日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

隱私保護(hù)一直都是信息安全領(lǐng)域的一個(gè)內(nèi)容。隨著《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，以下簡稱GDPR)的正式實(shí)施，隱私保護(hù)與伴隨而來的數(shù)據(jù)安全成為了企業(yè)必須面對(duì)的課題。本文針對(duì)隱私保護(hù)和數(shù)據(jù)安全方面的內(nèi)容，展現(xiàn)一個(gè)相對(duì)全面，客觀的視角，幫助企業(yè)更深入的了解和理解當(dāng)下隱私保護(hù)和數(shù)據(jù)安全的前沿態(tài)勢，以及如何落地該法案。

我們提供的服務(wù)有：成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè)、微信公眾號(hào)開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、昌黎ssl等。為成百上千家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的昌黎網(wǎng)站制作公司

隱私保護(hù)一直都是信息安全領(lǐng)域的一個(gè)內(nèi)容，隨著歐盟委員會(huì)于2016年4月14日投票通過了商討四年之久的《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，以下簡稱GDPR)，隱私保護(hù)與伴隨而來的數(shù)據(jù)安全在近2年成為了歷次國際性安全會(huì)議中不可或缺的議題，在2018年4月的RSA2018會(huì)議中也有多個(gè)會(huì)議議題與次相關(guān)。本文結(jié)合RSA2018展會(huì)上觀察到情況和后續(xù)了解的一些其他資料，針對(duì)隱私保護(hù)和數(shù)據(jù)安全方面的內(nèi)容，展現(xiàn)一個(gè)相對(duì)全面，客觀的視角，幫助企業(yè)更深入的了解和理解當(dāng)下隱私保護(hù)和數(shù)據(jù)安全的前沿態(tài)勢，以及如何落地該法案。

一、 GDPR在國外的影響

在RSA2018展會(huì)中，除了有多個(gè)會(huì)議主題涉及GDPR和隱私保護(hù)的內(nèi)容外，筆者還看到了不少廠家均針對(duì)GDPR的要求對(duì)自身的產(chǎn)品進(jìn)行改善。例如，微軟公司在其Azure云平臺(tái)中特別強(qiáng)調(diào)了對(duì)隱私保護(hù)的保護(hù)措施和聲明，而一些包括安全防護(hù)類、數(shù)據(jù)/行為分析類、安全漏洞與安全配置檢測類、安全認(rèn)證類的設(shè)備廠家紛紛在其產(chǎn)品中增加了與GDPR有關(guān)的功能項(xiàng)，這些功能項(xiàng)包括專門針對(duì)隱私數(shù)據(jù)的防護(hù)策略和組件(如Checkpoint)、隱私數(shù)據(jù)在機(jī)構(gòu)網(wǎng)絡(luò)中流動(dòng)的監(jiān)測與分析(如BigID)、針對(duì)GDPR的安全基線評(píng)估項(xiàng)(如Titania)，以及輸出對(duì)標(biāo)GDPR合規(guī)要求的專業(yè)分析報(bào)告(如Evident)。筆者在現(xiàn)場的直觀感受是，GDPR的影響無所不在，就連一些通常認(rèn)為合規(guī)不怎么覆蓋的領(lǐng)域如軟件代碼安全檢測領(lǐng)域也有廠家(如Veracode)在其宣傳材料和現(xiàn)場演示中宣稱他們的產(chǎn)品可以針對(duì)GDPR的要求對(duì)代碼中隱私數(shù)據(jù)安全保護(hù)的機(jī)制進(jìn)行評(píng)估和審計(jì)。就RSA2018展會(huì)整體來看，國外(歐美)大量的安全廠家顯然是十分關(guān)注GDPR，并確實(shí)為此對(duì)產(chǎn)品進(jìn)行了新一輪的開發(fā)與更新完善，雖然GDPR和我國國內(nèi)絕大部分的機(jī)構(gòu)產(chǎn)生的交集很少，但國外安全廠家這種對(duì)合規(guī)的關(guān)注和產(chǎn)品更新的市場態(tài)度值得我們國內(nèi)安全廠家學(xué)習(xí)。

