热点新闻网热点新闻网

安在讲堂|隐私保护专题2:隐私信息管理体系建设与实践

导读 : 最新精选区块链汽车创意科技媒体达人电影音乐娱乐休闲生活旅行学习工具历史读书金融理财美食菜谱安在讲堂|隐私保护专题2:隐私信息管理体系建设与实践原创:安在安在20...


  • 最新
  • 精选
  • 区块链
  • 汽车
  • 创意科技
  • 媒体达人
  • 电影音乐
  • 娱乐休闲
  • 生活旅行
  • 学习工具
  • 历史读书
  • 金融理财
  • 美食菜谱

安在讲堂|隐私保护专题2: 隐私信息管理体系建设与实践

安在 安在 2020-04-25



4月20日,国家发改委首次明确了“新基建”的范围,将5G、物联网、数据中心等技术纳入到信息基础设施的范畴。从“新基建”所覆盖的领域来看,无一例外地与数字化升级紧密契合;而通过5G、物联网进一步的深度应用,无疑将会加速“万物互联时代”的全面到来。


在“万物互联时代”,数据将进一步成为生产要素,企业对于用户个人隐私信息的采集的存储也会迎来爆发式的数量增长。数据在使用和流通环节中所面临的各类风险,将可能关系到人身安全、企业商业利益甚至是国家安全。


从疫情期间确诊病人的信息被随意公开,Zoom软件隐私事件来看,“万物互联时代”下的隐私和数据保护既重要、又难做。如何在促进数据流通共享,助推企业和产业升级,加速“新基建”发展的同时,尊重用户的个人隐私信息,确保合法合规,就成为了甲方企业信息安全负责人和从业者们都需要重点关注的命题。



为此,安在新媒体于千聊直播间举办了安在讲堂“万物互联时代下的隐私保护”特别活动,诚邀了BSI中国区ICT产品线技术总监万鑫、顺丰红岸科技解决方案部负责人刘新凯、腾讯数据隐私保护部高级法律顾问刘俊河、环球律师事务所合伙人孟洁四位专家,围绕法律法规解读、企业合规标准和最终落地实践,共同探讨并推进落实个人隐私信息和数据保护的经验和总结。


本文将对万鑫博士的主题进行整理分享。万鑫博士所分享的主题是《隐私合规与ISO/IEC 27701——隐私信息管理体系建设与实践》,围绕隐私信息管理体系建设,总结了自己在过去所做的实践和心得,现由安在整理后将全文呈现。


(注:本篇文章全部内容皆可在千聊“安在讲堂”直播间回看,公益讲座,全部免费。)




《隐私合规与ISO/IEC 27701——隐私信息管理体系建设与实践》



主讲人:BSI中国区ICT产品线技术总监 万鑫


个人简介:CISSP、CISA、CCSK、DevOps Master、ISO27001LA等专业认证,目前的工作重心是互联网和云服务企业,在信息安全、隐私保护、IT服务管理等领域积累了丰富的经验。


提到法律法规,我们印象最深的应该是号称罚得最严、管得最深的《GDPR》,其中尤以4%和2000万欧元的罚款金额最为著名。



2019年3月份,27个EEA 国家DPA统计数据表明,在《GDPR》执法一周年时间里,共上报了28万起违规事件。22家DPA对其中的87件案例进行统计后发现,处罚金额累计超过3亿欧元,并且在19年7月以来,大额罚单越来越多。这就意味着企业在解读符合法规要求方面的压力越来越大,满足要求背后的时间也越来越紧迫。


瑞典有一所高中通过人脸识别系统判断学生出勤率,这个行为被瑞典数据监管局处于了20万瑞典克朗的罚款,理由是脸部信息属于特殊敏感信息,搜集脸部信息的目的超出了脸部信息使用的范围,违反了目的限制和最小范围原则。中国也有相似的案例。2019年10月,某地野生动物园就在升级系统的时候使用了人脸识别技术代替原有认证,最后被消协通过《消费者权益保护法》做出违规处罚。


