GDPR: 第 12-22 条款上赋予了“数据主体”(或称用户)知情权、访问权、修改权、限制处理权、 删除权(也称“被遗忘权”)、可携带权、拒绝权等多项权利。 “被遗忘权”和“可携带权”是 GDPR 新增两项用户“特权”:被遗忘权,在一些注销账户、或者超过时间期限等场景中,用户可以行使该项 权利,要求“数据控制者”(或称企业)删除与自己相关的个人数据,同时也要求通知合作第三方
删除 同样的数据;可携带权,用户可以便携地将其个人数据从一个数据控制者处转移至另一个数据控制者处, 数据控制者需要配合完成该过程。
《网络安全
法》: 第 43 条赋予了用户一定程度的“删除权”:“个人发现网络运营者违反法律、 行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息”;一 定程度的“修改权”:“发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以 更正”。在最近发布《个人信息保护法(草案)》中,赋予了用户更丰富更具体的数据权利,诸如知情 权、访问权、被解释权等。
GDPR: 赋予用户“访问权”、“被遗忘权”等各项数据权利,相应地,企业必须响应和履行为用户 行使权利供方便的义务,比如用户行使“被遗忘权”,企业必须供删除数据的界面与入口,并执行 相关处理操作与流程,以及对用户输出响应报告。以外,GDPR规定企业必须保存数据处理
活动的记录, 针对数据泄露风险建立快速响应与通知机制;对数据采取假名化、加密等与风险相适应的安全措施。
《网络安全法》: 企业同样需配合用户行使数据权利。此外,企业在防止数据泄露、窃取篡改等数据安全事件上,需履行安全管理
制度、组织和规范建设,落实有效的网络安全措施,以及采取数据分类, 重要数据备份和加密等技术措施,数据泄露建立快速响应与补救措施机制,保存网络日志不少于 6 个月 等各项安全义务。
**GDPR:**违反数据处理的基本原则,不履行数据主体的数据权利等,第83 条给出罚款的最高值:可 4% 的行政罚款, 被处以最高 2000
万欧元的行政罚款,或对企业以最高占上一财政年度全球总营业额 取两者最高值。这是欧盟境内企业或者与欧盟数据相关的境外企业最关心的,被GDPR处罚的代价是十分高昂的。
《网络安全法》: 最高可处罚 100 万元的罚款,对直接负责的主管人员处罚最高 10 万元罚款。除 罚款以外,还有责令暂停相关业务、关闭网站、吊销营业执照等严厉的行政处罚措施。在最近发布《个 人信息保护法(草案)》中,对于个人信息的违法犯罪加大了处罚与罚款力度,对于违法情节严重的最 高可以处罚 5000 万元以下或者上一年度营业额 5% 罚款,同时对直接负责的主管人员最高可罚款 100 万元,这些处罚给个人信息与数据安全违规违法行为形成了强大的威慑力。
欧盟 GDPR作为一部现代数据隐私法的风向标,给全球其他国家的立法产生深远的影响,尤其是美 国加州消费者隐私方案 CCPA,同样给用户赋予多项相似的数据权利,对企业提出更更高的合规性要求。 随着我国今年来《数据安全法(草案)》和《个人信息保护法(草案)》综合性法律的制定,以及一些 配套的行政法规和标准的落地实现,我国数据安全相关法规 -标准建设将趋于体系化和成熟。从全球数 据执法的趋势来看,欧盟 GDPR已经进入全面执法阶段,欧盟成员国已经陆续开出违反 GDPR的巨额 罚单;我国在《网络安全法》等法规指导下,我国监管部门在数据安全执法主要聚焦在 APP 隐私侵权 治理以及个人信息非法交易与黑灰产整治两个重点领域。
《网络安全法》作为我国已经实施的网络空间安全的基础性法规,目前在数据安全与个人信息安全 具有最高的法律效力。本章重点从该法规保护的数据对象、用户的数据权利、企业的安全义务以及违法 违规的处罚四个方面,将其与 GDPR的合规性进行对比与解读,我国同样趋向采取更加宽泛的“个人信 息”定义,这给企业识别这些敏感数据带来巨大的挑战;此外,我国明确指出企业必须采取数据分类, 重要数据备份和加密等。若违反相关条款,将面临高额的罚款和严格的行政处罚,由此企业必须对数据 安全与合规性引起足够的重视。
合规要求下的数据安全概述
随着欧盟 GDPR、美国 CCPA,以及我国的《网络安全法》,《数据安全法(草案)》和《个人信 息保护法(草案)》的制定与实施,合规性已经成为企业数据安全治理与建设重要驱动力。在合规视角 下,本章将阐述数据安全需求、内涵的发展与演变,并将从宏观上总结企业数据安全合规性建设三类场 景,以及超越合规性的前沿技术图谱。