圖：RSA2018展會(huì)中筆者參加的一場關(guān)于GDPR的演講

圖：微軟公司office365的合規(guī)分析界面

二、 《個(gè)人信息安全規(guī)范》中國版的 GDPR

《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(GB/T 35273—2017)(以下簡稱《個(gè)人信息安全規(guī)范》或《規(guī)范》)是我國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局和國家標(biāo)準(zhǔn)化管理委員會(huì)在2017年12月29日發(fā)布，2018年5月1日正式實(shí)施的一部關(guān)于我國公民個(gè)人隱私安全保護(hù)重磅技術(shù)標(biāo)準(zhǔn)。與GDPR不同的是，該標(biāo)準(zhǔn)不是一部強(qiáng)制性標(biāo)準(zhǔn)而是一部推薦性標(biāo)準(zhǔn)。盡管如此，該標(biāo)準(zhǔn)在編制之初，各界專家以及我國監(jiān)管機(jī)構(gòu)都對(duì)此給予了高度關(guān)注和重視。在2016年中央網(wǎng)信辦《關(guān)于加強(qiáng)國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作的若干意見》的第二部分《加強(qiáng)標(biāo)準(zhǔn)體系建設(shè)》中就提出“推進(jìn)急需重點(diǎn)標(biāo)準(zhǔn)制定”，并明確將制定“個(gè)人信息保護(hù)”方面的標(biāo)準(zhǔn)列為工作重點(diǎn)之一。該標(biāo)準(zhǔn)的編制有以下四個(gè)特點(diǎn)[4]:

特點(diǎn)1：充分考慮標(biāo)準(zhǔn)在多方訴求方面的平衡性

標(biāo)準(zhǔn)的編制不僅考慮了個(gè)人對(duì)信息保護(hù)的訴求，也同時(shí)考慮了社會(huì)發(fā)展應(yīng)用的需求、國家安全的需求。做到多方的價(jià)值平衡。

特點(diǎn)2：立足國內(nèi)現(xiàn)有的法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)

標(biāo)準(zhǔn)的編制考慮到與現(xiàn)有法律、法規(guī)、規(guī)章、標(biāo)準(zhǔn)要求的一致性。包括全國人大常委會(huì)《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》、全國人大常委會(huì)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《刑法修正案(五)》、《刑法修正案(七)》、《刑法修正案(九)》、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》、《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》(GB/Z28812-2012)、《信息安全技術(shù)信息技術(shù)產(chǎn)品供應(yīng)方行為安全準(zhǔn)則》(報(bào)批稿)等。

特點(diǎn)3：參考對(duì)標(biāo)國際最先進(jìn)的規(guī)則和立法

標(biāo)準(zhǔn)的編制參考了在個(gè)人信息保護(hù)方面最先進(jìn)的國外立法。例如，OECD(經(jīng)濟(jì)合作與發(fā)展組織)隱私框架、APEC(亞洲太平洋經(jīng)濟(jì)合作組織)隱私框架等國際規(guī)則，歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)、歐美“隱私盾”(EU-US Privacy Shield)協(xié)議、美國“消費(fèi)者隱私權(quán)法案”(Consumer Privacy Bill of Rights)等歐美個(gè)人信息保護(hù)方面的立法.

特點(diǎn)4：不是自成一體而是與國際接軌

標(biāo)準(zhǔn)的編制在內(nèi)容上與國際標(biāo)準(zhǔn)接軌，主要參考ISO/IEC 29100系列標(biāo)準(zhǔn)，包括：ISO/IEC 29100《隱私保護(hù)框架》、ISO/IEC 29101《隱私體系架構(gòu)》、ISO/IEC 29190《隱私能力評(píng)估模型》、ISO/IEC 29134《隱私影響評(píng)估》、ISO/IEC29151《個(gè)人可識(shí)別信息保護(hù)指南》等。此外，還有美國的保護(hù)個(gè)人身份信息機(jī)密性指南(NIST SP800-122)、聯(lián)邦信息系統(tǒng)隱私與安全控制(NISTSP800-53);歐盟的數(shù)據(jù)保護(hù)審計(jì)實(shí)踐清單(CWA 15262:2005)，管理者的自評(píng)估框架(CWA 16112:2010)，個(gè)人數(shù)據(jù)保護(hù)良好實(shí)踐(CWA 16113:2010)，等等

