1、,隐私合规与数据安全,庄明旭2020.01,GDPR,ISO/IEC 27001信息安全管理体系,ISO/IEC 29100隐私框架,CCPA,ISO/IEC 27701隐私信息管理体系,网络安全法PDPA,DPA,刑法修正案(九),BS 10012个人信息管理体系,GB/T 35273个人信息安全规范,电子商务法,新法规 新标准 层出不穷,COPPA,ISO/IEC 27018公有云端个人信息处理,ISO/IEC 29151个人信息保护指南,数据安全管理办法儿童个人信息网络保护规定,目前为止GDPR的最大罚单,2018 年6月起英国航空公司网站发生了数据泄露,9月英航向英国数据安全监管部门信
2、息专员办公室(ICO)通报该事件。该事件导致约50万名英航乘客个人信息泄露。用户流量被移转到虚假网站,攻击者通过虚假网站收集了客户个人信息和银行 卡信息:姓名、地址、邮箱、信用卡号、有效期和验证码(CVV)等。事件爆发后,英航配合ICO调查并对安全系统进行整改,获得向ICO提出有关拟议调查结果和制裁的陈述机会。2019 年7月8日,ICO宣布,将对英国航空公司2018 年客户数据遭泄露事件开出1.83 亿英镑巨额罚单。这是自GDPR实施以来的最大一笔惩罚。,个人数据泄露GDPR处罚案例,数据泄露案层出不穷,各类企业可能面临的最高罚款(全球营业额4%)英国,1.1 亿欧元:2018 年11 月,
3、万豪国际集团公开披露旗下喜达屋酒店客房预订系统数据泄露。该事 件导致3.39 亿酒店客户信息被黑客窃取。据ICO调查,酒店客房预订系统数据漏洞自2014 年7月起便存 在,直到2018 年才发现此漏洞。法国,5000 万欧元:谷歌因在法国违反通用数据保护条例(GDRP),被法国国家数据保护委员会处 以5000万欧元的巨额罚款(约5680万美元)。指控主要针对Google及Facebook更新的隐私条款未能给予用 户作出同意的自由选择权。具体而言,体现为“强迫的同意”或“隐藏的同意”。意大利,1000 万欧元:Facebook被意大利执法机构发现,这个社交网络“巨人”误导消费者错误的使用 自己的
4、隐私数据,一方面,Facebook在注册时并没有明确告知用户他们的信息将被用于商业目的;另一 方面,在默认情况下,未经用户同意,出于商业目的,主动将消费者数据发送给第三方网站和应用程序。,数据安全是隐私保护的底线安全设计是隐私保护的基本原则,Copyright 2019 BSI.All rights reserved.,11,隐私保护与信息安全的关系,隐私数据 合法合规 使用,隐私保护责任:公正、透明、合法目的限制最小化存储限制等,隐私 保护,尊重个人的隐私权:访问权反对权、限制处理权擦除权获取/移植权人工干涉自动化决策等,安全保护责任:数据安全软件安全网络安全物理安全,用户隐私 权利响应,隐
5、私数据 安全保护,隐私信息相关方角色,Supervisory Authority(SA)数据保护监管机构,投诉,上报/咨询/接受调查行使权利/投诉,PII principal PII 主体个人信息关联的自然人。在GDPR 中,又称为 Data Subject。,指示&合同责任,履行责任/通知,PII processor PII 处理者代表 PII 控制者,并 按PII 控制者的指示 对 PII 进行处理的隐 私权利益相关方。,PII sub-processor PII 分包处理者作为分包商处理个人 数据的PII 处理者。,PII controller/Joint PII controller
6、PII 控制者/PII 联合控制者PII 控制者:决定 PII 处理目的和方法的隐私权利益相关方。(因个人目的使用数据的自然人不在此列)PII 联合控制者:与一个或多个其他的PII 控制者共同决定PII 处理目的和处理方法的PII 控制者。PII 控制者有时会指示其他 PII 处理者,代表PII 控制者处理PII,但责任仍归属与 PII 控制者。,Copyright 2019 BSI.All rights reserved.,20,技术创新 vs.隐私尊重,2019 年4月,亚马逊一位合同工爆料:为改进Alexa 语音助手,亚马逊在世界各地雇佣了数千名员工监听用户录音,还被要 求签署保密协议,
