GDPR正式生效企业怎样建设隐私数据安全防护？

发布时间：2021-07-10 17:59:45 所属栏目：安全来源：互联网

导读：隐私保护一直都是信息安全领域的一个内容。随着《一般数据保护条例》(General Data Protection Regulation，以下简称GDPR)的正式实施，隐私保护与伴随而来的数据

　　与第三方合作中最难的是与云服务商的合作。由于云计算及应用场景特殊的属性，使得在满足监管合规时更难以应对，因此企业机构在选择云服务商时更需要认真考察其对隐私保护的承诺以及所具备的能力。以AWS和Google Cloud为例，AWS为了满足GDPR合规的要求，在2017年11月专门出了一份介绍其如何满足GDPR要求的文档[6]。而谷歌公司则做出了官方承诺[7]以及介绍其如何满足GDPR的说明文档[8]。

　　3. 信息泄露后的应急处置与用户通告

　　在当前复杂的网络攻击和各种利益诱惑下，想要完全杜绝发生个人信息泄露的行为几乎是件不可能完成的任务。因此机构在开展建设时需要建立应急处置机制、制定和完善应急处置预案。对于国内机构而言，发生信息泄露事件后除了应按照《国家网络安全事件应急预案》和行业监管要求及时向相应监管部门进行上报，也应该通过多种方式向涉及到个人数据主体进行及时的告知(详见《个人信息安全规范》9.2条款)。在此，机构需特别注意通告的及时性，GDPR要求是事件发生后的72小时内，超出必须进行解释。《规范》虽然没有具体明确时限，但也是强调要及时。因此企业机构有必要在信息泄露的应急预案中明确对受侵害数据主体的通告方式以及通告时限。

　　4. 个人隐私保护权利不是无限的

　　当公众谈个人隐私保护的时候，有少部分人会陷入一个误区，常把个人隐私的权利无限放大或置于国家和公众的利益之上。事实上，无论是国外和国内，主流的观点都是认为个人隐私保护的权利也是受限的，并不存在完全无条件的权利。在GDPR和《个人信息安全规范》中针对数据主体隐私数据的多项权利和处置原则，都明确了一些例外情况。总体而言，当隐私保护的权利和处置原则与国家安全、防务、政府监管、公共安全、公共利益、司法程序与司法独立等发生冲突的情况下，首先满足的是后者的需求。因此机构切不可为了保护隐私数据而走向另一个极端。举例来说，监管机构在网络上提供失信人员名单查询，失信人员因此发起法律诉讼声称自己的隐私权益受到侵害，在此情况下，考虑到失信人员可能对公众利益造成损害，其法律诉讼可能并不被支持和受理。又如，当本国司法机关按法律程序要求进行隐私数据查询时，作为数据控制者的机构应该提供其开展司法诉讼成立、行使、辩护所必须的信息数据。但国外政府机构或国际机构的类似诉求必须得到本国政府机构的明确同意后才可以提供。

　　5. 人的因素

　　根据国内媒体报道近年来我国侵犯公民个人信息类刑事案件的数量呈逐年上升趋势，尤其是2017年，该类案件陡增，与2016年相比，同比增长了81%。

　　在这些案例中统计发现有不到两成的被告人系通过利用职务或工作之便、侵入计算机系统等窃取的方式获得公民个人信息。这些被告人行为主体主要是企业机构或国家机构人员，例如金融机构的职员、快递行业从业人员、房地产从业人员、教育培训机构人员、户籍民警、税务人员等。涉及最多的三项罪名为非法获取公民个人信息罪、出售、非法提供公民个人信息罪和侵犯公民个人信息罪[9] 。从以上资料信息可以看到内部人员的潜在威胁是机构开展隐私数据安全保护建设过程中必须考虑的威胁因素，而这也是GDPR和《个人信息安全规范》有相应独立章节条款来规范对内部人员的管理与访问控制、开展持续的安全培训与安全审计的原因。

　　五、结束语

　　GDPR和《个人信息安全规范》这类法规和标准的制定、发布与正式实施将对企业机构未来的隐私数据安全保护建设带来许多的改变。法规和标准中的条款内容对数据控制者提出了非常高的合规要求。尽管一些条款仍有争议，但法规和标准的适用对象仍需保持开放和接受的心态并以认真和积极的态度投入到这一场需要极大耐心和耐力的征程当中。