限于篇幅，本文不在此對(duì)《個(gè)人信息安全規(guī)范》進(jìn)行詳細(xì)解讀，但有兩點(diǎn)需要特別指出。第一，雖然該標(biāo)準(zhǔn)是推薦性標(biāo)準(zhǔn)，但是該標(biāo)準(zhǔn)的定位是我國個(gè)人信息保護(hù)工作的基礎(chǔ)性標(biāo)準(zhǔn)文件。它是我國今后開展與個(gè)人信息保護(hù)相關(guān)的各類活動(dòng)的參考標(biāo)準(zhǔn)，而且也為今后制定和實(shí)施個(gè)人信息保護(hù)相關(guān)法律法規(guī)奠定基礎(chǔ)。因此社會(huì)各機(jī)構(gòu)，尤其是與個(gè)人信息搜集及使用緊密聯(lián)系的金融、運(yùn)營商、醫(yī)療、社保、教育以及政府等機(jī)構(gòu)務(wù)必認(rèn)真關(guān)注和研讀該標(biāo)準(zhǔn)并開展相關(guān)的數(shù)據(jù)安全建設(shè)活動(dòng)。第二，該標(biāo)準(zhǔn)的整體內(nèi)容要求不亞于國際標(biāo)準(zhǔn)，在某些內(nèi)容上甚至高于國際標(biāo)準(zhǔn)，即便是對(duì)比GDPR。例如《個(gè)人信息安全規(guī)范》要求組織開展個(gè)人信息安全培訓(xùn)，對(duì)建立個(gè)人信息保護(hù)負(fù)責(zé)人和個(gè)人信息保護(hù)工作機(jī)構(gòu)的組織大小及個(gè)人信息處理數(shù)量做出了規(guī)定(見10.1 明確責(zé)任部門與人員);要求建立個(gè)人信息安全影響評(píng)估制度，定期(至少每年一次)開展個(gè)人信息安全影響評(píng)估(見10.2 開展個(gè)人信息安全影響評(píng)估);要求對(duì)接觸個(gè)人敏感信息的內(nèi)部人員開展背景調(diào)查，除了培訓(xùn)還需考核，并使用自動(dòng)化審計(jì)工具(見10.4 人員管理與培訓(xùn));要求開展個(gè)人信息安全審計(jì)(見10.5 安全審計(jì))。以上這些條款和要求在GDPR中都沒有明確或涉及。

三、 企業(yè)機(jī)構(gòu)開展隱私與數(shù)據(jù)安全保護(hù)建設(shè)的建議

在企業(yè)機(jī)構(gòu)開展隱私與數(shù)據(jù)安全保護(hù)建設(shè)時(shí)，企業(yè)高管們首先應(yīng)該高度重視機(jī)構(gòu)本身所肩負(fù)對(duì)客戶隱私信息的保護(hù)責(zé)任。因?yàn)闆]有應(yīng)有的盡責(zé)不僅將失去用戶的信任，也將面臨著來自合規(guī)的處罰。

根據(jù)RSA[5]對(duì)法國、德國、意大利、英國和美國的7500名消費(fèi)者的調(diào)查結(jié)論表示，80%的消費(fèi)者表示銀行類和金融類數(shù)據(jù)丟失是最令人關(guān)注的問題。而發(fā)生信息泄露后，62%的個(gè)人認(rèn)為他們會(huì)責(zé)怪商家未盡到責(zé)任而不是責(zé)怪黑客。在我國，個(gè)人信息泄露也是一個(gè)重災(zāi)區(qū)，人民日?qǐng)?bào)2016的報(bào)道顯示有數(shù)據(jù)統(tǒng)計(jì)，在個(gè)人信息保護(hù)方面，網(wǎng)民被泄露的個(gè)人信息涵蓋范圍非常廣泛，其中78.2%的網(wǎng)民個(gè)人身份信息被泄露過，包括網(wǎng)民的姓名、學(xué)歷、家庭住址、身份證號(hào)及工作單位等。