这两个案例告诉我们需要关注自己生物技术会不会被额外地滥用。而这两个案例都违反了隐私保护里的公平合法原则,如果在《GDPR》的要求下,我们也应该对生物识别技术做到相应的风险评估工作。


剑桥分析公司利用Facebook开放的接口对5000万用户进行画像,针对性进行政治宣导推送,被认为对特朗普当选美国总统有非常大的帮助。前不久Zoom因为嵌入Facebook的SDK而导致敏感数据被大量收集。


这两个案例告诉我们,不仅要对自己搜集处理个人信息的行为做好管控,同时还要关注重视供应链、生态伙伴的违规操作,不要因此导致巨大的连带影响。



到底什么是隐私保护,业界普遍分析方法是分成三个主要方向。


首先是尊重个人隐私权。比要尊重数据主体自然人的限制处理权,尊重其在数据处理业务结束以后,要求擦除数据的权利。其次,在数据处理过程中应当遵循数据处理的原则,比如公平透明合法原则,存储数据原则等。最后是关注数据本身的保密完整可用,三者结合,就是隐私保护。在尊重人的主权的同时,保证合规应用,最终从安全的角度保障技术领域。


关于《GDPR》的解读方法非常多,我个人也总结了9个数字进行概括,这9个数字也是解读27701国际标准以及企业如何建立体系的思维方法。




1.个人信息保护的1个主体,什么是个人信息。

2.《GDPR》适用的2个范围,包括属地原则和长臂监管。

3.个人信息特别关注的3个领域,包括特殊信息(国内称为敏感信息)、儿童信息和用户画像。

4.《GDPR》所关注的4个实体。第一类是每一个人,也就是所谓的数据主体;第二类是决定了数据主体数据处理目的和方法的控制者;第三类是代表数据控制者去处理数据的数据处理者;第四类是第三方。

5.解决个人信息处理的思维方法,也就是生命周期的概念。可以把数据处理分为采集、传输、使用、存储和销毁5个步骤。

6.《GDPR》处理背后的6中合法情形。包括主体同意,履行合同、履行法定义务、保护个人权益、维护公共利益和追求正当意义。

7.数据处理应该遵循的7个原则。包括合法公正透明原则、目的限制原则、最小化原则、准确原则、存储限制原则、保密完整原则和问责原则。

8.在数据处理过程中,我们应当尊重的数据主体所享有的8个权利。分别是透明、访问、更正、被遗忘、限制处理、可携带、拒绝和不受自动化处理约束。这8个权利特别需要引起每一个人,每一名消费者的关注,因为在使用互联网服务,接受外部获取信息服务的时候,我们可以通过这8个权利行使主权。

9.我所总结的《GDPR》可能关注的9个领域。一个是信息安全和隐私保护的关系,这当中有一个非常重要的环节叫做数据保护的影响分析(DPIA),指的是风险评估过程。任何一个《GDPR》监管的组织,作为数据控制者,都应该设置DPO这样一个数据控制责任人的岗位。对于一些国际组织,尤其要保证数据跨境运输的合规性。设计出发希望我们从源头做好隐私合规,从产品服务和设计的角度,发现识别风险并且融入到功能里。违规处罚包含两个大的处罚类型,而泄露通知则是指当一个组织发生隐私泄露事件以后,应该在短时间内向相关受影响方和监管部门告知。处理者义务是指处理者应该遵循的要求,保护和发展是想告诉我们在保护隐私数据的同时,其实是为了促进数据的流通。


从本质来说《GDPR》是法规,因此企业如何满足法规还需要借助相关的方法论,以及关于隐私保护相关的标准。隐私保护的标准非常多,这里主要列举5个比较流行的标准,其中3个为国际标准,2个为国内标准。



