本篇介紹:一些關鍵概念
本篇爲第1篇/共5篇
下一篇:企業安全隱私合規體系建設經驗總結(二)
引子
在去年前三季度(2019年),我有幸主導了公司的安全隱私合規體系建設。幾乎是從零開始,完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等級保護三級、CCPA等安全隱私合規認證,其中也寫了一些零零碎碎的心得和研究筆記。
而在今年春節(2020年),由於武漢肺炎疫情嚴重,假期延長,我決定系統的回顧和總結一下關於企業安全隱私合規體系建設的經驗,以讓後來人及自己以後都少走彎路。
1.1 領域:數據保護、數據隱私、數據安全
數據保護
數據保護的目的在於保護與人有關的數據。法律的直接落腳點不在於自然人本身,而是那些關於人的數據。通過保護個人數據,從而保護個人(即數據主體)不受自動數據處理的侵害。在嘗試理解或遵守歐洲的數據保護法時,要記住其默認的規則是“禁止”。
歐洲數據保護法的最小化要求是:除非獲得數據主體的同意或存在其他重大事由,否則企業不得收集、使用和保存個人數據。此外,企業收集的數據量、處理次數、享有數據訪問權限的人數以及保存數據的時長,均須最小化。
數據隱私
數據隱私相關的法律條款旨在保護個人空間不受侵擾,私密通信不受截取。除非在某種情形下存在對隱私的合理預期,否則個人數據一般不會受到法律的保護。
數據安全
數據安全相關的法律條款旨在保護個人不受非法獲取個人信息而造成的具體損害,尤其防止身份盜用(如犯罪分子用某人的個人信息申辦信用卡或者消費信用卡的)行爲。
1.2 法域
法域即某一地區的法律或者某一法律所管轄的地區,如GDPR管轄區域是歐洲經濟區。
只介紹GDPR
2018年5月,《歐盟通用數據保護條例(GDPR)》在全部歐洲經濟區成員國生效,立即適用於經濟區內的企業。
關於GDPR的一些比較重大的說明點:
1、企業必須爲特別敏感的數據處理活動開展影響評估,按預先設定的記錄格式記載全部數據梳理活動和合規工作,包括記錄數據和數據主體類型、處理目的、數據接收人、國際傳輸及相應保護措施、刪除期限、技術和組織的安全措施(第30條、第35條)。
2、企業必須爲每個實體任命數據保護官(但一位數據保護官可以照顧多個公司和辦事處,其前提是每個實體都能聯繫到這位數據保護官)。
3、位於歐洲經濟區外的企業必須指定一位在歐洲經濟區內的代表,該代表必須物理常駐歐洲經濟區內,可以外聘。
4、企業必須執行有力的數據保留和刪除制度,以符合數據訪問、更正和擦除方面更嚴格的規則。
5、企業必須向數據主體提供更詳細的隱私通知,披露數據保護者的身份和聯繫信息(歐洲經濟區外的外國公司還應當披露歐洲經濟區內的代表人的身份和聯繫方式)、數據保護官的聯繫方式、數據處理的目的、處理數據的法律依據、數據處理者或第三方的正當權益(即數據處理的正當依據)、數據接收者或者接受者類型。
如果涉及個人數據的跨國傳輸,則應披露是否存在歐盟委員會的充分保護判定以及信息安全保護措施,包括如何獲取副本的方式及其他種種細節。與此同時,企業必須將這些信息“以簡明、透明、可理解、易於讀取的形式,用清楚和直白的語言”呈現出來(第12條、第23條)。
6、企業必須建立流程確保可在72小時內向數據保護機關和數據主體通報數據安全事件。
GDPR和歐洲各國內法
《歐盟通用數據保護條例》直接適用於企業,而無需通過國內立法來實施。但是,國內法可能會在某些方面設定額外或更嚴格的規則,除非經過立法者主動廢止,否則會持續有效。也就是說企業除了需要遵守《歐盟通用數據保護條例》外,依然要遵守每個歐洲國家的相關法律,可能還要遵守相關的州、省、其他歐洲國家內部某些地區的法律。
1.3 種類:個人數據、個人可識別信息、敏感數據
個人數據
可被識別的自然人的任何信息都是該主體的個人數據。例如:某人的姓名、照片、地址或生日都屬於該自然人的個人數據。某一項數據成爲個人數據,並不要求僅僅通過這一項數據即可識別數據的主體,只要這一項數據與某個可被識別的自然人以某種有意義的方式存在關聯,就可以了。
