以互聯網、大數據、人工智能等現代信息技術構成的數字化時代,技術進步帶來便利的同時,其背后伴隨的安全問題也不容忽視。
面對手機APP條款繁復、晦澀難懂的隱私政策,還有一攬子授權,必須要點同意?
郵箱、手機,甚至身份證、家庭住址、社會關系、銀行卡號……
這些被拿去的個人信息會不會被泄露和濫用?
公眾該如何防護?
企業如何保護隱私的同時獲取益處?
又該如何保障用戶的信息安全?
近年來全球多個國家紛紛頒布相關法律法規,對信息安全與隱私保護相關問題進行嚴格的規范與引導。如中國的網絡安全法、GB/T 35273個人信息保護條例;歐盟GDPR通用數據保護條例;美國加州CCPA隱私保護條例;美國內華達州SB220數據隱私法;英國DPA2018數據保護法等。
為了應對越來越多信息泄露件及個人信息濫用的情況,國際標準化組織ISO也在信息安全、隱私安全、云安全等相關領域發布了諸多國際標準。
各國出臺的法規如何理解?
那么多的標準號都怎么區分?都有什么作用?
1 各國法規部分介紹:
1.1 中國《網絡安全法》
我國于2017年6月1日正式發布《中華人民共和國網絡安全法》。《網絡安全法》是我國首部全面規范網絡空間安全管理方面問題的基礎性法律,包含的內容十分豐富,一共包括7章79條,包含網絡運行安全、關鍵信息基礎設施的運行安全、網絡信息安全等內容。《網絡安全法》在數據(包括個人信息)安全與保護上也有諸多規定,諸如第四十至四十五條。
1.2 中國GB/T 35273《個人信息安全規范》
2019年10月,GB/T 35273《個人信息安全規范》在本年度內進行第三次修訂并征求意見,同年《網絡安全審查辦法(征求意見稿)》、《數據安全管理辦法(征求意見稿)》、《兒童個人信息網絡保護規定》在內的多部法律法規及國家標準密集出臺、快速更新甚至正式實施,充分反映了中國政府在個人信息保護領域立法十分活躍的態勢。
1.3 歐盟GDPR《通用數據保護條例》
歐盟于2018年5月25日正式發布GDPR《通用數據保護條例》,這是一項保護歐盟公民個人隱私和數據的法律,其適用范圍包括歐盟成員國境內企業的個人數據、也包括歐盟境外企業處理歐盟公民的個人數據。
1.4 美國CCPA《加州消費者隱私保護法》
2018年6月28日美國加州發布CCPA《加州消費者隱私保護法》。該法案被稱為美國“最嚴厲和最全面的個人隱私保護法案”,將于2020年1月1日生效。
1.5 美國SB 220《內華達州數據隱私法》
2019年5月29日美國內華達州發布SB 220《內華達州數據隱私法》,該法案涉及互聯網隱私,要求互聯網網站和在線服務的運營商遵循消費者的指示,不得出售其個人數據。違反SB 220可能會導致運營商收到禁令或每次違規最高被處以5,000美元的民事處罰。SB 220已于2019年10月1日生效。
1.6 英國DPA2018《數據保護法》
2018年5月23日,英國正式通過新修訂的DPA2018《數據保護法》。該法將廢除1998年頒布的《數據保護法》,重新建立英國數據保護框架以促進GDPR在英國的有效落實,并在GDPR框架下對某些條款做出裁剪規定。同時,確保英國在脫歐之后與歐盟在個人數據保護方面保持一致,以促進英國與歐盟國家的數據流動。該法主要內容包括:1) 加強數據主體對其個人數據的控制權。2)加強數據控制者義務。此外,該法還為刑事司法機構出于執法目的而處理數據設計了專門的執法框架,要求在執法過程中同樣需要保護個人數據。
1.7 瑞士DPA《聯邦資料保護法》
瑞士是少數未加入歐盟的歐洲國家。在歐盟個人資料保護指令 (EU Directive 95/46/EC)實施期間已獲得第三國適應性認定,即歐盟認定瑞士關于個人信息保護的相關法規及其保護程度與歐盟個人信息保護指令相當。為應對歐盟GDPR新法規,2017年9月15日瑞士聯邦議會通過修訂草案,修正DPA相關條文。其目的是配合歐盟GDPR的實施,希望在GDPR正式實施之后,繼續獲得第三國適應性認定,而不須在每次跨境資料傳輸皆遵循GDPR規則辦理。瑞士DPA與GDPR區別在于其并未制定數據可攜帶權、沒有領域外效力、對于知情同意的要求較低、認證機制于行為守則及罰則較低。
1.8 德國BDSG《聯邦個人資料保護法》
德國聯邦議院于2018年 4月27日通過《個人信息保護調整和施行法》,其中包含新的德國BDSG《聯邦個人信息保護法》。在這部新的法案中,已實施40年的BDSG進行了大幅調整以符合歐盟GDPR《通用數據保護條例》。在新的BDSG法案中德國聯邦政府運用了GDPR的開放性條款,導致部分新的BDSG規范內容超越了GDPR的條文規范,與現行歐盟法律不符,很可能被宣布違反歐盟法律。另一方面,舊的BDSG僅有48條規定,而新的BDSG則超過85條規定,且更為復雜,提高了法律適用上的難度。
2 國際標準:
