一、背景

2016年4月27日，歐盟議會(huì)通過(guò)《一般數(shù)據(jù)保護(hù)條例》》(General Data Protection Regulation，簡(jiǎn)稱GDPR),法律條例并已在2018年5月25日生效。該條例旨在加強(qiáng)對(duì)歐盟境內(nèi)居民的個(gè)人數(shù)據(jù)和隱私保護(hù)并直接適用于歐盟各成員國(guó)，其取代了1995年頒布的《數(shù)據(jù)保護(hù)指令》。

適用范圍(屬地+屬人原則)：只要在歐盟成員國(guó)境內(nèi)設(shè)立的公司，必須保護(hù)歐盟成員國(guó)居民的個(gè)人隱私信息，此為屬地原則。此外，即使公司不在歐盟境內(nèi)設(shè)立，但有涉及接觸歐盟成員國(guó)居民的個(gè)人隱私信息，也必須遵守GDPR，此為屬人原則。

違規(guī)者罰金：違反GDPR的行為，嚴(yán)重違規(guī)者罰金上限為2000萬(wàn)歐元或該集團(tuán)全球年?duì)I業(yè)額的4%(以兩者較高者為準(zhǔn));一般違規(guī)者罰金上限為1000萬(wàn)歐元或該集團(tuán)全球年?duì)I業(yè)額的2%(以兩者較高者為準(zhǔn))。

[[253831]]

二、GDPR企業(yè)合規(guī)指南

本指南描述了如何從技術(shù)和管理兩個(gè)方向滿足歐盟GDPR通用數(shù)據(jù)保護(hù)條例，旨在設(shè)計(jì)、編碼、測(cè)試、部署，管理各個(gè)環(huán)節(jié)提高企業(yè)整體的GDPR合規(guī)性，適用于前端與后端的軟件開發(fā)、系統(tǒng)測(cè)試、系統(tǒng)運(yùn)維和GDPR合規(guī)制度編寫。

1. GDPR技術(shù)合規(guī)性指南

(1) 終端操作系統(tǒng)層自檢項(xiàng)目

• 與云端的所有通信，特別是OTA更新，都應(yīng)采用加密協(xié)議,例如HTTPS,此外還需要啟用證書合法性檢查，不能信任任意證書;
• 最小化服務(wù)組件;
• 最下化開放的端口;
• 禁止開放adb調(diào)試接口;
• 終端進(jìn)程要求以非root運(yùn)行;
• OTA更新包要進(jìn)行哈希校驗(yàn)(建議sha256)和數(shù)字簽名(RSA2048)，防止被劫持篡改;
• 要求做好root防護(hù)，不允許從普通用戶非法提升到root用戶權(quán)限;
• 要求不允許從U盤安裝第三方應(yīng)用，僅支持從應(yīng)用商店下載安裝應(yīng)用;
• 定期更新操作系統(tǒng)的安全補(bǔ)丁，由云端發(fā)起，隨OTA更新或進(jìn)行熱補(bǔ)丁更新;
• 恢復(fù)出廠設(shè)置后，所有存儲(chǔ)的個(gè)人信息需要被徹底刪除;

(2) 終端APP底層自檢項(xiàng)目

• 與云端的所有通信，特別是賬號(hào)相關(guān)的通信，都應(yīng)采用TLS加密協(xié)議，例如HTTPS，此外還需要啟用證書合法性檢查，不能信任任意證書;
• APP獲取操作系統(tǒng)的能力需要遵循最小化原則，例如：如果不需要定位信息，語(yǔ)音，照相等就不要啟用該能力;
• 遵循最小化原則，只能收集隱私協(xié)議中公示的個(gè)人數(shù)據(jù);
• 盡量不要采集MAC地址，IMEI地址等硬件的全球唯一標(biāo)識(shí)，如果一定要采集，需要在隱私協(xié)議中公示其用途，用戶同意后方可采集，并且要在云端后臺(tái)進(jìn)行加密或匿名化處理;
• 確保密碼、密鑰或其敏感信息沒有在緩存和日志中輸出;
• 存儲(chǔ)的個(gè)人敏感信息應(yīng)加密處理;
• 上傳數(shù)據(jù)建議進(jìn)行哈希校驗(yàn)(建議sha256)和數(shù)字簽名(RSA2048)，確保完整性;
• 存儲(chǔ)的個(gè)人敏感信息必須設(shè)置最大保存時(shí)間，超過(guò)時(shí)間必須刪除

