【数据安全】GDPR正式生效 企业如何建设隐私数据安全防护？

隐私保护一直都是信息安全领域的一个内容。随着《一般数据保护条例》（General Data Protection Regulation，以下简称GDPR）的正式实施，隐私保护与伴随而来的数据安全成为了企业必须面对的课题。本文针对隐私保护和数据安全方面的内容，展现一个相对全面，客观的视角，帮助企业更深入的了解和理解当下隐私保护和数据安全的前沿态势，以及如何落地该法案。

隐私保护一直都是信息安全领域的一个内容，随着欧盟委员会于2016年4月14日投票通过了商讨四年之久的《一般数据保护条例》（General Data Protection Regulation，以下简称GDPR），隐私保护与伴随而来的数据安全在近2年成为了历次国际性安全会议中不可或缺的议题，在2018年4月的RSA2018会议中也有多个会议议题与次相关。本文结合RSA2018展会上观察到情况和后续了解的一些其他资料，针对隐私保护和数据安全方面的内容，展现一个相对全面，客观的视角，帮助企业更深入的了解和理解当下隐私保护和数据安全的前沿态势，以及如何落地该法案。

一、     GDPR在国外的影响

在RSA2018展会中，除了有多个会议主题涉及GDPR和隐私保护的内容外，笔者还看到了不少厂家均针对GDPR的要求对自身的产品进行改善。例如，微软公司在其Azure云平台中特别强调了对隐私保护的保护措施和声明，而一些包括安全防护类、数据/行为分析类、安全漏洞与安全配置检测类、安全认证类的设备厂家纷纷在其产品中增加了与GDPR有关的功能项，这些功能项包括专门针对隐私数据的防护策略和组件（如Checkpoint）、隐私数据在机构网络中流动的监测与分析（如BigID）、针对GDPR的安全基线评估项（如Titania），以及输出对标GDPR合规要求的专业分析报告（如Evident）。笔者在现场的直观感受是，GDPR的影响无所不在，就连一些通常认为合规不怎么覆盖的领域如软件代码安全检测领域也有厂家（如Veracode）在其宣传材料和现场演示中宣称他们的产品可以针对GDPR的要求对代码中隐私数据安全保护的机制进行评估和审计。就RSA2018展会整体来看，国外（欧美）大量的安全厂家显然是十分关注GDPR，并确实为此对产品进行了新一轮的开发与更新完善，虽然GDPR和我国国内绝大部分的机构产生的交集很少，但国外安全厂家这种对合规的关注和产品更新的市场态度值得我们国内安全厂家学习。

图：RSA2018展会中笔者参加的一场关于GDPR的演讲

图：微软公司office365的合规分析界面

二、     《个人信息安全规范》中国版的 GDPR

《信息安全技术 个人信息安全规范》（GB/T 35273—2017）（以下简称《个人信息安全规范》或《规范》）是我国国家质量监督检验检疫总局和国家标准化管理委员会在2017年12月29日发布，2018年5月1日正式实施的一部关于我国公民个人隐私安全保护重磅技术标准。与GDPR不同的是，该标准不是一部强制性标准而是一部推荐性标准。尽管如此，该标准在编制之初，各界专家以及我国监管机构都对此给予了高度关注和重视。在2016年中央网信办《关于加强国家网络安全标准化工作的若干意见》的第二部分《加强标准体系建设》中就提出“推进急需重点标准制定”，并明确将制定“个人信息保护”方面的标准列为工作重点之一。该标准的编制有以下四个特点[4]:

• 特点1：充分考虑标准在多方诉求方面的平衡性

标准的编制不仅考虑了个人对信息保护的诉求，也同时考虑了社会发展应用的需求、国家安全的需求。做到多方的价值平衡。

• 特点2：立足国内现有的法律、法规、规章、标准

标准的编制考虑到与现有法律、法规、规章、标准要求的一致性。包括全国人大常委会《关于维护互联网安全的决定》、全国人大常委会《关于加强网络信息保护的决定》、《刑法修正案(五)》、《刑法修正案(七)》、《刑法修正案(九)》、《电信和互联网用户个人信息保护规定》、《信息安全技术公共及商用服务信息系统个人信息保护指南》（GB/Z28812-2012）、《信息安全技术信息技术产品供应方行为安全准则》（报批稿）等。

• 特点3：参考对标国际最先进的规则和立法

标准的编制参考了在个人信息保护方面最先进的国外立法。例如，OECD（经济合作与发展组织）隐私框架、APEC（亚洲太平洋经济合作组织）隐私框架等国际规则，欧盟《通用数据保护条例》（GDPR）、欧美“隐私盾”（EU-US Privacy Shield）协议、美国“消费者隐私权法案”（Consumer Privacy Bill of Rights）等欧美个人信息保护方面的立法.