第一个是《ISO27018公有云上的个人信息保护指南》,主要适用于公有云企业,并且不局限于以Cloud为结尾的企业,而是将所有的互联网应用都认定为公有云的范畴。


第二个是《ISO29151个人信息保护实践指南》它偏向于通用,不限于任何一个具体行业,所有企业都能够用到的个人信息保护指南。


第三个是《ISO27701隐私信息管理体系的要求及指南》


中国的《GB/T35271-2020个人信息安全规范》虽然只是一个标准,但已经被执法机构当成是执法准则,所以特别值得国内企业研究。


最后一个则是《BS10012-2017个人信息管理体系》这是一个英国的国家标准,也是全球唯一一个完全针对《GDPR》合规所建立的管理体系。


这些国际标准的产生背后还依托于一些法规的要求,在这些标准里,应该遵循司法管辖权所在地要求的法规。因此我们可以理解为,如果归属地在欧盟地区,我们需要遵循《GDPR》以及所在国的法规;如果实在中国,就要遵照中国的法律法规。


ISO27701的前身是ISO27552,它有一个非常显著的特点,既是行动指南,也是可以用作认证审核的要求类的标准,是一个非常特殊的要求加指南相结合的标准。


对于一个企业来说,我们为什么要通过这样一个标准来建立相关的的合规体系呢?这要从四个方面来考虑。



首先作为对外提供服务的组织,我们要遵循为客户提供服务的准则,如果我们的准则涉及到了消费者,那么对用户个人隐私信息的保护,可以展现我们企业的数据道德。其次,对于企业内部而言,员工也是需要保护的对象,我们在对外提供服务的同时,同时也要保护好员工的个人信息,与此同时还要梳理员工的责任意识。


再者,组织在市场上运作时,一定会和外部相关方产生联系。针对如何处理相关方的关系,梳理出和他们数据监管的职责范围,并共同完成相关的保护要求,标准里提了非常多好的建议。最后,不管是公司、非盈利组织还是政府部门,完全可以借助标准的力量建立通用的要求,横向比较我们所需要承担的社会责任。


ISO27701由27000和29100两个系列组成,而关于安全相关的思维想法,完全是借鉴了27001的PDCA。也就是指我们在做信息安全管理的时候,要有策划、执行、检查和持续改进,这个方法论同样适用于隐私保护领域。



在隐私保护领域里,我们将隐私的要求分为四个方向,分别是PII(个人可识别信息)的搜集和处理,对PII主体的义务,隐私默认设计要求以及PII的共享、转移和披露。这四个大方向同样应用在了个人信息处理过程中的生命周期的概念。


比如搜集、处理、共享、转移和披露贯穿了整个生命周期;对PII主体的义务特别映射到了《GDPR》每一个消费者应有的权利;隐私默认设计要求其实就是我们在设计开发和运行服务时应该遵循的数据处理原则。所以从某种角度来说,ISO27701既具备了最佳实践的管理方法论,同时也涵盖了相关隐私保护法规背后所用到的方法论,特别关注到了我们要尊重人的主权,遵循运营的规范,从全生命周期做完整的隐私保护管理。


ISO27701是针对两个不同的实体提出的要求。《GDPR》特别提到了在数据处理过程中所涉及的两个主要角色,一个叫数据的控制者,一个叫数据的处理者。


数据控制者是直接面向消费者提供服务的主体,肩负更大的法律责任,他决定了数据处理的目的和方式。比如我们日常所使用的App或互联网应用,往往都是数据控制者的角色。且控制者本身还可能会依托于其他的供应链,成为分包商去处理个人信息。


数据处理者的数量少于控制者,也就说明在个人数据处理的生态链中,数据控制者起主导作用,也应该负责更大的责任。数据处理者所负责的对象是数据控制者,如果控制者违规,处理者也有义务起到保护个人信息数据的职责。


对企业而言,仅仅了解标准的要求是完全不够的,更需要清楚如何通过标准建立企业的隐私管理体系,整体而言分为四个步骤。



首先要建立隐私合规的组织,这个组织应当由公司最高管理者牵头,决定隐私保护与业务发展之间的平衡。同时要建立专业的团队,一般由安全团队、法务来共同组成。与此同时,我们还需要团结产品开发和运维的力量,建立安全和隐私管理委员会,如有必要还可以设立首席隐私官一职。


在组织建立以后,就需要建立管控控流程。这个过程可以借鉴业界普遍的管理方法论,不管是PDCA还是PPDRR都可以给到很好的参考。我们还需要特别关注隐私和安全的侵入性,通过风险管理手段确定企业最核心的风险是什么,在合规的同时,保证业务的正常运行。


