隱私保護一直都是信息安全領(lǐng)域的一個內(nèi)容。隨著《一般數(shù)據(jù)保護條例》(General Data Protection Regulation，以下簡稱GDPR)的正式實施，隱私保護與伴隨而來的數(shù)據(jù)安全成為了企業(yè)必須面對的課題。本文針對隱私保護和數(shù)據(jù)安全方面的內(nèi)容，展現(xiàn)一個相對全面，客觀的視角，幫助企業(yè)更深入的了解和理解當(dāng)下隱私保護和數(shù)據(jù)安全的前沿態(tài)勢，以及如何落地該法案。

[[230787]]

隱私保護一直都是信息安全領(lǐng)域的一個內(nèi)容，隨著歐盟委員會于2016年4月14日投票通過了商討四年之久的《一般數(shù)據(jù)保護條例》(General Data Protection Regulation，以下簡稱GDPR)，隱私保護與伴隨而來的數(shù)據(jù)安全在近2年成為了歷次國際性安全會議中不可或缺的議題，在2018年4月的RSA2018會議中也有多個會議議題與次相關(guān)。本文結(jié)合RSA2018展會上觀察到情況和后續(xù)了解的一些其他資料，針對隱私保護和數(shù)據(jù)安全方面的內(nèi)容，展現(xiàn)一個相對全面，客觀的視角，幫助企業(yè)更深入的了解和理解當(dāng)下隱私保護和數(shù)據(jù)安全的前沿態(tài)勢，以及如何落地該法案。

一、 GDPR在國外的影響

在RSA2018展會中，除了有多個會議主題涉及GDPR和隱私保護的內(nèi)容外，筆者還看到了不少廠家均針對GDPR的要求對自身的產(chǎn)品進行改善。例如，微軟公司在其Azure云平臺中特別強調(diào)了對隱私保護的保護措施和聲明，而一些包括安全防護類、數(shù)據(jù)/行為分析類、安全漏洞與安全配置檢測類、安全認證類的設(shè)備廠家紛紛在其產(chǎn)品中增加了與GDPR有關(guān)的功能項，這些功能項包括專門針對隱私數(shù)據(jù)的防護策略和組件(如Checkpoint)、隱私數(shù)據(jù)在機構(gòu)網(wǎng)絡(luò)中流動的監(jiān)測與分析(如BigID)、針對GDPR的安全基線評估項(如Titania)，以及輸出對標(biāo)GDPR合規(guī)要求的專業(yè)分析報告(如Evident)。筆者在現(xiàn)場的直觀感受是，GDPR的影響無所不在，就連一些通常認為合規(guī)不怎么覆蓋的領(lǐng)域如軟件代碼安全檢測領(lǐng)域也有廠家(如Veracode)在其宣傳材料和現(xiàn)場演示中宣稱他們的產(chǎn)品可以針對GDPR的要求對代碼中隱私數(shù)據(jù)安全保護的機制進行評估和審計。就RSA2018展會整體來看，國外(歐美)大量的安全廠家顯然是十分關(guān)注GDPR，并確實為此對產(chǎn)品進行了新一輪的開發(fā)與更新完善，雖然GDPR和我國國內(nèi)絕大部分的機構(gòu)產(chǎn)生的交集很少，但國外安全廠家這種對合規(guī)的關(guān)注和產(chǎn)品更新的市場態(tài)度值得我們國內(nèi)安全廠家學(xué)習(xí)。

