是2000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者);
判罚的严重程度是基于以下因素:
l 违规的性质、严重程度和违规的持续时间
l 违规是故意的还是因疏忽造成的
l 对个人身份信息的责任心和控制程度
l 违规是单个事件还是重复事件
l 受到影响的个人资料的种类范围
l 数据主体遭遇的损害程度
l 为了减轻损害而采取的行动
l 由违规产生的财务预期或收益
GDPR核心旨在保护隐私数据,并通过法案约束来建立企业和公民之间的信任关系,违反GDPR的代价远不止财务层面,还将给企业声誉造成极大破坏,并且导致企业和消费者之间产生信任危机
总结
由于青莲云所在的物联网行业也处于GDPR法案的约束之中,故此整理出法案中的重点思想与业界分享。GDPR此次改革以保护公民的基本权利为理念,在提高个人数据保护标准的同时,也会增加企业的合规成本。法案的背后是对隐私和安全的需求,法案生效后会成为国际数据隐私保护标准。
对于物联网行业的相关企业(硬件、软件、制造、数据分析等)来说,从此刻开始提升物联网安全意识,关注数据安全和用户隐私安全,积极的采取相应的整改或强化措施刻不容缓。青莲云安全团队也将在不断提升自身安全攻防能力和安全合规意识的同时,与客户企业建立长期持续的安全咨询合作关系,共同建设安全、自主、可信的物联网安全新业态。
2. GDPR实施后,国内物联网企业应当如何应对
前言:
在上一篇文章中(深度整理 | 欧盟《一般数据保护法案》(GDPR)核心要点),我为大家分享了GDPR法案的核心要点,便于企业直观的了解到什么是GDPR以及对企业未来业务将会产生什么样的影响 。本文将着重针对GDPR中的核心要点来深度分析物联网行业的企业应该如何应对。这里的应对方案涉及到系统架构、人员管理、流程管理、风险评估、业务逻辑、应急响应等众多环节,由于不同企业的具体业务情况不同,以下内容可作为物联网企业自查的一种分析方式。
物联网行业的特殊性在于:原来很多设备是不联网的,所以不存在用户隐私泄露的风险。而如今,设备联网是大势所趋,数据的控制者和处理者都会直接或者间接的接触到非常多的个人用户数据,比如:姓名、性别、年龄、身份证号、手机号等等,另一方面,由于需要对设备和用户数据进行运营画像及监控,也会收集到更多关于用户行为的隐私数据。所以,GDPR对物联网企业的影响还是非常深远和重要的
青莲云作为一家物联网安全解决方案公司,通过多年来在网络安全、云安全、黑客攻防对抗和数据隐私保护等领域的经验积累,针对GDPR施行后,国内物联网企业的应对思路,总结出以下要点,可以作为企业在实践GDPR合规过程中的参考方向,以此分享出来与大家探讨。
国内物联网企业应对GDPR的建议思路:
1、 企业高管的直接重视
2、 合理区分数据控制者和数据处理者
3、 从设计之初保护隐私
4、 明确的获得客户的数据授权同意
5、 识别数据的存储位置
6、 识别数据的类型和风险
7、 识别数据的使用授权
8、 识别数据的移植和传输能力
9、 必要时能够清除个人数据
10、 具备快速识别并及时报告数据泄露事件的能力
11、 遵循数据最小化原则
12、 针对数据进行匿名化处理
13、 保证网络通信的机密性和数据完整性
14、 保证网络通信的强身份认证
15、 重视数据生命周期管理
16、 重视企业内部的隐私管控
17、 检查第三方供应商是否符合GDPR
18、 考虑设置专门的隐私保护人员
19、 具备其他安全合规性要求
20、 与专业安全公司保持紧密合作
企业高管的直接重视
无论是GDPR还是其他安全合规性的法规要求,更多的是与企业的管理/研发流程息息相关。而内部流程的推动更多的依赖企业高管的重视程度和实践决心。推动一项流程的正确实施需要自上而下有序进行,如果企业高管对推动合规性流程的意识不足或者重视程度不够,往往会造成非常多的人力时间成本浪费,也会影响到正常业务的开展进度。所以我们把企业高管的重视程度放在第一位。
合理区分数据控制者和数据处理者