如果我们要把管控流程转化为工具,就需要建立隐私技术手段,将隐私技术融入到开发过程中,比如建立威胁模型等。在传统企业数据安全方面,我们可以使用已有成熟的数据安全工具,如DLP、行为审计等,辅助企业隐私合规。


当然,最根本的一个环节是建立全员具备的安全和隐私的意识。就我自己而言,隐私合规本身会涉及到每一个人、每一名员工的个人利益,所以从某种角度来说,让员工认识到在保障消费者隐私利益的同时,其实也是在保证自己的个人利益。最后我希望,一个组织的隐私体系是建立在文化基础之上的,能够让大家可信赖不作恶。


就刚才的方法论而言,可以再精简成两个非常非常重要的隐私体系环节。一个是如何识别个人信息,建立个人信息生命周期;一个是如何识别个人信息的风险,做隐私风险评估。


对于企业而言,需要做的第一件事就是识别有哪些业务场景可以涉及到个人信息处理。这个业务场景可以从产品服务、公司运营流程或者某一个系统模块的维度来识别,并了解业务场景中数据处理的目的是什么,到底是来自于业务运营、监管要求,还是与客户签署的合同。



在了解业务场景和数据处理的目的后,第二个重要的工作是了解组织在这个场景中扮演数据处理中的哪一个角色,是控制者、联合控制者还是处理者和分包商?明确角色后,还需要了解在相关标准和法律中应党承担什么责任。由于数据是流动的,所以我们要了解数据从采集、到如何穿越组织控制范围以及如何和供应商交互的数据流图。


通过刚才的数据分析和数据流图,我们已经掌握了对于组织而言所涉及的个人信息和流转,因此下一个工作就是用生命周期的思维方法,分析每一个阶段数据处理的控制要求以及已经建立的控制点。



比如在采集阶段,我们要了解采集的方式。比如在数据采集的时候有没有得到数据主体的同意,是否为明示同意,有没有给予主体撤回同意的权利。在使用阶段,要了解我们在使用数据的时候有没有设计对于数据主体行权的响应机制,比如允许查询、更正、拒绝或是移除擦除。而对于对外提供方面,我们要根据数据流图的情况了解数据流转的路径,流经了哪些相关责任人和外部供应商,有没有以合同协议的方式做好约,尤其涉及到司法取证的环节,需要有第三方披露的原则。


希望通过ISO27701,可以让我们认识到围绕隐私合规不仅有法可循,更有法可执行、有法可建立。



企业在公对公业务的过程中,如何对员工个人信息对外提供进行安全控制?而在满足27701之后,能在多大程度上满足国内外合规的要求?


万鑫:关于如何控制员工的个人信息,这涉及到组织进行个人合规的方法论,业务场景也是围绕如何处理个人数据展开。当然,这当中需要区分业务场景是什么,是将员工的数据用于投保险还是法律诉讼。


在确认完场景后,还需要识别双方的主体责任关系。很明显,企业处于数据控制者的角色,员工是数据主体,在不同场景下控制者需要遵循合规要求和业务处理的法律前提,到底是因为用户主体同意还是作为公共利益、司法取证等。一般而言,员工在入职签署合同时,都会附带保密协议和个人数据使用的要求原则,我们会将其当做基础的用户同意原则,而在具体的场景下还会再签署具体的同意原则。


在识别完主体关系以后,要通过全生命周期的模型分析每一个阶段处理的具体动作。在公对公业务中,我们特别关注的是数据的向外发布到底属于分包商处理还是第三方披露。如果是分包商处理,如为员工买保险,就需要企业和保险公司签署合同协议,明确约束信息的使用范围;如果涉及到第三方披露,比如司法取证,就需要考虑司法取证的保密性,明确确定第三方执法机关的真实性。


ISO27701的出发点是满足国际上绝大多数国家法律法规以及不同行业规则的要求,因此它借鉴了ISO29100和《GDPR》这类主流法规的处理原则,这些原则也被很多国家和地区的法律法规所接受。因此通过ISO27701的认证,就可以满足绝大部分的基本要求。