• 特点4：不是自成一体而是与国际接轨

标准的编制在内容上与国际标准接轨，主要参考ISO/IEC 29100系列标准，包括：ISO/IEC 29100《隐私保护框架》、ISO/IEC 29101《隐私体系架构》、ISO/IEC 29190《隐私能力评估模型》、ISO/IEC 29134《隐私影响评估》、ISO/IEC29151《个人可识别信息保护指南》等。此外，还有美国的保护个人身份信息机密性指南（NIST SP800-122）、联邦信息系统隐私与安全控制（NISTSP800-53）；欧盟的数据保护审计实践清单（CWA 15262:2005），管理者的自评估框架（CWA 16112:2010），个人数据保护良好实践（CWA 16113:2010），等等

限于篇幅，本文不在此对《个人信息安全规范》进行详细解读，但有两点需要特别指出。第一，虽然该标准是推荐性标准，但是该标准的定位是我国个人信息保护工作的基础性标准文件。它是我国今后开展与个人信息保护相关的各类活动的参考标准，而且也为今后制定和实施个人信息保护相关法律法规奠定基础。因此社会各机构，尤其是与个人信息搜集及使用紧密联系的金融、运营商、医疗、社保、教育以及政府等机构务必认真关注和研读该标准并开展相关的数据安全建设活动。第二，该标准的整体内容要求不亚于国际标准，在某些内容上甚至高于国际标准，即便是对比GDPR。例如《个人信息安全规范》要求组织开展个人信息安全培训，对建立个人信息保护负责人和个人信息保护工作机构的组织大小及个人信息处理数量做出了规定（见10.1 明确责任部门与人员）；要求建立个人信息安全影响评估制度，定期（至少每年一次）开展个人信息安全影响评估（见10.2 开展个人信息安全影响评估）；要求对接触个人敏感信息的内部人员开展背景调查，除了培训还需考核，并使用自动化审计工具（见10.4 人员管理与培训）；要求开展个人信息安全审计（见10.5 安全审计）。以上这些条款和要求在GDPR中都没有明确或涉及。

三、     企业机构开展隐私与数据安全保护建设的建议

在企业机构开展隐私与数据安全保护建设时，企业高管们首先应该高度重视机构本身所肩负对客户隐私信息的保护责任。因为没有应有的尽责不仅将失去用户的信任，也将面临着来自合规的处罚。

根据RSA[5]对法国、德国、意大利、英国和美国的7500名消费者的调查结论表示，80%的消费者表示银行类和金融类数据丢失是最令人关注的问题。而发生信息泄露后，62%的个人认为他们会责怪商家未尽到责任而不是责怪黑客。在我国，个人信息泄露也是一个重灾区，人民日报2016的报道显示有数据统计，在个人信息保护方面，网民被泄露的个人信息涵盖范围非常广泛，其中78.2%的网民个人身份信息被泄露过，包括网民的姓名、学历、家庭住址、身份证号及工作单位等。

GDPR规定对于未遵从该法规的企业将处以最高2千万欧元或企业年度收入的4%（二者取其最高者）。而国内《中国人民共和国网络安全法》（以下简称《网络安全法》）第六十四条针对侵害个人信息的机构提出了处罚违法所得1-10倍的罚款或100万以下罚款（无违法所得），严重的吊销业务许可或营业执照。此外对直接负责的主管人员或其他直接责任人还有1-10万元的处罚。

那么，企业具体应该如何展开建设呢？笔者认为可以从以下五个方面来开展。

WHAT

• 结合机构自身的业务内容和覆盖范围，组织专项人员学习了解与个人信息保护相关的国内外法律法规和相关标准。
• 制订机构隐私数据保护建设的方向和建设内容

HOW

• 仔细回顾和评估机构对个人信息数据保护与相应法律法规在合规要求上的一致性和存在差距。评估内容包括个人信息数据在业务开展过程中是以哪种形式被收集的？在收集过程中是否对用户提供清晰的解释并获得了用户的明确许可？包括机构本身以及机构委托或与之合作的第三方机构在内的数据控制与处理主体是如何对收集的数据进行处理及保存？机构是否对用户提供了撤回或删除个人信息的渠道及方式方法？数据控制主体在个人信息数据保护方面（包括对信息数据完整性、可用性、机密性、不可抵赖性、真实性、可控性）具备怎样的保护机制以及保护措施的效果是否达到了与合规要求相符的期望？机构在发生信息泄露时是否具备的应急处置机制，包括在规定时间内的监管上报机制、事件排查及数据恢复机制、与第三方（如云服务商、CERT等）联动处置机制、在规定时间内向客户进行通告的通报机制？