GDPR規(guī)定對(duì)于未遵從該法規(guī)的企業(yè)將處以最高2千萬歐元或企業(yè)年度收入的4%(二者取其最高者)。而國內(nèi)《中國人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)第六十四條針對(duì)侵害個(gè)人信息的機(jī)構(gòu)提出了處罰違法所得1-10倍的罰款或100萬以下罰款(無違法所得)，嚴(yán)重的吊銷業(yè)務(wù)許可或營業(yè)執(zhí)照。此外對(duì)直接負(fù)責(zé)的主管人員或其他直接責(zé)任人還有1-10萬元的處罰。

那么，企業(yè)具體應(yīng)該如何展開建設(shè)呢?筆者認(rèn)為可以從以下五個(gè)方面來開展。

1. WHAT

• 結(jié)合機(jī)構(gòu)自身的業(yè)務(wù)內(nèi)容和覆蓋范圍，組織專項(xiàng)人員學(xué)習(xí)了解與個(gè)人信息保護(hù)相關(guān)的國內(nèi)外法律法規(guī)和相關(guān)標(biāo)準(zhǔn)。
• 制訂機(jī)構(gòu)隱私數(shù)據(jù)保護(hù)建設(shè)的方向和建設(shè)內(nèi)容

2. HOW

仔細(xì)回顧和評(píng)估機(jī)構(gòu)對(duì)個(gè)人信息數(shù)據(jù)保護(hù)與相應(yīng)法律法規(guī)在合規(guī)要求上的一致性和存在差距。評(píng)估內(nèi)容包括個(gè)人信息數(shù)據(jù)在業(yè)務(wù)開展過程中是以哪種形式被收集的?在收集過程中是否對(duì)用戶提供清晰的解釋并獲得了用戶的明確許可?包括機(jī)構(gòu)本身以及機(jī)構(gòu)委托或與之合作的第三方機(jī)構(gòu)在內(nèi)的數(shù)據(jù)控制與處理主體是如何對(duì)收集的數(shù)據(jù)進(jìn)行處理及保存?機(jī)構(gòu)是否對(duì)用戶提供了撤回或刪除個(gè)人信息的渠道及方式方法?數(shù)據(jù)控制主體在個(gè)人信息數(shù)據(jù)保護(hù)方面(包括對(duì)信息數(shù)據(jù)完整性、可用性、機(jī)密性、不可抵賴性、真實(shí)性、可控性)具備怎樣的保護(hù)機(jī)制以及保護(hù)措施的效果是否達(dá)到了與合規(guī)要求相符的期望?機(jī)構(gòu)在發(fā)生信息泄露時(shí)是否具備的應(yīng)急處置機(jī)制，包括在規(guī)定時(shí)間內(nèi)的監(jiān)管上報(bào)機(jī)制、事件排查及數(shù)據(jù)恢復(fù)機(jī)制、與第三方(如云服務(wù)商、CERT等)聯(lián)動(dòng)處置機(jī)制、在規(guī)定時(shí)間內(nèi)向客戶進(jìn)行通告的通報(bào)機(jī)制?

3. WHO

• 對(duì)業(yè)務(wù)和數(shù)據(jù)流進(jìn)行梳理，明確認(rèn)知哪些客戶的個(gè)人信息被收集，是否存在過度收集的情況? 尤其是未成年人以及歐美個(gè)人的個(gè)人信息。
• 明確在業(yè)務(wù)處理過程中，機(jī)構(gòu)內(nèi)部哪些人員具備對(duì)個(gè)人信息的訪問權(quán)和控制權(quán)。權(quán)限的合理性和最小需求設(shè)置是否正確。
• 明確在業(yè)務(wù)處理過程中，來自第三方的哪些外部人員具備對(duì)個(gè)人信息的訪問權(quán)和控制權(quán)。權(quán)限的合理性和最小需求設(shè)置是否正確。
• 根據(jù)機(jī)構(gòu)情況，建立數(shù)據(jù)保護(hù)小組或相應(yīng)的部門機(jī)構(gòu)，任命數(shù)據(jù)保護(hù)官員(Data Protection Officer，DPO)，明確其工作職責(zé)并保證其工作的獨(dú)立性。

