隐私数据安全防护建设的五个注意事项

隐私保护一直都是信息安全领域的一个内容，随着欧盟委员会《一般数据保护条例》（General Data Protection Regulation，以下简称GDPR）的通过，隐私保护与伴随而来的数据安全成为了安全行业关注的重点之一。

结合我国公民个人隐私安全保护的标准《个人信息安全规范》与GDPR的要求，在隐私数据安全防护建设中有以下五个事项值得企业机构着重关注。

01

数据主体信息的获取与删除

个人信息的获取无疑是所有隐私保护工作的初始，没有获取，自然也无从谈起对其的安全保护。但在获取过程中，作为数据控制的实体，在数据获取过程中，必须考虑以下三点。其一，信息数据的搜集遵循最小需求的原则。对于与业务功能无关联的数据不应进行搜集。其二，对于未成年人个人数据的获取。《个人信息安全规范》5.5条款中提到对于未成年人的数据搜集必须获得其监护人的明示同意。其三，对于从非数据主体间接获取数据的方式除需要合法合规外，还需要认识到获取数据的同时意味着自身也承担了对数据进行保护的等同责任。

《个人信息安全规范》和GDPR都明确了数据主体所具备的对个人信息数据进行删除的权利（《规范》称为主体参与原则，GDPR称为删除权或被遗忘权）。就目前而言，提供删除的功能以及删除相应数据的工作在短期内全球大部分企业可能都难以提供和完成。当然，一些巨型跨国公司较早认识到这点并已开始提供此项功能，例如Facebook和Google已提供个人数据下载和账户信息删除功能。对用户而言，一旦他们向上述服务商提交个人数据删除申请后，它们将在最长90天的时间内进行相关信息删除。

02

第三方合作方的合规遵从

对企业机构而言在与第三方开展合作时，务必考虑以下二点。其一，只要第三方参与并涉及到个人信息数据的读取、存储、再加工等，第三方均有责任对数据进行保护。其二，与第三方的合作，对企业机构而言不意味着安全责任也随之外包。在此过程中，作为数据控制主体的机构应该与合作方通过签署一系列的合同和协议来进行安全约定。这些内容包括约定合作方应有的安全保护措施、对数据的最小采集（包括范围、类型和数量）、最小使用（仅限特定用途）、发生信息泄露的处置措施和处罚措施以及当合作终止时，对数据的回收以及第三方对数据（包括原始和备份数据）的销毁。

与第三方合作中最难的是与云服务商的合作。由于云计算及应用场景特殊的属性，使得在满足监管合规时更难以应对，因此企业机构在选择云服务商时更需要认真考察其对隐私保护的承诺以及所具备的能力。以AWS和Google Cloud为例，AWS为了满足GDPR合规的要求，在2017年11月专门出了一份介绍其如何满足GDPR要求的文档。而谷歌公司则做出了官方承诺以及介绍其如何满足GDPR的说明文档。

图：谷歌公司对GDPR合规满足说明文档

03

信息泄露后的应急处置与用户通告

在当前复杂的网络攻击和各种利益诱惑下，想要完全杜绝发生个人信息泄露的行为几乎是件不可能完成的任务。因此机构在开展建设时需要建立应急处置机制，制定和完善应急处置预案。对于国内机构而言，发生信息泄露事件后除了应按照《国家网络安全事件应急预案》和行业监管要求及时向相应监管部门进行上报，也应该通过多种方式向涉及到个人数据主体进行及时的告知（详见《个人信息安全规范》9.2条款）。在此，机构需特别注意通告的及时性，GDPR要求是事件发生后的72小时内，超出必须进行解释。《规范》虽然没有具体明确时限，但也是强调要及时。因此企业机构有必要在信息泄露的应急预案中明确对受侵害数据主体的通告方式以及通告时限。

04

个人隐私保护权利不是无限的

当公众谈个人隐私保护的时候，有少部分人会陷入一个误区，常把个人隐私的权利无限放大或置于国家和公众的利益之上。事实上，无论是国外和国内，主流的观点都是认为个人隐私保护的权利也是受限的，并不存在完全无条件的权利。在GDPR和《个人信息安全规范》中针对数据主体隐私数据的多项权利和处置原则，都明确了一些例外情况。总体而言，当隐私保护的权利和处置原则与国家安全、防务、政府监管、公共安全、公共利益、司法程序与司法独立等发生冲突的情况下，首先满足的是后者的需求。因此机构切不可为了保护隐私数据而走向另一个极端。举例来说，监管机构在网络上提供失信人员名单查询，失信人员因此发起法律诉讼声称自己的隐私权益受到侵害，在此情况下，考虑到失信人员可能对公众利益造成损害，其法律诉讼可能并不被支持和受理。又如，当本国司法机关按法律程序要求进行隐私数据查询时，作为数据控制者的机构应该提供其开展司法诉讼成立、行使、辩护所必须的信息数据。但国外政府机构或国际机构的类似诉求必须得到本国政府机构的明确同意后才可以提供。

05

人的因素

根据国内媒体报道近年来我国侵犯公民个人信息类刑事案件的数量呈逐年上升趋势，尤其是2017年，该类案件陡增，与2016年相比，同比增长了81％。

图：2014-2017年全国侵犯公民个人信息类安全件数据趋势

在这些案例中统计发现有不到两成的被告人系通过利用职务或工作之便、侵入计算机系统等窃取的方式获得公民个人信息。这些被告人行为主体主要是企业机构或国家机构人员，例如金融机构的职员、快递行业从业人员、房地产从业人员、教育培训机构人员、户籍民警、税务人员等。涉及最多的三项罪名为非法获取公民个人信息罪、出售、非法提供公民个人信息罪和侵犯公民个人信息罪 。从以上资料信息可以看到内部人员的潜在威胁是机构开展隐私数据安全保护建设过程中必须考虑的威胁因素，而这也是GDPR和《个人信息安全规范》有相应独立章节条款来规范对内部人员的管理与访问控制、开展持续的安全培训与安全审计的原因。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP