GDPR正式生效 企业怎样建设隐私数据安全防护？

　隐私保护一直都是信息安全领域的一个内容。随着《一般数据保护条例》(General Data Protection Regulation，以下简称GDPR)的正式实施，隐私保护与伴随而来的数据安全成为了企业必须面对的课题。本文针对隐私保护和数据安全方面的内容，展现一个相对全面，客观的视角，帮助企业更深入的了解和理解当下隐私保护和数据安全的前沿态势，以及如何落地该法案。

　　隐私保护一直都是信息安全领域的一个内容，随着欧盟委员会于2016年4月14日投票通过了商讨四年之久的《一般数据保护条例》(General Data Protection Regulation，以下简称GDPR)，隐私保护与伴随而来的数据安全在近2年成为了历次国际性安全会议中不可或缺的议题，在2018年4月的RSA2018会议中也有多个会议议题与次相关。本文结合RSA2018展会上观察到情况和后续了解的一些其他资料，针对隐私保护和数据安全方面的内容，展现一个相对全面，客观的视角，帮助企业更深入的了解和理解当下隐私保护和数据安全的前沿态势，以及如何落地该法案。

　　一、 GDPR在国外的影响

　　在RSA2018展会中，除了有多个会议主题涉及GDPR和隐私保护的内容外，笔者还看到了不少厂家均针对GDPR的要求对自身的产品进行改善。例如，微软公司在其Azure云平台中特别强调了对隐私保护的保护措施和声明，而一些包括安全防护类、数据/行为分析类、安全漏洞与安全配置检测类、安全认证类的设备厂家纷纷在其产品中增加了与GDPR有关的功能项，这些功能项包括专门针对隐私数据的防护策略和组件(如Checkpoint)、隐私数据在机构网络中流动的监测与分析(如BigID)、针对GDPR的安全基线评估项(如Titania)，以及输出对标GDPR合规要求的专业分析报告(如Evident)。笔者在现场的直观感受是，GDPR的影响无所不在，就连一些通常认为合规不怎么覆盖的领域如软件代码安全检测领域也有厂家(如Veracode)在其宣传材料和现场演示中宣称他们的产品可以针对GDPR的要求对代码中隐私数据安全保护的机制进行评估和审计。就RSA2018展会整体来看，国外(欧美)大量的安全厂家显然是十分关注GDPR，并确实为此对产品进行了新一轮的开发与更新完善，虽然GDPR和我国国内绝大部分的机构产生的交集很少，但国外安全厂家这种对合规的关注和产品更新的市场态度值得我们国内安全厂家学习。

　　二、 《个人信息安全规范》中国版的 GDPR

　　《信息安全技术 个人信息安全规范》(GB/T 35273—2017)(以下简称《个人信息安全规范》或《规范》)是我国国家质量监督检验检疫总局和国家标准化管理委员会在2017年12月29日发布，2018年5月1日正式实施的一部关于我国公民个人隐私安全保护重磅技术标准。与GDPR不同的是，该标准不是一部强制性标准而是一部推荐性标准。尽管如此，该标准在编制之初，各界专家以及我国监管机构都对此给予了高度关注和重视。在2016年中央网信办《关于加强国家网络安全标准化工作的若干意见》的第二部分《加强标准体系建设》中就提出“推进急需重点标准制定”，并明确将制定“个人信息保护”方面的标准列为工作重点之一。该标准的编制有以下四个特点[4]:

　　特点1：充分考虑标准在多方诉求方面的平衡性

　　标准的编制不仅考虑了个人对信息保护的诉求，也同时考虑了社会发展应用的需求、国家安全的需求。做到多方的价值平衡。

　　特点2：立足国内现有的法律、法规、规章、标准

　　标准的编制考虑到与现有法律、法规、规章、标准要求的一致性。包括全国人大常委会《关于维护互联网安全的决定》、全国人大常委会《关于加强网络信息保护的决定》、《刑法修正案(五)》、《刑法修正案(七)》、《刑法修正案(九)》、《电信和互联网用户个人信息保护规定》、《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28812-2012)、《信息安全技术信息技术产品供应方行为安全准则》(报批稿)等。

　　特点3：参考对标国际最先进的规则和立法

　　标准的编制参考了在个人信息保护方面最先进的国外立法。例如，OECD(经济合作与发展组织)隐私框架、APEC(亚洲太平洋经济合作组织)隐私框架等国际规则，欧盟《通用数据保护条例》(GDPR)、欧美“隐私盾”(EU-US Privacy Shield)协议、美国“消费者隐私权法案”(Consumer Privacy Bill of Rights)等欧美个人信息保护方面的立法.

　　特点4：不是自成一体而是与国际接轨

　　标准的编制在内容上与国际标准接轨，主要参考ISO/IEC 29100系列标准，包括：ISO/IEC 29100《隐私保护框架》、ISO/IEC 29101《隐私体系架构》、ISO/IEC 29190《隐私能力评估模型》、ISO/IEC 29134《隐私影响评估》、ISO/IEC29151《个人可识别信息保护指南》等。此外，还有美国的保护个人身份信息机密性指南(NIST SP800-122)、联邦信息系统隐私与安全控制(NISTSP800-53);欧盟的数据保护审计实践清单(CWA 15262:2005)，管理者的自评估框架(CWA 16112:2010)，个人数据保护良好实践(CWA 16113:2010)，等等

　　限于篇幅，本文不在此对《个人信息安全规范》进行详细解读，但有两点需要特别指出。第一，虽然该标准是推荐性标准，但是该标准的定位是我国个人信息保护工作的基础性标准文件。它是我国今后开展与个人信息保护相关的各类活动的参考标准，而且也为今后制定和实施个人信息保护相关法律法规奠定基础。因此社会各机构，尤其是与个人信息搜集及使用紧密联系的金融、运营商、医疗、社保、教育以及政府等机构务必认真关注和研读该标准并开展相关的数据安全建设活动。第二，该标准的整体内容要求不亚于国际标准，在某些内容上甚至高于国际标准，即便是对比GDPR。例如《个人信息安全规范》要求组织开展个人信息安全培训，对建立个人信息保护负责人和个人信息保护工作机构的组织大小及个人信息处理数量做出了规定(见10.1 明确责任部门与人员);要求建立个人信息安全影响评估制度，定期(至少每年一次)开展个人信息安全影响评估(见10.2 开展个人信息安全影响评估);要求对接触个人敏感信息的内部人员开展背景调查，除了培训还需考核，并使用自动化审计工具(见10.4 人员管理与培训);要求开展个人信息安全审计(见10.5 安全审计)。以上这些条款和要求在GDPR中都没有明确或涉及。

　　三、 企业机构开展隐私与数据安全保护建设的建议

　　在企业机构开展隐私与数据安全保护建设时，企业高管们首先应该高度重视机构本身所肩负对客户隐私信息的保护责任。因为没有应有的尽责不仅将失去用户的信任，也将面临着来自合规的处罚。

（编辑：辽源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!