(3) 終端APP人機(jī)交互層自檢項(xiàng)目

• 開機(jī)應(yīng)提示用戶閱讀隱私協(xié)議，隱私協(xié)議被瀏覽完才可以顯示同意按鈕，隱私協(xié)議中應(yīng)區(qū)分必須采集和不必須采集的兩個(gè)部分，不必須采集的部分用戶可以選擇不同意采集;
• 注冊(cè)賬號(hào)時(shí)，應(yīng)提示用戶閱讀隱私協(xié)議，隱私協(xié)議被瀏覽完才可以顯示同意按鈕，隱私協(xié)議中應(yīng)區(qū)分必須采集和不必須采集的兩個(gè)部分，不必須采集的部分用戶可以選擇不同意采集;
• 隱私協(xié)議和用戶協(xié)議應(yīng)分開顯示不能混在一起;
• 應(yīng)具備用戶賬號(hào)注銷能力，用戶選擇注銷后，提示用戶其在云端存儲(chǔ)的與個(gè)人相關(guān)的所有信息將被徹底刪除或采取匿名化處理;
• 應(yīng)具備撤銷對(duì)隱私協(xié)議同意的功能，用戶可以方便的撤回同意，同意撤回后，隱私協(xié)議中提及的個(gè)人信息將不再采集;
• 應(yīng)具備讓用戶自己選擇刪除部分或全部個(gè)人數(shù)據(jù)的能力，例如刪除其搜索記錄和觀看記錄，云端應(yīng)將其選擇刪除的數(shù)據(jù)做徹底刪除或匿名化處理;
• 應(yīng)具備讓用戶自己查看其個(gè)人數(shù)據(jù)的能力，例如瀏覽其搜索記錄，觀看記錄等;
• 應(yīng)具備讓用戶自己控制是否開啟根據(jù)其個(gè)人畫像提供的自動(dòng)服務(wù)，例如廣告推送，節(jié)目推薦;
• 應(yīng)具備讓用戶自己更改個(gè)人相關(guān)信息的能力，例如昵稱，電話，住址等;
• 對(duì)用戶隱私數(shù)據(jù)的使用目的和范圍，應(yīng)與用戶隱私條款展示的內(nèi)容相同，不得采集和使用用戶隱私協(xié)議中沒有提及的個(gè)人隱私數(shù)據(jù)，如果有新功能需要采集個(gè)人隱私數(shù)據(jù)，則需要同時(shí)更改隱私條款，并在功能更新后提示用戶重新閱讀隱私條款，并重新獲取用戶同意;
• 不得以用戶不同意隱私協(xié)議為理由，整體拒絕用戶對(duì)APP的使用，用戶不同意隱私協(xié)議的情況下，應(yīng)能提供不需要采集隱私數(shù)據(jù)就可以實(shí)現(xiàn)的功能