圖：RSA2018展會中筆者參加的一場關(guān)于GDPR的演講

圖：微軟公司office365的合規(guī)分析界面

二、 《個人信息安全規(guī)范》中國版的 GDPR

《信息安全技術(shù) 個人信息安全規(guī)范》(GB/T 35273—2017)(以下簡稱《個人信息安全規(guī)范》或《規(guī)范》)是我國國家質(zhì)量監(jiān)督檢驗檢疫總局和國家標(biāo)準(zhǔn)化管理委員會在2017年12月29日發(fā)布，2018年5月1日正式實施的一部關(guān)于我國公民個人隱私安全保護重磅技術(shù)標(biāo)準(zhǔn)。與GDPR不同的是，該標(biāo)準(zhǔn)不是一部強制性標(biāo)準(zhǔn)而是一部推薦性標(biāo)準(zhǔn)。盡管如此，該標(biāo)準(zhǔn)在編制之初，各界專家以及我國監(jiān)管機構(gòu)都對此給予了高度關(guān)注和重視。在2016年中央網(wǎng)信辦《關(guān)于加強國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見》的第二部分《加強標(biāo)準(zhǔn)體系建設(shè)》中就提出“推進急需重點標(biāo)準(zhǔn)制定”，并明確將制定“個人信息保護”方面的標(biāo)準(zhǔn)列為工作重點之一。該標(biāo)準(zhǔn)的編制有以下四個特點[4]:

特點1：充分考慮標(biāo)準(zhǔn)在多方訴求方面的平衡性

標(biāo)準(zhǔn)的編制不僅考慮了個人對信息保護的訴求，也同時考慮了社會發(fā)展應(yīng)用的需求、國家安全的需求。做到多方的價值平衡。

特點2：立足國內(nèi)現(xiàn)有的法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)

標(biāo)準(zhǔn)的編制考慮到與現(xiàn)有法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)要求的一致性。包括全國人大常委會《關(guān)于維護互聯(lián)網(wǎng)安全的決定》、全國人大常委會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》、《刑法修正案(五)》、《刑法修正案(七)》、《刑法修正案(九)》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》(GB/Z28812-2012)、《信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》(報批稿)等。

特點3：參考對標(biāo)國際最先進的規(guī)則和立法

標(biāo)準(zhǔn)的編制參考了在個人信息保護方面最先進的國外立法。例如，OECD(經(jīng)濟合作與發(fā)展組織)隱私框架、APEC(亞洲太平洋經(jīng)濟合作組織)隱私框架等國際規(guī)則，歐盟《通用數(shù)據(jù)保護條例》(GDPR)、歐美“隱私盾”(EU-US Privacy Shield)協(xié)議、美國“消費者隱私權(quán)法案”(Consumer Privacy Bill of Rights)等歐美個人信息保護方面的立法.

特點4：不是自成一體而是與國際接軌

標(biāo)準(zhǔn)的編制在內(nèi)容上與國際標(biāo)準(zhǔn)接軌，主要參考ISO/IEC 29100系列標(biāo)準(zhǔn)，包括：ISO/IEC 29100《隱私保護框架》、ISO/IEC 29101《隱私體系架構(gòu)》、ISO/IEC 29190《隱私能力評估模型》、ISO/IEC 29134《隱私影響評估》、ISO/IEC29151《個人可識別信息保護指南》等。此外，還有美國的保護個人身份信息機密性指南(NIST SP800-122)、聯(lián)邦信息系統(tǒng)隱私與安全控制(NISTSP800-53);歐盟的數(shù)據(jù)保護審計實踐清單(CWA 15262:2005)，管理者的自評估框架(CWA 16112:2010)，個人數(shù)據(jù)保護良好實踐(CWA 16113:2010)，等等