4. WHERE

清晰辨析和知曉個(gè)人信息數(shù)據(jù)的物理和邏輯存放位置，本地還是云端，國內(nèi)還是國外。尤其是對(duì)于涉及公有云的業(yè)務(wù)情況，需要評(píng)估是否涉及跨境數(shù)據(jù)存放以及評(píng)估業(yè)務(wù)所在國對(duì)跨境數(shù)據(jù)存放與傳輸?shù)姆梢?guī)定對(duì)業(yè)務(wù)開展的影響情況。

5. WHEN

• 每年定期在機(jī)構(gòu)內(nèi)部開展個(gè)人信息數(shù)據(jù)保護(hù)的培訓(xùn)工作。培訓(xùn)內(nèi)容包含在業(yè)務(wù)開展中保護(hù)個(gè)人數(shù)據(jù)的實(shí)施操作指南，發(fā)生信息泄露后的上報(bào)及處置機(jī)制與流程等
• 每年定期在機(jī)構(gòu)內(nèi)部開展針對(duì)個(gè)人信息數(shù)據(jù)保護(hù)情況的安全審計(jì)工作。審計(jì)的內(nèi)容主要包括機(jī)構(gòu)的隱私保護(hù)安全政策、實(shí)施流程以及措施有效性等。

四、 主要的注意事項(xiàng)

結(jié)合《個(gè)人信息安全規(guī)范》與GDPR的要求，在隱私數(shù)據(jù)安全防護(hù)建設(shè)中有以下五個(gè)事項(xiàng)需要得企業(yè)機(jī)構(gòu)著重關(guān)注。

1. 數(shù)據(jù)主體信息的獲取與刪除

個(gè)人信息的獲取無疑是所有隱私保護(hù)工作的初始，沒有獲取，自然也無從談起對(duì)其的安全保護(hù)。但在獲取過程中，作為數(shù)據(jù)控制的實(shí)體，在數(shù)據(jù)獲取過程中，必須考慮以下三點(diǎn)。其一，信息數(shù)據(jù)的搜集遵循最小需求的原則。對(duì)于與業(yè)務(wù)功能無關(guān)聯(lián)的數(shù)據(jù)不應(yīng)進(jìn)行搜集。其二，對(duì)于未成年人個(gè)人數(shù)據(jù)的獲取?！秱€(gè)人信息安全規(guī)范》5.5條款中提到對(duì)于未成年人的數(shù)據(jù)搜集必須獲得其監(jiān)護(hù)人的明示同意。其三，對(duì)于從非數(shù)據(jù)主體間接獲取數(shù)據(jù)的方式除需要合法合規(guī)外，還需要認(rèn)識(shí)到獲取數(shù)據(jù)的同時(shí)意味著自身也承擔(dān)了對(duì)數(shù)據(jù)進(jìn)行保護(hù)的等同責(zé)任。

《個(gè)人信息安全規(guī)范》和GDPR都明確了數(shù)據(jù)主體所具備的對(duì)個(gè)人信息數(shù)據(jù)進(jìn)行刪除的權(quán)利(《規(guī)范》稱為主體參與原則，GDPR稱為刪除權(quán)或被遺忘權(quán))。就目前而言，提供刪除的功能以及刪除相應(yīng)數(shù)據(jù)的工作在短期內(nèi)全球大部分企業(yè)可能都難以提供和完成。當(dāng)然，一些巨型跨國公司較早認(rèn)識(shí)到這點(diǎn)并已開始提供此項(xiàng)功能，例如Facebook和Google已提供個(gè)人數(shù)據(jù)下載和賬戶信息刪除功能。對(duì)用戶而言，一旦他們向上述服務(wù)商提交個(gè)人數(shù)據(jù)刪除申請(qǐng)后，它們將在最長90天的時(shí)間內(nèi)進(jìn)行相關(guān)信息刪除。