(4) 云端應(yīng)用程序?qū)幼詸z項(xiàng)目

• 存儲(chǔ)的應(yīng)用程序日志中的IP,MAC,IMEI信息應(yīng)進(jìn)行加密或者匿名化處理(例如IP匿名化可以隱藏掉最后一位);
• 存儲(chǔ)的用戶個(gè)人敏感信息應(yīng)進(jìn)行加密處理，建議采用AES256算法進(jìn)行加密，加密秘鑰要妥善保管不能被泄露;
• 存儲(chǔ)的用戶密碼應(yīng)進(jìn)行哈希處理，要求采用加隨機(jī)鹽的哈希方式進(jìn)行存儲(chǔ)，算法建議使用sha256,最好能做到哈希摘要與隨機(jī)鹽分庫(kù)存儲(chǔ);
• 存儲(chǔ)的用戶個(gè)人敏感信息(基于大數(shù)據(jù)的個(gè)人畫像)需要有一定時(shí)間限制，不能無(wú)限制永久保存，到期后應(yīng)自動(dòng)刪除，存儲(chǔ)保留時(shí)間應(yīng)該與隱私協(xié)議中描述的一致;
• 應(yīng)有能力證明用戶對(duì)隱私協(xié)議的同意情況;
• 建立終端漏洞補(bǔ)丁管理系統(tǒng)，定期收集檢測(cè)安全漏洞，下發(fā)更新安全補(bǔ)丁;
• 下發(fā)數(shù)據(jù)建議進(jìn)行哈希校驗(yàn)(建議sha256)和數(shù)字簽名(RSA2048)，確保完整性;

”云端https服務(wù)需要導(dǎo)入RSA2048位證書，TLS協(xié)議建議配置為使用TLS1.2和1.3，禁止使用SSL1.0,SSL2.0,SSL3.0和TLS1.0，安全協(xié)議簇配置配置建議如下：

• 建議秘鑰交換算法配置為ECDHE,禁止使用PSK。
• 建議數(shù)字簽名算法配置為RSA。
• 建議對(duì)稱加密算法配置為使用AES256-GSM,禁止使用DES,RC4。
• 建議哈希算法配置為使用SHA256或更高位數(shù)，禁止使用MD5和SHA1。

(5) 云端系統(tǒng)環(huán)境層自檢項(xiàng)目

• 需要部署防火墻，基于ip/端口進(jìn)行訪問控制，遵循最小化訪問原則只開放必須的IP和端口，遵循最大化控制原則限定訪問來(lái)源IP，并要定期核查端口是否還在使用，及時(shí)刪除過(guò)期規(guī)則;
• 需要部署WEB應(yīng)用防火墻，對(duì)http/https協(xié)議的載荷進(jìn)行安全檢查，并定期更新攻擊檢測(cè)規(guī)則;
• 需要部署入侵檢測(cè)系統(tǒng)，至少包含主機(jī)入侵檢測(cè)和網(wǎng)絡(luò)入侵檢測(cè)的其中一種，建議同時(shí)具備;
• 遠(yuǎn)程接入數(shù)據(jù)中心，至少應(yīng)該滿足“通過(guò)VPN接入”或“限定訪問來(lái)源IP”中的其中一種，建議同時(shí)具備;
• 遠(yuǎn)程接入數(shù)據(jù)中心，身份驗(yàn)證要支持雙因素，除了密碼驗(yàn)證以外還應(yīng)該同時(shí)被另一種驗(yàn)證方式確認(rèn)通過(guò)后方可判定訪問者身份驗(yàn)證成功;
• 遠(yuǎn)程接入數(shù)據(jù)中心，要求只能連接跳板機(jī)，只有跳板機(jī)具備訪問其他主機(jī)操作系統(tǒng)的能力，各業(yè)務(wù)主機(jī)之間不允許互相登錄跳轉(zhuǎn);
• 運(yùn)維賬號(hào)不能混用，要求一人一號(hào)，且所有操作動(dòng)作要求被記錄并留存至少三個(gè)月,需要被記錄的操作包括公有云賬號(hào)的運(yùn)維動(dòng)作記錄和業(yè)務(wù)操作系統(tǒng)上的運(yùn)維命令記錄;
• 數(shù)據(jù)庫(kù)要求開啟審計(jì)能力，對(duì)所有數(shù)據(jù)庫(kù)操作進(jìn)行記錄并保留至少三個(gè)月;
• 數(shù)據(jù)中心內(nèi)部要求根據(jù)業(yè)務(wù)劃分安全域，各業(yè)務(wù)安全域之間互訪需要遵循最小化原則;
• 操作系統(tǒng)，數(shù)據(jù)庫(kù)，中間件需要進(jìn)行安全加固;
• 需要部署安全漏洞檢查系統(tǒng)，定期對(duì)云端系統(tǒng)的漏洞進(jìn)行檢查，并部署安全補(bǔ)丁進(jìn)行修復(fù);
• 需要具備數(shù)據(jù)備份系統(tǒng)，定期對(duì)數(shù)據(jù)進(jìn)行備份，并驗(yàn)證備份集的可恢復(fù)性，確保在數(shù)據(jù)丟失或被破壞時(shí)可以恢復(fù)成功;
• 數(shù)據(jù)的備份文件要加密保存;
• 如果運(yùn)營(yíng)客戶是歐盟或其他海外用戶，云端數(shù)據(jù)中心建議部署在美國(guó)或歐盟境內(nèi)，避免跨境數(shù)據(jù)傳輸?shù)陌踩L(fēng)險(xiǎn)