限于篇幅，本文不在此對《個人信息安全規(guī)范》進行詳細解讀，但有兩點需要特別指出。第一，雖然該標(biāo)準(zhǔn)是推薦性標(biāo)準(zhǔn)，但是該標(biāo)準(zhǔn)的定位是我國個人信息保護工作的基礎(chǔ)性標(biāo)準(zhǔn)文件。它是我國今后開展與個人信息保護相關(guān)的各類活動的參考標(biāo)準(zhǔn)，而且也為今后制定和實施個人信息保護相關(guān)法律法規(guī)奠定基礎(chǔ)。因此社會各機構(gòu)，尤其是與個人信息搜集及使用緊密聯(lián)系的金融、運營商、醫(yī)療、社保、教育以及政府等機構(gòu)務(wù)必認真關(guān)注和研讀該標(biāo)準(zhǔn)并開展相關(guān)的數(shù)據(jù)安全建設(shè)活動。第二，該標(biāo)準(zhǔn)的整體內(nèi)容要求不亞于國際標(biāo)準(zhǔn)，在某些內(nèi)容上甚至高于國際標(biāo)準(zhǔn)，即便是對比GDPR。例如《個人信息安全規(guī)范》要求組織開展個人信息安全培訓(xùn)，對建立個人信息保護負責(zé)人和個人信息保護工作機構(gòu)的組織大小及個人信息處理數(shù)量做出了規(guī)定(見10.1 明確責(zé)任部門與人員);要求建立個人信息安全影響評估制度，定期(至少每年一次)開展個人信息安全影響評估(見10.2 開展個人信息安全影響評估);要求對接觸個人敏感信息的內(nèi)部人員開展背景調(diào)查，除了培訓(xùn)還需考核，并使用自動化審計工具(見10.4 人員管理與培訓(xùn));要求開展個人信息安全審計(見10.5 安全審計)。以上這些條款和要求在GDPR中都沒有明確或涉及。

三、 企業(yè)機構(gòu)開展隱私與數(shù)據(jù)安全保護建設(shè)的建議

在企業(yè)機構(gòu)開展隱私與數(shù)據(jù)安全保護建設(shè)時，企業(yè)高管們首先應(yīng)該高度重視機構(gòu)本身所肩負對客戶隱私信息的保護責(zé)任。因為沒有應(yīng)有的盡責(zé)不僅將失去用戶的信任，也將面臨著來自合規(guī)的處罰。

根據(jù)RSA[5]對法國、德國、意大利、英國和美國的7500名消費者的調(diào)查結(jié)論表示，80%的消費者表示銀行類和金融類數(shù)據(jù)丟失是最令人關(guān)注的問題。而發(fā)生信息泄露后，62%的個人認為他們會責(zé)怪商家未盡到責(zé)任而不是責(zé)怪黑客。在我國，個人信息泄露也是一個重災(zāi)區(qū)，人民日報2016的報道顯示有數(shù)據(jù)統(tǒng)計，在個人信息保護方面，網(wǎng)民被泄露的個人信息涵蓋范圍非常廣泛，其中78.2%的網(wǎng)民個人身份信息被泄露過，包括網(wǎng)民的姓名、學(xué)歷、家庭住址、身份證號及工作單位等。

GDPR規(guī)定對于未遵從該法規(guī)的企業(yè)將處以最高2千萬歐元或企業(yè)年度收入的4%(二者取其最高者)。而國內(nèi)《中國人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)第六十四條針對侵害個人信息的機構(gòu)提出了處罰違法所得1-10倍的罰款或100萬以下罰款(無違法所得)，嚴重的吊銷業(yè)務(wù)許可或營業(yè)執(zhí)照。此外對直接負責(zé)的主管人員或其他直接責(zé)任人還有1-10萬元的處罰。

那么，企業(yè)具體應(yīng)該如何展開建設(shè)呢?筆者認為可以從以下五個方面來開展。

1. WHAT

• 結(jié)合機構(gòu)自身的業(yè)務(wù)內(nèi)容和覆蓋范圍，組織專項人員學(xué)習(xí)了解與個人信息保護相關(guān)的國內(nèi)外法律法規(guī)和相關(guān)標(biāo)準(zhǔn)。
• 制訂機構(gòu)隱私數(shù)據(jù)保護建設(shè)的方向和建設(shè)內(nèi)容

