本篇介绍:一些关键概念
本篇为第1篇/共5篇
下一篇:企业安全隐私合规体系建设经验总结(二)
引子
在去年前三季度(2019年),我有幸主导了公司的安全隐私合规体系建设。几乎是从零开始,完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等级保护三级、CCPA等安全隐私合规认证,其中也写了一些零零碎碎的心得和研究笔记。
而在今年春节(2020年),由于武汉肺炎疫情严重,假期延长,我决定系统的回顾和总结一下关于企业安全隐私合规体系建设的经验,以让后来人及自己以后都少走弯路。
1.1 领域:数据保护、数据隐私、数据安全
数据保护
数据保护的目的在于保护与人有关的数据。法律的直接落脚点不在于自然人本身,而是那些关于人的数据。通过保护个人数据,从而保护个人(即数据主体)不受自动数据处理的侵害。在尝试理解或遵守欧洲的数据保护法时,要记住其默认的规则是“禁止”。
欧洲数据保护法的最小化要求是:除非获得数据主体的同意或存在其他重大事由,否则企业不得收集、使用和保存个人数据。此外,企业收集的数据量、处理次数、享有数据访问权限的人数以及保存数据的时长,均须最小化。
数据隐私
数据隐私相关的法律条款旨在保护个人空间不受侵扰,私密通信不受截取。除非在某种情形下存在对隐私的合理预期,否则个人数据一般不会受到法律的保护。
数据安全
数据安全相关的法律条款旨在保护个人不受非法获取个人信息而造成的具体损害,尤其防止身份盗用(如犯罪分子用某人的个人信息申办信用卡或者消费信用卡的)行为。
1.2 法域
法域即某一地区的法律或者某一法律所管辖的地区,如GDPR管辖区域是欧洲经济区。
只介绍GDPR
2018年5月,《欧盟通用数据保护条例(GDPR)》在全部欧洲经济区成员国生效,立即适用于经济区内的企业。
关于GDPR的一些比较重大的说明点:
1、企业必须为特别敏感的数据处理活动开展影响评估,按预先设定的记录格式记载全部数据梳理活动和合规工作,包括记录数据和数据主体类型、处理目的、数据接收人、国际传输及相应保护措施、删除期限、技术和组织的安全措施(第30条、第35条)。
2、企业必须为每个实体任命数据保护官(但一位数据保护官可以照顾多个公司和办事处,其前提是每个实体都能联系到这位数据保护官)。
3、位于欧洲经济区外的企业必须指定一位在欧洲经济区内的代表,该代表必须物理常驻欧洲经济区内,可以外聘。
4、企业必须执行有力的数据保留和删除制度,以符合数据访问、更正和擦除方面更严格的规则。
5、企业必须向数据主体提供更详细的隐私通知,披露数据保护者的身份和联系信息(欧洲经济区外的外国公司还应当披露欧洲经济区内的代表人的身份和联系方式)、数据保护官的联系方式、数据处理的目的、处理数据的法律依据、数据处理者或第三方的正当权益(即数据处理的正当依据)、数据接收者或者接受者类型。
如果涉及个人数据的跨国传输,则应披露是否存在欧盟委员会的充分保护判定以及信息安全保护措施,包括如何获取副本的方式及其他种种细节。与此同时,企业必须将这些信息“以简明、透明、可理解、易于读取的形式,用清楚和直白的语言”呈现出来(第12条、第23条)。
6、企业必须建立流程确保可在72小时内向数据保护机关和数据主体通报数据安全事件。
GDPR和欧洲各国内法
《欧盟通用数据保护条例》直接适用于企业,而无需通过国内立法来实施。但是,国内法可能会在某些方面设定额外或更严格的规则,除非经过立法者主动废止,否则会持续有效。也就是说企业除了需要遵守《欧盟通用数据保护条例》外,依然要遵守每个欧洲国家的相关法律,可能还要遵守相关的州、省、其他欧洲国家内部某些地区的法律。
1.3 种类:个人数据、个人可识别信息、敏感数据
个人数据
可被识别的自然人的任何信息都是该主体的个人数据。例如:某人的姓名、照片、地址或生日都属于该自然人的个人数据。某一项数据成为个人数据,并不要求仅仅通过这一项数据即可识别数据的主体,只要这一项数据与某个可被识别的自然人以某种有意义的方式存在关联,就可以了。