2. GDPR管理合規(guī)性指南

(1) 基本要求自檢項(xiàng)目

• 要求明確公司在角色上是屬于數(shù)據(jù)控制者還是數(shù)據(jù)處理者或者是共同數(shù)據(jù)控制者，并在相關(guān)管理文件中明確該角色和角色權(quán)責(zé);
• 基于在歐盟區(qū)的業(yè)務(wù)范圍，建議在相關(guān)制度或規(guī)范中明確關(guān)于個(gè)人信息的處理和服務(wù)范圍，包括在哪些國(guó)家收集哪些個(gè)人信息、收集個(gè)人信息的目的及使用方式;
• 應(yīng)當(dāng)明確在歐盟區(qū)的業(yè)務(wù)范圍內(nèi)的當(dāng)?shù)乇O(jiān)管機(jī)構(gòu)、聯(lián)系方式及溝通機(jī)制，并將其寫入相關(guān)制度和規(guī)范中;
• 應(yīng)指定數(shù)據(jù)保護(hù)專員，并將其職責(zé)寫入相關(guān)制度和規(guī)范中;
• 應(yīng)明確向監(jiān)管機(jī)構(gòu)報(bào)告?zhèn)€人數(shù)據(jù)泄露的義務(wù)，并將其寫入相關(guān)制度和規(guī)范中;
• 應(yīng)明確向數(shù)據(jù)主體告知數(shù)據(jù)泄漏的義務(wù)，并將其寫入相關(guān)制度和規(guī)范中;
• 應(yīng)對(duì)數(shù)據(jù)處理活動(dòng)進(jìn)行記錄留存，并將其寫入相關(guān)制度和規(guī)范中;
• 應(yīng)將不允許跨境數(shù)據(jù)傳輸寫到相關(guān)制度和規(guī)范中