圖：Facebook提供個(gè)人信息下載的入口

圖：谷歌個(gè)人賬戶刪除頁面

2. 第三方合作方的合規(guī)遵從

對(duì)企業(yè)機(jī)構(gòu)而言在與第三方開展合作時(shí)，務(wù)必考慮以下二點(diǎn)。其一，只要第三方參與并涉及到個(gè)人信息數(shù)據(jù)的讀取、存儲(chǔ)、再加工等，第三方均有責(zé)任對(duì)數(shù)據(jù)進(jìn)行保護(hù)。其二，與第三方的合作，對(duì)企業(yè)機(jī)構(gòu)而言不意味著安全責(zé)任也隨之外包。在此過程中，作為數(shù)據(jù)控制主體的機(jī)構(gòu)應(yīng)該與合作方通過簽署一系列的合同和協(xié)議來進(jìn)行安全約定。這些內(nèi)容包括約定合作方應(yīng)有的安全保護(hù)措施、對(duì)數(shù)據(jù)的最小采集(包括范圍、類型和數(shù)量)、最小使用(僅限特定用途)、發(fā)生信息泄露的處置措施和處罰措施以及當(dāng)合作終止時(shí)，對(duì)數(shù)據(jù)的回收以及第三方對(duì)數(shù)據(jù)(包括原始和備份數(shù)據(jù))的銷毀。

與第三方合作中最難的是與云服務(wù)商的合作。由于云計(jì)算及應(yīng)用場景特殊的屬性，使得在滿足監(jiān)管合規(guī)時(shí)更難以應(yīng)對(duì)，因此企業(yè)機(jī)構(gòu)在選擇云服務(wù)商時(shí)更需要認(rèn)真考察其對(duì)隱私保護(hù)的承諾以及所具備的能力。以AWS和Google Cloud為例，AWS為了滿足GDPR合規(guī)的要求，在2017年11月專門出了一份介紹其如何滿足GDPR要求的文檔[6]。而谷歌公司則做出了官方承諾[7]以及介紹其如何滿足GDPR的說明文檔[8]。

圖：谷歌公司對(duì)GDPR合規(guī)滿足說明文檔

3. 信息泄露后的應(yīng)急處置與用戶通告

在當(dāng)前復(fù)雜的網(wǎng)絡(luò)攻擊和各種利益誘惑下，想要完全杜絕發(fā)生個(gè)人信息泄露的行為幾乎是件不可能完成的任務(wù)。因此機(jī)構(gòu)在開展建設(shè)時(shí)需要建立應(yīng)急處置機(jī)制、制定和完善應(yīng)急處置預(yù)案。對(duì)于國內(nèi)機(jī)構(gòu)而言，發(fā)生信息泄露事件后除了應(yīng)按照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》和行業(yè)監(jiān)管要求及時(shí)向相應(yīng)監(jiān)管部門進(jìn)行上報(bào)，也應(yīng)該通過多種方式向涉及到個(gè)人數(shù)據(jù)主體進(jìn)行及時(shí)的告知(詳見《個(gè)人信息安全規(guī)范》9.2條款)。在此，機(jī)構(gòu)需特別注意通告的及時(shí)性，GDPR要求是事件發(fā)生后的72小時(shí)內(nèi)，超出必須進(jìn)行解釋?！兑?guī)范》雖然沒有具體明確時(shí)限，但也是強(qiáng)調(diào)要及時(shí)。因此企業(yè)機(jī)構(gòu)有必要在信息泄露的應(yīng)急預(yù)案中明確對(duì)受侵害數(shù)據(jù)主體的通告方式以及通告時(shí)限。