WHO

• 对业务和数据流进行梳理，明确认知哪些客户的个人信息被收集，是否存在过度收集的情况？ 尤其是未成年人以及欧美个人的个人信息。
• 明确在业务处理过程中，机构内部哪些人员具备对个人信息的访问权和控制权。权限的合理性和最小需求设置是否正确。
• 明确在业务处理过程中，来自第三方的哪些外部人员具备对个人信息的访问权和控制权。权限的合理性和最小需求设置是否正确。
• 根据机构情况，建立数据保护小组或相应的部门机构，任命数据保护官员（Data Protection Officer，DPO），明确其工作职责并保证其工作的独立性。

WHERE

• 清晰辨析和知晓个人信息数据的物理和逻辑存放位置，本地还是云端，国内还是国外。尤其是对于涉及公有云的业务情况，需要评估是否涉及跨境数据存放以及评估业务所在国对跨境数据存放与传输的法律规定对业务开展的影响情况。

WHEN

• 每年定期在机构内部开展个人信息数据保护的培训工作。培训内容包含在业务开展中保护个人数据的实施操作指南，发生信息泄露后的上报及处置机制与流程等
• 每年定期在机构内部开展针对个人信息数据保护情况的安全审计工作。审计的内容主要包括机构的隐私保护安全政策、实施流程以及措施有效性等。

四、     主要的注意事项

结合《个人信息安全规范》与GDPR的要求，在隐私数据安全防护建设中有以下五个事项需要得企业机构着重关注。

数据主体信息的获取与删除

个人信息的获取无疑是所有隐私保护工作的初始，没有获取，自然也无从谈起对其的安全保护。但在获取过程中，作为数据控制的实体，在数据获取过程中，必须考虑以下三点。其一，信息数据的搜集遵循最小需求的原则。对于与业务功能无关联的数据不应进行搜集。其二，对于未成年人个人数据的获取。《个人信息安全规范》5.5条款中提到对于未成年人的数据搜集必须获得其监护人的明示同意。其三，对于从非数据主体间接获取数据的方式除需要合法合规外，还需要认识到获取数据的同时意味着自身也承担了对数据进行保护的等同责任。

《个人信息安全规范》和GDPR都明确了数据主体所具备的对个人信息数据进行删除的权利（《规范》称为主体参与原则，GDPR称为删除权或被遗忘权）。就目前而言，提供删除的功能以及删除相应数据的工作在短期内全球大部分企业可能都难以提供和完成。当然，一些巨型跨国公司较早认识到这点并已开始提供此项功能，例如Facebook和Google已提供个人数据下载和账户信息删除功能。对用户而言，一旦他们向上述服务商提交个人数据删除申请后，它们将在最长90天的时间内进行相关信息删除。

图：Facebook提供个人信息下载的入口

图：谷歌个人账户删除页面

 

第三方合作方的合规遵从

对企业机构而言在与第三方开展合作时，务必考虑以下二点。其一，只要第三方参与并涉及到个人信息数据的读取、存储、再加工等，第三方均有责任对数据进行保护。其二，与第三方的合作，对企业机构而言不意味着安全责任也随之外包。在此过程中，作为数据控制主体的机构应该与合作方通过签署一系列的合同和协议来进行安全约定。这些内容包括约定合作方应有的安全保护措施、对数据的最小采集（包括范围、类型和数量）、最小使用（仅限特定用途）、发生信息泄露的处置措施和处罚措施以及当合作终止时，对数据的回收以及第三方对数据（包括原始和备份数据）的销毁。

与第三方合作中最难的是与云服务商的合作。由于云计算及应用场景特殊的属性，使得在满足监管合规时更难以应对，因此企业机构在选择云服务商时更需要认真考察其对隐私保护的承诺以及所具备的能力。以AWS和Google Cloud为例，AWS为了满足GDPR合规的要求，在2017年11月专门出了一份介绍其如何满足GDPR要求的文档[6]。而谷歌公司则做出了官方承诺[7]以及介绍其如何满足GDPR的说明文档[8]。