經過刪節(如部分數據刪除掉)或匯聚(如統計數據大盤)後的已經無法關聯到具體個人的數據,則不再屬於個人數據。不過加密不一定也可以實現這一目標,因爲只要有人掌握了密鑰,就能夠重新識別出數據主體。因此,在大多數時候,加密後的數據仍然需要被當作數據保護法下的個人數據來對待。
個人可識別信息(PII)
不同情況下的個人可識別信息指向的數據不同,例如身份證號、社保賬號等。只要是僅通過這一條信息就識別到特定的自然人的話,該條信息就是個人可識別信息。
敏感數據
不同情況下的敏感數據指向的內容也不同,例如在僅歧視同性戀的烏托邦環境下,性取向就是敏感信息,但身份證號在這時候就不是。
按照GDPR的條例,以下個人信息需要引起特別注意:
政治主張、工會成員身份、醫療或健康狀況、種族和民族、宗教或哲學信仰、性取向信息、某些類型的犯罪記錄。
1.4 相關行爲:數據傳輸及其他數據處理行爲
歐洲數據保護法監管個人數據的任何處理,且“處理”的定義十分寬泛,包括任何關於個人數據的活動。美國和其他國家的法律更傾向於約束具體的數據處理行爲。例如通過電子郵件將數據發送到其他地方的行爲。
但是把數據轉移給服務商的情況是不同的(如塗鴉數據轉移到騰訊雲)。一般來說,企業與數據處理者之間的數據共享情況,無須在企業的隱私通知或政府申報文件中詳細說明,且數據主體對此也無選擇權。當然,爲了保險起見,每次向第三方提供數據應當儘可能的謹慎,考慮數據隱私法是否對此有所限制。
相對於將數據傳輸給數據控制者的形式,將數據傳輸給僅作爲數據處理者的第三方這種行爲受到的限制往往少一些。
因此,企業一般可以把個人數據分享給服務商(不管是自然人還是機構),無須告知數據主體或者徵求數據主體同意,但企業應當和服務商簽訂書面數據處理合同,明確限制服務商對數據用途的決策權。
1.5 監管對象:數據控制者,數據處理者
數據控制者對遵守數據保護和隱私法律負主要義務。數據處理者使用數據時有義務遵守數據控制者的指示,不超越數據控制者的指示範圍,且應當保證數據的安全。
同時,儘管比如像騰訊雲持有塗鴉數據的物理載體(雲主機)並擁有接觸塗鴉數據的技術手段,但是無論在任何情況下,騰訊雲私自訪問這些數據都是不被允許、不被期待的行爲。
1.6 守門人:數據保護機關、數據保護官
歐洲國家已經設立獨自的政府機關負責執行各自國家的數據保護法。來自歐洲經濟區國家數據保護機關的代表們共同組建了覆蓋全歐盟的機構:歐盟數據保護委員會(EDPB)。歐盟數據保護委員會爲企業和立法部門提供相關指南,並公佈各國數據保護機關的觀點。在歐洲很多國家和一些非歐洲國家,企業開始處理個人數據之前必須通知當地的數據保護機關。
對於GDPR,企業必須任命數據保護官,數據保護官可以由企業員工或外部服務商擔任,其職責是監督企業是否遵守數據保護法。雖然數據保護官並非政府官員,但他們必須與當地的數據保護機關合作,並向其報告企業嚴重違反數據保護法的行爲。
不管是在政府機關內,還是在私營企業內,數據保護官都是內部角色,監督其所在組織的守法情況。因此,數據保護官和數據保護機關有所不同,後者的任務是監督其他組織的守法情況。
另外,除了歐洲,很少有國家要求自動處理數據行爲應事先發布通知或獲得批准。
1.7 直接營銷
這是指企業出於營銷目的,直接向消費者撥打電話,發送電子郵件、短信、信函或其他材料。企業(廣告主)及其服務商應確保:
合法獲得消費者的聯繫方式。如從第三方購買消費者聯繫方式,則需審查數據收集和轉移的合法性。
爲營銷目的使用個人數據已獲得授權。具體而言,企業必須就直接營銷事先依法通知消費者或獲得消費者同意,且之前未做過矛盾的承諾。
聯絡消費者的方式、傳遞的內容均應遵守反垃圾郵件法。
1.8 定向廣告
這是指企業根據消費者的個人興趣和活動細節建立消費者情況檔案,其中可能包含消費者的姓名、聯繫方式,也可能不包含(如僅彙總網絡瀏覽記錄)。按照歐洲法律,收集相關檔案信息必須獲得消費者事先知情和明示同意,儘管在實踐中也形成了一套告知和退出機制。
本篇介紹:一些關鍵概念
本篇爲第1篇/共5篇
下一篇:企業安全隱私合規體系建設經驗總結(二)