在隐私合规 / 数据安全合规视角下,数据安全的需求和驱动力发生了根本性的改变,同时导致数据 安全的内涵在不断外延和扩展。为了更好地理解其演变过程,本文将其分为两个阶段:无合规性需求与 有合规性需求的数据安全建设,并将其分别定义为数据安全 1.0 与 2.0 阶段。
当数据的价值被足够重视的时候,企业就已经开始着手数据安全建设,在这一个阶段将它看作主动 的、数据资产驱动的、投入成本小的数据安全防护。企业的数据安全保护对象是企业定义的敏感数据和 重要资产。一个主要的场景是企业围绕着各类资产数据库的数据展开一系列防护,利用加密、访问控制、 审计和数据库防火墙等传统网络安全的管控措施,因此这一阶段的数据安全通常归属为网络安全的一个 分支。此外,对于敏感文档和核心技术材料等的保护,通常企业也会采用透明加密、数据防泄漏(DLP) 产品进行安全防护,主要是防止内部人员的非法拷贝和黑客的窃取。
随着相关法规的逐步实施与完善,那么数据安全问题就已经不再仅仅是企业“关起门”来处理的内 部问题,同时也是国家监管部门参与进来的监管问题。现阶段的数据安全(数据安全 2.0)可以看作 1.0
的升级版,企业的数据安全建设在满足内部数据安全需求的同时,也必须遵循法律法规的合规性条款。 这个过程是被动合规驱动为主、主动数据安全建设为辅、投入成本比较高昂的数据安全建设。数据安全 2.0 相比 1.0 有哪些根本性改变,我们从以下几个维度进行解析:
数据安全 2.0 保护的数据对象范畴变得更大。 在数据安全 1.0 阶段,企业以重要资产的数据安全防护为视角,重点保护的数据对象是企业敏感数据,同时也包括一小部分个人隐私数据, 比如用户的登录密码与口令等。在数据安全 2.0 阶段,企业需要保护三类敏感数据,包括企业 敏感数据、个人隐私数据和国家敏感数据,如图 2-2 所示。后两者受法规的监管与保护:欧盟 GDPR、美国 CCPA的法规中明确表示公民的个人隐私数据受保护;我国法规监管对象不仅包括 个人隐私数据,还包括各类国家敏感数据,法规上也称为“重要数据”,比如未公开的政府信息, 大面积人口、基因健康、地理、矿产资源等 [7]。需要强调的是,法规定义的个人数据 / 个人信 息不是传统意义上的身份证号、手机号、地址等个人基本信息,还包括设备的 IP 地址、MAC 地址、Cookie 信息,范围非常宽广(可参考国标《个人信息安全规范》的个人信息举例),这 给企业的敏感数据识别和保护构成巨大的挑战。
图 2-2 数据安全保护的敏感数据对象与范畴
数据安全 2.0 覆盖的应用场景更加丰富多样。 在 1.0 时代,企业以重要资产的数据为数据安全保护对象,主要的面向的是数据库和机密文档等环境;而在 2.0 时代,法规监管的基本单位是 数据,而不仅是数据库和文档的数据,还包括大数据平台、文档、云、终端,甚至发展中的 5G、区块链等新型环境的符合法规定义的个人隐私与重要数据,如图 2-3 所示。
数据安全 2.0 覆盖数据的全生命周期。 1.0 时代,数据安全主要面向数据传输和数据存储过程。2.0时代,数据安全覆盖数据的全生命周期的各个环节,包括数据采集、传输、存储、处理、交换和销毁,如图 2-4 所示。比如在数据采集时,必须遵循最小可用、征得用户同意等合规性原则, 进行相应数据安全建设。
图 2-4 数据安全的全生命周期
由于合规性、业务增长和数据规模的多重原因,数据安全 2.0 从 1.0 发生迁⸺从小范畴的数据 安全,变成大范畴的数据安全;从单点的数据安全建设,变成体系化的数据安全建设。对于体系化的数 据安全建设,Gartner 认为它是一个数据安全治理的过程 [8]:从上至下,由决策层到技术层,从管理制 度到工具支撑,自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要对数据安全治理的 目标达成共识,确保采取合理和适当的措施,以最有效的方式保护数字资产。
绿盟科技的数据安全解决方案在 Gartner 数据治理框架基础上,结合客户的数据安全防护需求,对 实际情况进行研究和实践,建立一套完整科学的数据安全治理方法体系。该体系分为五个基本治理步 骤⸺ “知”、“识”、“控”、“察”、“行”[9-10]。数据安全的体系化建设,一方面意味着企业需 要增加数据安全相关的预算,但另一方面意味着更好地满足合规性和业务需求,收获新的收益。
绿盟 2020 数据安全前沿技术研究报告
CSA 软件定义边界(SDP)标准规范2.0(试读本)