图：谷歌公司对GDPR合规满足说明文档

信息泄露后的应急处置与用户通告

在当前复杂的网络攻击和各种利益诱惑下，想要完全杜绝发生个人信息泄露的行为几乎是件不可能完成的任务。因此机构在开展建设时需要建立应急处置机制、制定和完善应急处置预案。对于国内机构而言，发生信息泄露事件后除了应按照《国家网络安全事件应急预案》和行业监管要求及时向相应监管部门进行上报，也应该通过多种方式向涉及到个人数据主体进行及时的告知（详见《个人信息安全规范》9.2条款）。在此，机构需特别注意通告的及时性，GDPR要求是事件发生后的72小时内，超出必须进行解释。《规范》虽然没有具体明确时限，但也是强调要及时。因此企业机构有必要在信息泄露的应急预案中明确对受侵害数据主体的通告方式以及通告时限。

个人隐私保护权利不是无限的

当公众谈个人隐私保护的时候，有少部分人会陷入一个误区，常把个人隐私的权利无限放大或置于国家和公众的利益之上。事实上，无论是国外和国内，主流的观点都是认为个人隐私保护的权利也是受限的，并不存在完全无条件的权利。在GDPR和《个人信息安全规范》中针对数据主体隐私数据的多项权利和处置原则，都明确了一些例外情况。总体而言，当隐私保护的权利和处置原则与国家安全、防务、政府监管、公共安全、公共利益、司法程序与司法独立等发生冲突的情况下，首先满足的是后者的需求。因此机构切不可为了保护隐私数据而走向另一个极端。举例来说，监管机构在网络上提供失信人员名单查询，失信人员因此发起法律诉讼声称自己的隐私权益受到侵害，在此情况下，考虑到失信人员可能对公众利益造成损害，其法律诉讼可能并不被支持和受理。又如，当本国司法机关按法律程序要求进行隐私数据查询时，作为数据控制者的机构应该提供其开展司法诉讼成立、行使、辩护所必须的信息数据。但国外政府机构或国际机构的类似诉求必须得到本国政府机构的明确同意后才可以提供。

人的因素

根据国内媒体报道近年来我国侵犯公民个人信息类刑事案件的数量呈逐年上升趋势，尤其是2017年，该类案件陡增，与2016年相比，同比增长了81％。

图：2014-2017年全国侵犯公民个人信息类安全件数据趋势

在这些案例中统计发现有不到两成的被告人系通过利用职务或工作之便、侵入计算机系统等窃取的方式获得公民个人信息。这些被告人行为主体主要是企业机构或国家机构人员，例如金融机构的职员、快递行业从业人员、房地产从业人员、教育培训机构人员、户籍民警、税务人员等。涉及最多的三项罪名为非法获取公民个人信息罪、出售、非法提供公民个人信息罪和侵犯公民个人信息罪[9] 。从以上资料信息可以看到内部人员的潜在威胁是机构开展隐私数据安全保护建设过程中必须考虑的威胁因素，而这也是GDPR和《个人信息安全规范》有相应独立章节条款来规范对内部人员的管理与访问控制、开展持续的安全培训与安全审计的原因。

五、     结束语

GDPR和《个人信息安全规范》这类法规和标准的制定、发布与正式实施将对企业机构未来的隐私数据安全保护建设带来许多的改变。法规和标准中的条款内容对数据控制者提出了非常高的合规要求。尽管一些条款仍有争议，但法规和标准的适用对象仍需保持开放和接受的心态并以认真和积极的态度投入到这一场需要极大耐心和耐力的征程当中。

参考文献：

• https://www.intralinks.com/resources/analyst-reports/ovum-report-data-privacy-laws-cutting-red-tape
• https://www.pwc.com/us/en/increasing-it-effectiveness/publications/assets/pwc-gdpr-series-pulse-survey.pdf
• https://www.solix.com/solutions/solutions-by-business-issue/gdpr/gdpr-survey-findings-and-infographic/
• http://www.cac.gov.cn/2016-12/22/c_1120160205.htm
• https://www.rsa.com/content/dam/en/e-book/rsa-data-privacy-report.pdf
• https://aws.amazon.com/cn/blogs/security/introducing-the-new-gdpr-center-and-navigating-gdpr-compliance-on-aws-whitepaper/
• https://www.blog.google/topics/google-cloud/google-cloud-our-commitment-general-data-protection-regulation-gdpr/
• https://services.google.com/fh/files/misc/google_cloud_and_the_gdpr_english.pdf
• http://baijiahao.baidu.com/s?id=1594446301170650194&wfr=spider&for=pc