4. 個(gè)人隱私保護(hù)權(quán)利不是無限的

當(dāng)公眾談個(gè)人隱私保護(hù)的時(shí)候，有少部分人會(huì)陷入一個(gè)誤區(qū)，常把個(gè)人隱私的權(quán)利無限放大或置于國家和公眾的利益之上。事實(shí)上，無論是國外和國內(nèi)，主流的觀點(diǎn)都是認(rèn)為個(gè)人隱私保護(hù)的權(quán)利也是受限的，并不存在完全無條件的權(quán)利。在GDPR和《個(gè)人信息安全規(guī)范》中針對(duì)數(shù)據(jù)主體隱私數(shù)據(jù)的多項(xiàng)權(quán)利和處置原則，都明確了一些例外情況?？傮w而言，當(dāng)隱私保護(hù)的權(quán)利和處置原則與國家安全、防務(wù)、政府監(jiān)管、公共安全、公共利益、司法程序與司法獨(dú)立等發(fā)生沖突的情況下，首先滿足的是后者的需求。因此機(jī)構(gòu)切不可為了保護(hù)隱私數(shù)據(jù)而走向另一個(gè)極端。舉例來說，監(jiān)管機(jī)構(gòu)在網(wǎng)絡(luò)上提供失信人員名單查詢，失信人員因此發(fā)起法律訴訟聲稱自己的隱私權(quán)益受到侵害，在此情況下，考慮到失信人員可能對(duì)公眾利益造成損害，其法律訴訟可能并不被支持和受理。又如，當(dāng)本國司法機(jī)關(guān)按法律程序要求進(jìn)行隱私數(shù)據(jù)查詢時(shí)，作為數(shù)據(jù)控制者的機(jī)構(gòu)應(yīng)該提供其開展司法訴訟成立、行使、辯護(hù)所必須的信息數(shù)據(jù)。但國外政府機(jī)構(gòu)或國際機(jī)構(gòu)的類似訴求必須得到本國政府機(jī)構(gòu)的明確同意后才可以提供。

5. 人的因素

根據(jù)國內(nèi)媒體報(bào)道近年來我國侵犯公民個(gè)人信息類刑事案件的數(shù)量呈逐年上升趨勢，尤其是2017年，該類案件陡增，與2016年相比，同比增長了81%。

圖：2014-2017年全國侵犯公民個(gè)人信息類安全件數(shù)據(jù)趨勢

在這些案例中統(tǒng)計(jì)發(fā)現(xiàn)有不到兩成的被告人系通過利用職務(wù)或工作之便、侵入計(jì)算機(jī)系統(tǒng)等竊取的方式獲得公民個(gè)人信息。這些被告人行為主體主要是企業(yè)機(jī)構(gòu)或國家機(jī)構(gòu)人員，例如金融機(jī)構(gòu)的職員、快遞行業(yè)從業(yè)人員、房地產(chǎn)從業(yè)人員、教育培訓(xùn)機(jī)構(gòu)人員、戶籍民警、稅務(wù)人員等。涉及最多的三項(xiàng)罪名為非法獲取公民個(gè)人信息罪、出售、非法提供公民個(gè)人信息罪和侵犯公民個(gè)人信息罪[9] 。從以上資料信息可以看到內(nèi)部人員的潛在威脅是機(jī)構(gòu)開展隱私數(shù)據(jù)安全保護(hù)建設(shè)過程中必須考慮的威脅因素，而這也是GDPR和《個(gè)人信息安全規(guī)范》有相應(yīng)獨(dú)立章節(jié)條款來規(guī)范對(duì)內(nèi)部人員的管理與訪問控制、開展持續(xù)的安全培訓(xùn)與安全審計(jì)的原因。

五、 結(jié)束語

GDPR和《個(gè)人信息安全規(guī)范》這類法規(guī)和標(biāo)準(zhǔn)的制定、發(fā)布與正式實(shí)施將對(duì)企業(yè)機(jī)構(gòu)未來的隱私數(shù)據(jù)安全保護(hù)建設(shè)帶來許多的改變。法規(guī)和標(biāo)準(zhǔn)中的條款內(nèi)容對(duì)數(shù)據(jù)控制者提出了非常高的合規(guī)要求。盡管一些條款仍有爭議，但法規(guī)和標(biāo)準(zhǔn)的適用對(duì)象仍需保持開放和接受的心態(tài)并以認(rèn)真和積極的態(tài)度投入到這一場需要極大耐心和耐力的征程當(dāng)中。

【本文是專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過聯(lián)系原作者獲取授權(quán)】

網(wǎng)頁題目：GDPR正式生效企業(yè)如何建設(shè)隱私數(shù)據(jù)安全防護(hù)？
URL地址：http://m.5511xx.com/article/coicpgc.html