2. HOW

仔細回顧和評估機構(gòu)對個人信息數(shù)據(jù)保護與相應(yīng)法律法規(guī)在合規(guī)要求上的一致性和存在差距。評估內(nèi)容包括個人信息數(shù)據(jù)在業(yè)務(wù)開展過程中是以哪種形式被收集的?在收集過程中是否對用戶提供清晰的解釋并獲得了用戶的明確許可?包括機構(gòu)本身以及機構(gòu)委托或與之合作的第三方機構(gòu)在內(nèi)的數(shù)據(jù)控制與處理主體是如何對收集的數(shù)據(jù)進行處理及保存?機構(gòu)是否對用戶提供了撤回或刪除個人信息的渠道及方式方法?數(shù)據(jù)控制主體在個人信息數(shù)據(jù)保護方面(包括對信息數(shù)據(jù)完整性、可用性、機密性、不可抵賴性、真實性、可控性)具備怎樣的保護機制以及保護措施的效果是否達到了與合規(guī)要求相符的期望?機構(gòu)在發(fā)生信息泄露時是否具備的應(yīng)急處置機制，包括在規(guī)定時間內(nèi)的監(jiān)管上報機制、事件排查及數(shù)據(jù)恢復(fù)機制、與第三方(如云服務(wù)商、CERT等)聯(lián)動處置機制、在規(guī)定時間內(nèi)向客戶進行通告的通報機制?

3. WHO

• 對業(yè)務(wù)和數(shù)據(jù)流進行梳理，明確認知哪些客戶的個人信息被收集，是否存在過度收集的情況? 尤其是未成年人以及歐美個人的個人信息。
• 明確在業(yè)務(wù)處理過程中，機構(gòu)內(nèi)部哪些人員具備對個人信息的訪問權(quán)和控制權(quán)。權(quán)限的合理性和最小需求設(shè)置是否正確。
• 明確在業(yè)務(wù)處理過程中，來自第三方的哪些外部人員具備對個人信息的訪問權(quán)和控制權(quán)。權(quán)限的合理性和最小需求設(shè)置是否正確。
• 根據(jù)機構(gòu)情況，建立數(shù)據(jù)保護小組或相應(yīng)的部門機構(gòu)，任命數(shù)據(jù)保護官員(Data Protection Officer，DPO)，明確其工作職責(zé)并保證其工作的獨立性。

4. WHERE

清晰辨析和知曉個人信息數(shù)據(jù)的物理和邏輯存放位置，本地還是云端，國內(nèi)還是國外。尤其是對于涉及公有云的業(yè)務(wù)情況，需要評估是否涉及跨境數(shù)據(jù)存放以及評估業(yè)務(wù)所在國對跨境數(shù)據(jù)存放與傳輸?shù)姆梢?guī)定對業(yè)務(wù)開展的影響情況。

5. WHEN

• 每年定期在機構(gòu)內(nèi)部開展個人信息數(shù)據(jù)保護的培訓(xùn)工作。培訓(xùn)內(nèi)容包含在業(yè)務(wù)開展中保護個人數(shù)據(jù)的實施操作指南，發(fā)生信息泄露后的上報及處置機制與流程等
• 每年定期在機構(gòu)內(nèi)部開展針對個人信息數(shù)據(jù)保護情況的安全審計工作。審計的內(nèi)容主要包括機構(gòu)的隱私保護安全政策、實施流程以及措施有效性等。

四、 主要的注意事項

結(jié)合《個人信息安全規(guī)范》與GDPR的要求，在隱私數(shù)據(jù)安全防護建設(shè)中有以下五個事項需要得企業(yè)機構(gòu)著重關(guān)注。

1. 數(shù)據(jù)主體信息的獲取與刪除

個人信息的獲取無疑是所有隱私保護工作的初始，沒有獲取，自然也無從談起對其的安全保護。但在獲取過程中，作為數(shù)據(jù)控制的實體，在數(shù)據(jù)獲取過程中，必須考慮以下三點。其一，信息數(shù)據(jù)的搜集遵循最小需求的原則。對于與業(yè)務(wù)功能無關(guān)聯(lián)的數(shù)據(jù)不應(yīng)進行搜集。其二，對于未成年人個人數(shù)據(jù)的獲取?！秱€人信息安全規(guī)范》5.5條款中提到對于未成年人的數(shù)據(jù)搜集必須獲得其監(jiān)護人的明示同意。其三，對于從非數(shù)據(jù)主體間接獲取數(shù)據(jù)的方式除需要合法合規(guī)外，還需要認識到獲取數(shù)據(jù)的同時意味著自身也承擔(dān)了對數(shù)據(jù)進行保護的等同責(zé)任。