7、不能公开谈论该项目。2019 年7月报道,苹果雇佣外部人员监听分析用户Siri 语音指令,识别误唤醒和错误指令处理,其中不乏医生与病人谈话、疑似毒品交易、性行为信息等个人隐私。苹果称人工监听占不到1%且只有几秒,监听工作受到严格的保密协议约束。,2019 年7月报道,谷歌全球聘请人员见监听用户与Google Assistant 对话录音。爆料人提供的1000 条对话录音中有153 条是 在误唤醒时录制的。谷歌辩称整个审查过程采取了“广泛措施保护用户隐私”且旨在改进NLP和多语言支持,但承认这些保护措施未能奏效,违反了公司的数据安全和隐私规则。,2019 年8月,微软更新了隐私政策,让消费者知道
8、公司员工和承包商帮助处 理手机用户声音数据,对这些服务进行改善。,2019 年10 月,苹果iOS13.2 增加了Siri 隐私选项,“改进语音控制”选项默 认关闭,仅限用户主动授权方可打开。,业务创新 vs.隐私设计,户外运动健身追踪APP Strava 使用手机GPS 追踪用户锻炼时间、地点,并进行社交分享。Strava 于 2017 年11 月发布了数据可视 化热点图“Global Heatmap”,记录了使用者的运动信息,可分享给他人,可查询大都市内受欢迎的跑步路线,也可了解边远 地区以不同寻常的方式运动的人。,在阿富汗、吉布提、叙利亚等地,这款APP 的用户几乎都是外国 军人。在阿富
9、汗某些地方,军事基地的位置都被用户活动标记了 出来,如果继续放大,就可以看到士兵们清晰的慢跑路线。美国内华达州51 区空军基地也存在用户运动的记录。,Strava 随后修改了默认的隐私设定,并在热点图中排除了被标记 为私人和隐私区域的活动信息。,如何保证数据采集的必要性、合法性?,瑞典一所高中通过面部识别技术登记学生出勤率,2019 年8月,瑞典数据监管局(Swedish Data Inspection Authority)调查了该校 的面部识别试点,涉及22名学生,最终认为学校对学生个人信息的处理不符合GDPR规定,处以20万瑞典克朗(1.863 万欧元)罚款。该学校声称学生已同意参加试验,
10、但监管局认为这依然不可接受,因为学生在学校管理下处于附属地位。(非freely given consent),违反目的限制和最小范围原则,面部识别软件的使用与目的不成比例,学校可以以侵入性较小的方式实现出勤统计;学校与学生之间存在不平等关系,监护人同意不能视为自愿,因此该同意存在瑕疵,不能作为处理生物特征数据的合法性基础;学校缺乏对数据收集、处理行为对数据主体权利和自由存在的风险的评估。,企业如何建设自己隐私和数据安全体系基本框架和思路,Copyright 2019 BSI.All rights reserved.,11,数据安全与隐私管理体系建设总体思路,面对GDPR 以及各种类似法规要求,
11、企业需要一套“集大成”的隐私信息管理体系(,PIMS)PIMS,GDPR:,Article 40:建立行为准则Article 41:对被批准的行为准则的监控,框架类标准:ISO/IEC 27001、ISO/IEC 27701、BS 10012指南类标准:ISO/IEC 27701、ISO/IEC 29151、ISO/IEC 27018,GDPR Recital 148,(处罚减轻因素):,针对控制者或处理者规定措施的遵守情况行为准则的遵守情况,隐私数据处理活动现状调研基本思路,业务场景:公司有哪些业务场景(产品/服务、业务流程、信息系统/功能模块)?上述业务场景中的数据处理目的是什么?适用哪些
12、法律法规、监管条例、合同要求?有哪些相关司法判例?数据处理角色:各业务场景下的数据处理身份和责任?(控制者、联合控制者、处理者)有哪些数据委托处理、数据共享控制权 的场景?如何界定责任?数据生命周期:业务场景中收集处理哪些 个人隐私信息?对个人隐私信息分类分级,哪些属于个人敏感信息?各业务场景下,在组织内部,数据流向是怎样的?数据责任者是谁?数据生命周期各环节有何管控机制?存在哪些不足?,数据生命周期梳理&隐私风险分析,“纵深防御”式的风险控制措施,事前,事中,事后,预防,响应,恢复,感知,阻断,追责,25,触发式 PIA+SDLC+Privacy by Design(PbD),隐私增强技术隐私功能实现安全编码规范代码白盒检测,安全黑盒测试隐私合规测试隐私合规评审隐私政策更新,隐私与安全 合规评审(PI),持续安全检测持续合规评估,隐私与安全 功能测试,隐私与安全 需求分析隐私与安全 设计检查,SDLC+PbD,需求评审 商业论证,需求分析 与设计,软件开发 生命周期,编码,测试,发布上线,运行,关键成功要素,业务场景是否梳理清楚?数据流能否反映真实情况?是否明确了数据责任者?企业在不同业务场景下的角色身份能否界定清楚?第三方是否充分识别?数据定级准则是否能够贯彻一致化?有没有一套全面的、适合的隐私风险库?是否有一支懂业务、懂技术、理解法规的团队,负责执行隐私风险评估?,