(2) 基本原則自檢項(xiàng)目

• 合法、公平和透明性原則：合法地、公平地并且以公開透明的方式對(duì)數(shù)據(jù)主體的個(gè)人數(shù)據(jù)進(jìn)行處理。針對(duì)該原則的應(yīng)對(duì)要寫入相關(guān)制度和規(guī)范中。
• 目的限制原則：基于具體、明確、合法的目的收集個(gè)人數(shù)據(jù)，且隨后不得以與該目的相違背的方式進(jìn)行處理。針對(duì)該原則的應(yīng)對(duì)要寫入相關(guān)制度和規(guī)范中。
• 最小范圍原則：數(shù)據(jù)應(yīng)是充足的、相關(guān)的并且限于數(shù)據(jù)處理目的最小必要范圍。針對(duì)該原則的應(yīng)對(duì)要寫入相關(guān)制度和規(guī)范中。
• 準(zhǔn)確性原則：數(shù)據(jù)應(yīng)是準(zhǔn)確的，且若有必要應(yīng)保持適時(shí)更新，采取一切合理措施確保與數(shù)據(jù)處理目的相悖的錯(cuò)誤數(shù)據(jù)被及時(shí)清除或更正。針對(duì)該原則的應(yīng)對(duì)要寫入相關(guān)制度和規(guī)范中。
• 存儲(chǔ)限制原則：以可識(shí)別數(shù)據(jù)主體身份的形式存儲(chǔ)的數(shù)據(jù)的存儲(chǔ)時(shí)間不能長(zhǎng)于實(shí)現(xiàn)個(gè)人數(shù)據(jù)處理目的所必需的時(shí)間。針對(duì)該原則的應(yīng)對(duì)要寫入相關(guān)制度和規(guī)范中。
• 完整和保密原則：數(shù)據(jù)處理應(yīng)當(dāng)以確保個(gè)人數(shù)據(jù)的適當(dāng)安全性的方式進(jìn)行，包括采取適當(dāng)?shù)募夹g(shù)或組織措施以保護(hù)數(shù)據(jù)免遭未經(jīng)授權(quán)或非法的處理以及意外的丟失、銷毀或破壞。針對(duì)該原則的應(yīng)對(duì)要寫入相關(guān)制度和規(guī)范中。
• 兒童信息處理原則：只有對(duì)年齡不小于16周歲的兒童的個(gè)人數(shù)據(jù)進(jìn)行的處理行為才是合法的。對(duì)年齡不滿16周歲的兒童，處理行為只有或至少在獲取了該兒童的監(jiān)護(hù)人的同意或授權(quán)時(shí)才是合法的。針對(duì)該原則的應(yīng)對(duì)要寫入相關(guān)制度和規(guī)范中。

(3) 數(shù)據(jù)主體的權(quán)利自檢項(xiàng)目

• 訪問權(quán)：數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者處獲得有關(guān)他或她的個(gè)人數(shù)據(jù)是否被處理的確認(rèn)結(jié)果。針對(duì)該權(quán)利的應(yīng)對(duì)要寫在相關(guān)制度和規(guī)范中。
• 更正權(quán)：數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者立即更正與其有關(guān)的錯(cuò)誤的個(gè)人數(shù)據(jù)。針對(duì)該權(quán)利的應(yīng)對(duì)要寫在相關(guān)制度和規(guī)范中。
• 清除權(quán)(被遺忘權(quán))：數(shù)據(jù)主體有權(quán)請(qǐng)求數(shù)據(jù)控制者立即清除與其相關(guān)的個(gè)人數(shù)據(jù)，同時(shí)數(shù)據(jù)控制者有義務(wù)立即清除相關(guān)個(gè)人數(shù)據(jù)。針對(duì)該權(quán)利的應(yīng)對(duì)要寫在相關(guān)制度和規(guī)范中。
• 限制處理權(quán)：數(shù)據(jù)主體有權(quán)限制數(shù)據(jù)控制者的處理行為。針對(duì)該權(quán)利的應(yīng)對(duì)要寫在相關(guān)制度和規(guī)范中。
• 持續(xù)控制權(quán)(可攜帶權(quán))：如果數(shù)據(jù)主體向某數(shù)據(jù)控制者提供與其有關(guān)的個(gè)人數(shù)據(jù)，那么該數(shù)據(jù)主體有權(quán)從該數(shù)據(jù)控制者處獲取結(jié)構(gòu)化、通用化和可機(jī)讀的上述數(shù)據(jù);同時(shí)，數(shù)據(jù)主體有權(quán)將這些數(shù)據(jù)轉(zhuǎn)移給其他數(shù)據(jù)控制者，原數(shù)據(jù)控制者不得進(jìn)行阻礙。針對(duì)該權(quán)利的應(yīng)對(duì)要寫在相關(guān)制度和規(guī)范中。
• 拒絕權(quán)：數(shù)據(jù)主體有權(quán)基于其自身特殊情況隨時(shí)對(duì)其實(shí)施的涉及其個(gè)人數(shù)據(jù)的處理行為，其中包括識(shí)別分析行為。針對(duì)該權(quán)利的應(yīng)對(duì)要寫在相關(guān)制度和規(guī)范中。
• 自動(dòng)化的個(gè)人自決權(quán)：數(shù)據(jù)主體有權(quán)不受僅基于自動(dòng)化處理行為得出的決定的制約，以避免對(duì)個(gè)人產(chǎn)生法律影響或與之相類似的顯著影響，該自動(dòng)化處理包括識(shí)別分析。針對(duì)該權(quán)利的應(yīng)對(duì)要寫在相關(guān)制度和規(guī)范中。
• 應(yīng)建立在進(jìn)行更正/限制處理/刪除個(gè)人數(shù)據(jù)時(shí)，通知個(gè)人數(shù)據(jù)接收者的機(jī)制，以及在基于用戶的請(qǐng)求執(zhí)行相應(yīng)操作后，及時(shí)通知其他數(shù)據(jù)接收者同步處理用戶個(gè)人數(shù)據(jù)的機(jī)制。