《個人信息安全規(guī)范》和GDPR都明確了數(shù)據(jù)主體所具備的對個人信息數(shù)據(jù)進行刪除的權(quán)利(《規(guī)范》稱為主體參與原則，GDPR稱為刪除權(quán)或被遺忘權(quán))。就目前而言，提供刪除的功能以及刪除相應(yīng)數(shù)據(jù)的工作在短期內(nèi)全球大部分企業(yè)可能都難以提供和完成。當(dāng)然，一些巨型跨國公司較早認識到這點并已開始提供此項功能，例如Facebook和Google已提供個人數(shù)據(jù)下載和賬戶信息刪除功能。對用戶而言，一旦他們向上述服務(wù)商提交個人數(shù)據(jù)刪除申請后，它們將在最長90天的時間內(nèi)進行相關(guān)信息刪除。

圖：Facebook提供個人信息下載的入口

圖：谷歌個人賬戶刪除頁面

2. 第三方合作方的合規(guī)遵從

對企業(yè)機構(gòu)而言在與第三方開展合作時，務(wù)必考慮以下二點。其一，只要第三方參與并涉及到個人信息數(shù)據(jù)的讀取、存儲、再加工等，第三方均有責(zé)任對數(shù)據(jù)進行保護。其二，與第三方的合作，對企業(yè)機構(gòu)而言不意味著安全責(zé)任也隨之外包。在此過程中，作為數(shù)據(jù)控制主體的機構(gòu)應(yīng)該與合作方通過簽署一系列的合同和協(xié)議來進行安全約定。這些內(nèi)容包括約定合作方應(yīng)有的安全保護措施、對數(shù)據(jù)的最小采集(包括范圍、類型和數(shù)量)、最小使用(僅限特定用途)、發(fā)生信息泄露的處置措施和處罰措施以及當(dāng)合作終止時，對數(shù)據(jù)的回收以及第三方對數(shù)據(jù)(包括原始和備份數(shù)據(jù))的銷毀。

與第三方合作中最難的是與云服務(wù)商的合作。由于云計算及應(yīng)用場景特殊的屬性，使得在滿足監(jiān)管合規(guī)時更難以應(yīng)對，因此企業(yè)機構(gòu)在選擇云服務(wù)商時更需要認真考察其對隱私保護的承諾以及所具備的能力。以AWS和Google Cloud為例，AWS為了滿足GDPR合規(guī)的要求，在2017年11月專門出了一份介紹其如何滿足GDPR要求的文檔[6]。而谷歌公司則做出了官方承諾[7]以及介紹其如何滿足GDPR的說明文檔[8]。

圖：谷歌公司對GDPR合規(guī)滿足說明文檔

3. 信息泄露后的應(yīng)急處置與用戶通告

在當(dāng)前復(fù)雜的網(wǎng)絡(luò)攻擊和各種利益誘惑下，想要完全杜絕發(fā)生個人信息泄露的行為幾乎是件不可能完成的任務(wù)。因此機構(gòu)在開展建設(shè)時需要建立應(yīng)急處置機制、制定和完善應(yīng)急處置預(yù)案。對于國內(nèi)機構(gòu)而言，發(fā)生信息泄露事件后除了應(yīng)按照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》和行業(yè)監(jiān)管要求及時向相應(yīng)監(jiān)管部門進行上報，也應(yīng)該通過多種方式向涉及到個人數(shù)據(jù)主體進行及時的告知(詳見《個人信息安全規(guī)范》9.2條款)。在此，機構(gòu)需特別注意通告的及時性，GDPR要求是事件發(fā)生后的72小時內(nèi)，超出必須進行解釋?！兑?guī)范》雖然沒有具體明確時限，但也是強調(diào)要及時。因此企業(yè)機構(gòu)有必要在信息泄露的應(yīng)急預(yù)案中明確對受侵害數(shù)據(jù)主體的通告方式以及通告時限。