GDPR中针对控制者和处理者有明确的描述。在实践GDPR中,企业首先要明确自己到底是属于数据的控制者还是处理者,这个定位非常重要。举个例子:如果企业使用Google Analytics(或者其他第三方数据分析服务商)针对网站进行用户行为分析,那么企业就是数据控制者,Google Analytics就是数据处理者。当数据主体(消费者)依据GDPR中的要求执行“被遗忘权”的时候,企业有责任去履行用户的合法要求,企业应当能够删除交给第三方数据分析服务商的用户个人数据。
从设计之初保护隐私
万丈高楼平地起。道理很简单,安全是IT系统的基石,如果基础的IT系统出现安全漏洞,特别是针对物联网行业,通过批量的远程升级往往都不能解决关于业务逻辑的安全问题。物联网企业在设计系统架构之初就应该把安全因素纳入架构设计范围。让安全从早期介入,才能避免后期因产生安全事故导致更严重的企业损失。
明确的获得客户的数据授权同意
GDPR在此处也有明确的描述,需要企业用非常明显且直白的方式告诉客户将会采集哪些数据(类似于APP的权限授权),特别是针对未成年人的物联网产品(如儿童手表、儿童故事机等),必须获得监护人的直接授权同意才可以收集相关数据。
识别数据存储的位置
数据是企业IT资产的一部分。当实践GDPR之前,企业必须要做的一件事就是识别数据存在哪了。物联网的底层架构的是云计算,云计算会用不同的数据存储技术来存储不同类型的数据,比如用Redis来存储缓存数据、用Hadoop来存储离线的大型日志文件、用Cassandra来存储一些碎片化的小文件。企业技术负责人必须清晰的意识到内部用到了哪些数据存储的技术或者组件,不同的组件存储了哪一类数据,识别“数据战场”是数据隐私保护的第一步。
识别数据的类型和风险
当识别清楚数据存储的位置之后,就需要对数据资产进行风险评估。思考企业所存储的数据种类都有哪些:如个人身份数据、定位数据、行为数据、金融数据?数据的类型有哪些:整型?浮点型?布尔型?图片/视频? 不同数据的泄露风险有哪些:如会导致用户信用卡被盗刷?会导致用户遭受垃圾邮件攻击?会导致用户身份被仿冒?会要导致用户行踪被跟踪?等等,依据企业建立的数据风险模型,可以为今后有针对性的部署安全解决方案提供有力支持。
识别数据的使用授权
在大部分的数据使用场景中,并不是只有企业自己对数据有完全的控制权和处理权。在大数据解决方案中,往往需要借助外部第三方企业的能力来对数据进行深入挖掘和分析,这时,对数据的使用授权管理就极为重要。企业需要明确的知道有哪些数据存在与第三方的数据服务交换或者直接把数据发送给了第三方。当有这种情况出现时,企业就变成了数据的控制者,如果由于第三方服务商出现了数据泄露问题,按照GDPR的法规约定,企业作为控制者也同时存在连带责任。
识别数据的移植和传输能力
在GDPR中规定,数据主体(消费者)有权力将个人信息向其他个人或组织进行传输。这就要求企业在设计系统架构时,能够支持数据的格式化处理,并且可移植,以及在多个供应商之间共享数据,同时还需要具备数据安全传输的解决方案,以实现在传输的过程之中确保数据的加密性、完整性和严格的双向身份认证。
必要时能够清除个人数据
数据主体的“被遗忘权”也在GDPR中也作为重点提出。企业必须有能力能够删除一些用户指定的或者用户不再允许使用的数据。企业应当能够具备快速的数据定位能力,并删除定位出来的用户数据,并且将这部分需要被删除的数据通知给第三方的数据服务商(如果这部分数据被第三方使用的话)。
具备快速识别并及时报告数据泄露事件的能力
这个能力我觉得非常重要,并且有很大的难度。难点有二:1、企业如何能够快速识别到自己的数据产生泄露了?纵观历史上或者近期的数据泄露案例,企业方基本都是后知后觉;2、企业是否有能力(魄力)在GDPR中规定的72小时之内及时向监管方及数据主体报告数据泄露事件?为什么说这个能力很难,相信企业管理者都能够感觉到,其实这并不完全是一个技术能力。
遵循数据最小化原则
在安全架构设计中有一个重要原则:最小化权限。即针对业务进行风险评估,仅仅提供能够满足业务运行的最小化权限,如尽量少开端口,禁用Root权限等。GDPR中的明确规定了数据最小化的原则,即,尽量少的收集用户数据,能够满足业务需要即可。通俗来讲:功能少了,风险自然就少,在数据安全方面也是同理。