经过删节(如部分数据删除掉)或汇聚(如统计数据大盘)后的已经无法关联到具体个人的数据,则不再属于个人数据。不过加密不一定也可以实现这一目标,因为只要有人掌握了密钥,就能够重新识别出数据主体。因此,在大多数时候,加密后的数据仍然需要被当作数据保护法下的个人数据来对待。
个人可识别信息(PII)
不同情况下的个人可识别信息指向的数据不同,例如身份证号、社保账号等。只要是仅通过这一条信息就识别到特定的自然人的话,该条信息就是个人可识别信息。
敏感数据
不同情况下的敏感数据指向的内容也不同,例如在仅歧视同性恋的乌托邦环境下,性取向就是敏感信息,但身份证号在这时候就不是。
按照GDPR的条例,以下个人信息需要引起特别注意:
政治主张、工会成员身份、医疗或健康状况、种族和民族、宗教或哲学信仰、性取向信息、某些类型的犯罪记录。
1.4 相关行为:数据传输及其他数据处理行为
欧洲数据保护法监管个人数据的任何处理,且“处理”的定义十分宽泛,包括任何关于个人数据的活动。美国和其他国家的法律更倾向于约束具体的数据处理行为。例如通过电子邮件将数据发送到其他地方的行为。
但是把数据转移给服务商的情况是不同的(如涂鸦数据转移到腾讯云)。一般来说,企业与数据处理者之间的数据共享情况,无须在企业的隐私通知或政府申报文件中详细说明,且数据主体对此也无选择权。当然,为了保险起见,每次向第三方提供数据应当尽可能的谨慎,考虑数据隐私法是否对此有所限制。
相对于将数据传输给数据控制者的形式,将数据传输给仅作为数据处理者的第三方这种行为受到的限制往往少一些。
因此,企业一般可以把个人数据分享给服务商(不管是自然人还是机构),无须告知数据主体或者征求数据主体同意,但企业应当和服务商签订书面数据处理合同,明确限制服务商对数据用途的决策权。
1.5 监管对象:数据控制者,数据处理者
数据控制者对遵守数据保护和隐私法律负主要义务。数据处理者使用数据时有义务遵守数据控制者的指示,不超越数据控制者的指示范围,且应当保证数据的安全。
同时,尽管比如像腾讯云持有涂鸦数据的物理载体(云主机)并拥有接触涂鸦数据的技术手段,但是无论在任何情况下,腾讯云私自访问这些数据都是不被允许、不被期待的行为。
1.6 守门人:数据保护机关、数据保护官
欧洲国家已经设立独自的政府机关负责执行各自国家的数据保护法。来自欧洲经济区国家数据保护机关的代表们共同组建了覆盖全欧盟的机构:欧盟数据保护委员会(EDPB)。欧盟数据保护委员会为企业和立法部门提供相关指南,并公布各国数据保护机关的观点。在欧洲很多国家和一些非欧洲国家,企业开始处理个人数据之前必须通知当地的数据保护机关。
对于GDPR,企业必须任命数据保护官,数据保护官可以由企业员工或外部服务商担任,其职责是监督企业是否遵守数据保护法。虽然数据保护官并非政府官员,但他们必须与当地的数据保护机关合作,并向其报告企业严重违反数据保护法的行为。
不管是在政府机关内,还是在私营企业内,数据保护官都是内部角色,监督其所在组织的守法情况。因此,数据保护官和数据保护机关有所不同,后者的任务是监督其他组织的守法情况。
另外,除了欧洲,很少有国家要求自动处理数据行为应事先发布通知或获得批准。
1.7 直接营销
这是指企业出于营销目的,直接向消费者拨打电话,发送电子邮件、短信、信函或其他材料。企业(广告主)及其服务商应确保:
合法获得消费者的联系方式。如从第三方购买消费者联系方式,则需审查数据收集和转移的合法性。
为营销目的使用个人数据已获得授权。具体而言,企业必须就直接营销事先依法通知消费者或获得消费者同意,且之前未做过矛盾的承诺。
联络消费者的方式、传递的内容均应遵守反垃圾邮件法。
1.8 定向广告
这是指企业根据消费者的个人兴趣和活动细节建立消费者情况档案,其中可能包含消费者的姓名、联系方式,也可能不包含(如仅汇总网络浏览记录)。按照欧洲法律,收集相关档案信息必须获得消费者事先知情和明示同意,尽管在实践中也形成了一套告知和退出机制。
本篇介绍:一些关键概念
本篇为第1篇/共5篇
下一篇:企业安全隐私合规体系建设经验总结(二)