(4) 個(gè)人信息事件處理自檢項(xiàng)目

• 應(yīng)建立建立對(duì)于終端用戶投訴個(gè)人信息相關(guān)問題的處理流程;
• 應(yīng)針對(duì)歐盟業(yè)務(wù)制定個(gè)人信息安全事件的協(xié)調(diào)處理流程、事件報(bào)告流程、事件分類分級(jí)、事件發(fā)生后與監(jiān)管機(jī)構(gòu)或數(shù)據(jù)控制者的對(duì)接流程、上報(bào)時(shí)間限制等處理機(jī)制。

3. 其他信息安全保護(hù)規(guī)范

• 需要有安全補(bǔ)丁的管理規(guī)定，明確發(fā)現(xiàn)安全漏洞后，安全補(bǔ)丁修復(fù)的流程;
• 應(yīng)該在公司相關(guān)制度和規(guī)定文件中明確使用個(gè)人數(shù)據(jù)的管理要求，尤其是對(duì)使用個(gè)人數(shù)據(jù)進(jìn)行測(cè)試的情況加以控制，包括測(cè)試系統(tǒng)的訪問、申請(qǐng)使用測(cè)試數(shù)據(jù)的流程、數(shù)據(jù)使用后的銷毀與處置、使用記錄的保留等內(nèi)容;
• 應(yīng)保留操作系統(tǒng)和數(shù)據(jù)庫(kù)的操作記錄，包括操作時(shí)間、操作人、操作賬號(hào)、操作內(nèi)容等信息，并定期對(duì)操作記錄進(jìn)行復(fù)核，保留復(fù)核記錄;
• 應(yīng)建立完善關(guān)于權(quán)限管理相關(guān)制度文件，應(yīng)明確賬號(hào)管理原則、賬號(hào)管理要求、賬號(hào)管理流程(申請(qǐng)、審批、變更、關(guān)閉)等內(nèi)容，在執(zhí)行層面通過(guò)建立權(quán)限清單和權(quán)限復(fù)核機(jī)制，控制訪問權(quán)限;
• 應(yīng)建立完善密碼安全相關(guān)的管理要求，例如完善密碼設(shè)置規(guī)則、密碼更改要求、密碼重置要求;
• 應(yīng)建立完善定期對(duì)開啟的端口及服務(wù)進(jìn)行復(fù)核的管理要求，在發(fā)現(xiàn)未關(guān)閉的端口及服務(wù)后，須及時(shí)通知運(yùn)維人員予以管理;
• 應(yīng)建立數(shù)據(jù)備份恢復(fù)相關(guān)的管理規(guī)定