针对数据进行匿名化处理
GDPR中对“匿名化”有明确的官方定义。其中有两次含义:1、以青莲云的系统架构举例,针对用户和设备不同类型的数据,进行分库/分类加密存储,以避免当出现数据泄露的情况下,一次性泄露全部且完整的用户个人数据;2、针对敏感数据进行匿名化处理,比如记录身份证号时,隐藏中间的生日数据段,避免因数据泄露而直接能够定位或指向某一个可识别的自然人。
保证网络通信的机密性和数据完整性
这里有两个要点:机密性和完整性。青莲云的系统架构中内置自研的物联网安全接入网关系统,网关不仅仅可以提供多种数据加密方式(AES/DES/SSL等),更能够针对每一个数据包进行安全签名和合法性校验,从而保证数据在加密传输的过程中,能够抵抗黑客发起的设备重放攻击行为,实现安全稳定的物联网数据传输。
保证网络通信的强身份认证
身份认证一定是双向而非单向的。对于物联网行业来说,身份认证主要包含设备与云端、设备与设备端、客户端与云端、客户端与设备端、云端与第三方接口以及云端本身的身份认证几个方面。在青莲云的系统架构中,也是由物联网安全接入网关系统来实现这一系列身份认证机制,能够抵抗黑客发起的设备伪造及其他数据伪造攻击行为。
重视数据生命周期管理
针对企业的研发流程,微软提出了SDL(安全开发生命周期),一共分为7个部分,从培训到最终的应急响应。针对数据也是如此,企业应当自查,从定义数据格式到采集数据,再到分析展现,直至持久化存储的生命周期中,是否能够做到安全可控。毕竟在生命周期的不同环节都面临不同的安全风险,能够有效的管理数据生命周期,是企业必备的安全能力之一。此处建议企业技术负责人仔细学习微软的SDL流程。
重视企业内部的隐私管控
隐私管控不仅仅限于GDPR,企业应当自查是否具备隐私管控的流程或者技术能力。此处包括但不限于:针对数据存储的隐私管控、针对OA系统的隐私管控、针对销售系统的隐私管控、针对办公网络的隐私管控、针对移动办公的隐私管控、针对离职员工的隐私管控、针对存储数据进行硬件销毁的隐私管控能力等。
检查第三方供应商是否符合GDPR
以青莲云举例:青莲云为物联网企业提供安全可信的物联网私有云/公有云服务,但是无论是公有云还是私有云,青莲云产品作为一套物联网安全软件系统,必须依赖某个云计算IaaS服务商。因此,企业在考虑第三方供应商是否满足GDPR合规要求的同时,不仅要考虑第三方供应商自己的安全能力(青莲云可以提供真正端到端的物联网安全解决方案),更需要考虑底层云计算厂商的GDPR合规性。以云计算代表亚马逊AWS和阿里云来说,两家厂商都有标准的GDPR合规性要求说明,同样值得企业关注。
考虑设置专门的隐私保护人员
在实践GDPR中,企业不仅仅需要高管人员的重视,同时需要培养专门的隐私保护人员,如首席隐私官(Chief Privacy Officer,CPO),或者是GDPR中明确提出的数据保护官(DPO)。即便企业没有该职位设置,也应当针对技术负责人、核心员工进行专门的隐私保护培训,建立相应的隐私保护流程,以满足GDPR的合规性要求。
具备其他安全合规性要求
企业的信息安全建设绝非一朝一夕能够完成。在关注GDPR之前,企业应当审视是否满足了国家的其他安全合规要求,比如:网络安全等级保护。至少在物联网应用层面,也应当具备一定的安全防御能力,并不能理解为我用了阿里云,安全就是阿里云来保障,更不能认为我的数据是加密的,就等于安全了。安全漏洞的产生更多的是跟业务逻辑相关,不止体现在针对数据的保护上,青莲云可以为物联网企业提供专门的安全咨询服务(安全培训+安全测试+物联网安全解决方案)。
与专业安全公司保持紧密合作
术业有专攻,安全来自于长期的经验积累和真实的黑客攻防对抗。很多物联网企业自身不具备组建专业安全团队的能力,企业应当更关注自身的业务和产品发展,并与安全企业建立长期合作伙伴关系:一方面可以提升自身业务的安全防护能力,另一方面也可以通过与安全企业的合作提升员工的安全意识,将安全漏洞扼杀在研发和测试流程中,从而提升量产产品的安全性。