2.1 ISO/IEC 27001:2013 信息安全管理體系
ISO/IEC 27001是信息安全領域的重要標準,是建立信息安全管理體系的一套規范,標準詳細說明了建立、實施及維護信息安全管理體系的要求,指出實施組織應該遵循風險評估標準,其最終目的在于幫助組織建立適合自身需要的信息安全管理體系。ISO/IEC 27001共分成14個領域,35個控制目標,114個控制措施。
2.2 ISO/IEC 27002:2013 信息安全控制實用規則
ISO/IEC 27002標準為在組織內啟動、實施、保持和改進信息安全管理提供指南和通用的原則。ISO/IEC 27002標準概述的目標提供了有關信息安全管理通常公認的目標的通用指南。.ISO/IEC 27002標準的控制目標和控制措施預期被實施以滿足由風險評估所識別的要求,ISO/IEC 27002標準可以作為一個實踐指南服務于幵發組織的安全標準和有效的安全管理實踐,幫助構建組織間活動的信心。實施規則中的控制和指導并不全都是適用的,可能需要 ISO/IEC 27002標準中未包括的附加控制和指南:。
2.3 ISO/IEC 27017:2015 云環境下的信息安全控制
ISO/IEC 27017提供了ISO/IEC 27002與云環境相關的控制措施實施指引,同時提供了針對云服務的額外安全控制措施。ISO/IEC 27017標準適用于所有類型和規模大小的組織,無論是自建的云服務還是透過購買所獲得的云服務,以及云服務提供商本身,皆可透過此標準的指引,強化所提供或者所使用的云服務的安全。ISO/IEC 27017能在組織和服務商中清楚地定義云服務提供商和云服務客戶之間的責任,避免可能在服務過程總所產生的歧義,導致服務中斷。ISO/IEC 27017標準除了引用37個來自于ISO/IEC 27002的控制措施,同時還額外提供了7個專門針對云服務的安全控制措施。
2.4 ISO/IEC 27018:2019 公有云個人隱私保護
ISO/IEC 27018是公有云個人隱私保護的國際標準,標準提供了一套用于公有云中個人信息處理者的個人信息保護實用規則。這些規則讓云服務供應商的個人信息安全控制變得標準化和透明化,使得公有云服務提供商在扮演PII處理者時,有足夠能力去處理公有云服務中的信息安全問題,能夠在滿足客戶合約以及相應法規前提下,有效應對云服務中個人隱私保護的特定風險。ISO/IEC 27018標準參考了ISO/IEC 27002的16項控制措施,以及根據ISO/IEC 29100的11項隱私框架原則追加的25項控制措施。
2.5 ISO/IEC 27701:2019 隱私管理體系
ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標準,其目標是通過新增的要求來增強現有信息安全管理體系(ISMS),以便建立、實施、維護和不斷改進隱私信息管理體系(PIMS),標準概述了適用于個人身份信息(PII)控制者和PII處理者的框架,用于隱私控制管理,以降低對個人隱私的各種風險。
2.6 ISO/IEC 29100:2011 隱私框架
由于信息科技的普及,處理或利用個人信息的情況越來越普遍,但不同國家的相關法規均不一致,為了確保跨國間的個人信息傳輸都能符合一定的法律要求,國際標準化組織ISO于2011年12月發布了國際標準ISO/IEC 29100隱私框架。隱私保護框架內容包括:識別PII、隱私防護的要求、隱私策略和隱私控制的確定。標準的附錄對于隱私的詞匯和ISO/IEC27000標準族的詞匯進行了對應。由于隱私保護和信息安全存在太多的交叉,因此在ISO/IEC 29100:2011中,關于隱私控制并沒有展幵。但是第五章關于隱私原則的內容對于后續開展隱私管理體系建設具有指導意義。
2.7 ISO/IEC 29134:2017 隱私影響評估指南
隱私影響評估(PIA)是一種評估流程,是評估信息系統,程序,軟件模塊,設備或其他處理個人身份信息(PII)的活動對隱私的潛在影響的工具,并與利益相關方協商,為治理隱私風險采取必要的行動。最終產生的PIA報告可能涵蓋涉及風險治理措施的標準文件內容,包括因使用ISO/IEC 27001標準中而產生的措施。ISO/IEC 29134第六章列出了隱私影響評估的主要步驟,給出了是否需要做PIA(閾值分析)的六種情境,最后在標準的附錄中列舉了常規的隱私風險庫。
2.8 ISO/IEC 29151:2017 個人隱私保護標準
ISO/IEC29151是通用的個人隱私保護標準,基于ISO/IEC 27002的各個域中加入了PII的事實指南,同時引入了ISO/IEC 29100十一大隱私保護原則。標準涵蓋26個控制域,181條控制措施,充分控制個人身份信息(PII)相關的風險和滿足影響評估所確定的要求。
信息提交成功