但是,ISO27701毕竟只是一个标准而非法律,能否达到定量的指标难以准确界定。但就《GDPR》而言,ISO27701在附录里设置了专门的标准条款和法规条款进行映射,因此潜台词就是通过ISO27701的认证,就可以基本满足《GDPR》的要求。





后续我们会对刘俊河律师《企业如何有效满足监管方关于数据和隐私保护方面的要求》和刘新凯专家《个人隐私保护如何在企业落地》两位专家的主题进行整理并分享,不期呈现,敬请关注。


再次提示,本篇文章全部内容皆可在千聊“安在讲堂”直播间回看。


如果想进一步与专家们进行线下互动,获取本次直播的全部主题课件,那就赶快扫码加入“诸子云知识星球”吧。里有上百位安全专家实时在线讨论和互动,也有最新最全面的行业资料和资讯,让我们持续学习、共同进步!



另外,本星球已开通“分享有赏”,20%分享奖励,以当前价格计,您只需引荐5位付费新星友,您就完全赚回“门票”支出了。







推荐阅读



安在讲堂 | 直播实录:泛社交业务安全风控大家谈

安在讲堂 | 隐私保护专题(一):数据与隐私保护的法律法规要求




齐心抗疫 与你同在 



点【在看】的人最好看


 人赞赏

长按二维码向我转账

受苹果公司新规定影响,微信 iOS 版的赞赏功能被关闭,可通过二维码转账支持公众号。

    阅读原文

    前往看一看

    看一看入口已关闭

    在“设置”-“通用”-“发现页管理”打开“看一看”入口

    我知道了

    已发送

    发送到看一看

    发送中

    微信扫一扫
    使用小程序

    取消 允许

    取消 允许

    微信版本过低

    当前微信版本不支持该功能,请升级至最新版本。

    我知道了 前往更新

    确定删除回复吗?

    取消 删除

      知道了

      长按识别前往小程序

      本站仅按申请收录文章,版权归原作者所有
      如若侵权,请联系本站删除

      微信QQ空间新浪微博腾讯微博人人Twitter豆瓣百度贴吧

      觉得不错,分享给更多人看到

      区块链是什么?

      安在 微信二维码

      安在 微信二维码

      安在 最新文章

      安在讲堂|隐私保护专题2: 隐私信息管理体系建设与实践  2020-04-25

      网安同期声 | 数说安全:中国APT安全监测市场全景图  2020-04-25

      网安好播客|SMG林嗣雄:运维眼中的安全和安全眼中的运维  2020-04-25

      诸子云 | 项目:POC 测试报告共享项目报告  2020-04-24

      Gartner全球市场指南里面出现了一只中国“企鹅”  2020-04-24

      安在讲堂 | 隐私保护专题(一):数据与隐私保护的法律法规要求  2020-04-23

      张耀疆:安全人疫情应对之我见  2020-04-23

      发改委明确新基建范围,产业安全如何做好这道“必答题”?  2020-04-22

      网安好播客|某航司王振东:一个“码农”眼中的赛博空间安全  2020-04-22

      诸子云 l 资料下载:202004-03 开源软件安全报告  2020-04-22

      (function(){ var bp = document.createElement('script'); var curProtocol = window.location.protocol.split(':')[0]; if (curProtocol === 'https') { bp.src = 'https://zz.bdstatic.com/linksubmit/push.js'; } else { bp.src = 'http://push.zhanzhang.baidu.com/push.js'; } var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(bp, s); })(); (function(){ var src = (document.location.protocol == "http:") ? "http://js.passport.qihucdn.com/11.0.1.js?ba34c9f41d18b62312e960833b3cb4ae":"https://jspassport.ssl.qhimg.com/11.0.1.js?ba34c9f41d18b62312e960833b3cb4ae"; document.write(''); })(); (function(){ $("img").lazyload({ effect: "fadeIn", threshold: 200, }); })();


      上一篇: 2016环球小姐中国区总决赛在上海举行
      下一篇: “中国(广东)-新加坡新闻文化交流周”在新加坡开幕
      隐藏边栏