4. 個人隱私保護權(quán)利不是無限的

當(dāng)公眾談個人隱私保護的時候，有少部分人會陷入一個誤區(qū)，常把個人隱私的權(quán)利無限放大或置于國家和公眾的利益之上。事實上，無論是國外和國內(nèi)，主流的觀點都是認為個人隱私保護的權(quán)利也是受限的，并不存在完全無條件的權(quán)利。在GDPR和《個人信息安全規(guī)范》中針對數(shù)據(jù)主體隱私數(shù)據(jù)的多項權(quán)利和處置原則，都明確了一些例外情況?？傮w而言，當(dāng)隱私保護的權(quán)利和處置原則與國家安全、防務(wù)、政府監(jiān)管、公共安全、公共利益、司法程序與司法獨立等發(fā)生沖突的情況下，首先滿足的是后者的需求。因此機構(gòu)切不可為了保護隱私數(shù)據(jù)而走向另一個極端。舉例來說，監(jiān)管機構(gòu)在網(wǎng)絡(luò)上提供失信人員名單查詢，失信人員因此發(fā)起法律訴訟聲稱自己的隱私權(quán)益受到侵害，在此情況下，考慮到失信人員可能對公眾利益造成損害，其法律訴訟可能并不被支持和受理。又如，當(dāng)本國司法機關(guān)按法律程序要求進行隱私數(shù)據(jù)查詢時，作為數(shù)據(jù)控制者的機構(gòu)應(yīng)該提供其開展司法訴訟成立、行使、辯護所必須的信息數(shù)據(jù)。但國外政府機構(gòu)或國際機構(gòu)的類似訴求必須得到本國政府機構(gòu)的明確同意后才可以提供。

5. 人的因素

根據(jù)國內(nèi)媒體報道近年來我國侵犯公民個人信息類刑事案件的數(shù)量呈逐年上升趨勢，尤其是2017年，該類案件陡增，與2016年相比，同比增長了81%。

圖：2014-2017年全國侵犯公民個人信息類安全件數(shù)據(jù)趨勢

在這些案例中統(tǒng)計發(fā)現(xiàn)有不到兩成的被告人系通過利用職務(wù)或工作之便、侵入計算機系統(tǒng)等竊取的方式獲得公民個人信息。這些被告人行為主體主要是企業(yè)機構(gòu)或國家機構(gòu)人員，例如金融機構(gòu)的職員、快遞行業(yè)從業(yè)人員、房地產(chǎn)從業(yè)人員、教育培訓(xùn)機構(gòu)人員、戶籍民警、稅務(wù)人員等。涉及最多的三項罪名為非法獲取公民個人信息罪、出售、非法提供公民個人信息罪和侵犯公民個人信息罪[9] 。從以上資料信息可以看到內(nèi)部人員的潛在威脅是機構(gòu)開展隱私數(shù)據(jù)安全保護建設(shè)過程中必須考慮的威脅因素，而這也是GDPR和《個人信息安全規(guī)范》有相應(yīng)獨立章節(jié)條款來規(guī)范對內(nèi)部人員的管理與訪問控制、開展持續(xù)的安全培訓(xùn)與安全審計的原因。

五、 結(jié)束語

GDPR和《個人信息安全規(guī)范》這類法規(guī)和標(biāo)準(zhǔn)的制定、發(fā)布與正式實施將對企業(yè)機構(gòu)未來的隱私數(shù)據(jù)安全保護建設(shè)帶來許多的改變。法規(guī)和標(biāo)準(zhǔn)中的條款內(nèi)容對數(shù)據(jù)控制者提出了非常高的合規(guī)要求。盡管一些條款仍有爭議，但法規(guī)和標(biāo)準(zhǔn)的適用對象仍需保持開放和接受的心態(tài)并以認真和積極的態(tài)度投入到這一場需要極大耐心和耐力的征程當(dāng)中。

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文