以互聯(lián)網(wǎng)�����、大數(shù)據(jù)�����、人工智能等現(xiàn)代信息技術(shù)構(gòu)成的數(shù)字化時代��,技術(shù)進(jìn)步帶來便利的同時�����,其背后伴隨的安全問題也不容忽視�����。
面對手機(jī)APP條款繁復(fù)�、晦澀難懂的隱私政策,還有一攬子授權(quán)�����,必須要點(diǎn)同意���。
郵箱��、手機(jī)�����,甚至身份證�����、家庭住址�、社會關(guān)系���、銀行卡號……
這些被拿去的個人信息會不會被泄露和濫用�?公眾該如何防護(hù)��?企業(yè)如何保護(hù)隱私的同時獲取益處���?又該如何保障用戶的信息安全�����?
近年來全球多個國家紛紛頒布相關(guān)法律法規(guī)�,對信息安全與隱私保護(hù)相關(guān)問題進(jìn)行嚴(yán)格的規(guī)范與引導(dǎo)。如中國的網(wǎng)絡(luò)安全法����、GB/T 35273個人信息保護(hù)條例;歐盟GDPR通用數(shù)據(jù)保護(hù)條例����;美國加州CCPA隱私保護(hù)條例��;美國內(nèi)華達(dá)州SB220數(shù)據(jù)隱私法����;英國DPA2018數(shù)據(jù)保護(hù)法等。
為了應(yīng)對越來越多信息泄露件及個人信息濫用的情況���,國際標(biāo)準(zhǔn)化組織ISO也在信息安全��、隱私安全��、云安全等相關(guān)領(lǐng)域發(fā)布了諸多國際標(biāo)準(zhǔn)��。
1 各國法規(guī)部分介紹:
1.1 中國《網(wǎng)絡(luò)安全法》
我國于2017年6月1日正式發(fā)布《中華人民共和國網(wǎng)絡(luò)安全法》����。《網(wǎng)絡(luò)安全法》是我國首部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律�,包含的內(nèi)容十分豐富,一共包括7章79條��,包含網(wǎng)絡(luò)運(yùn)行安全�、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全、網(wǎng)絡(luò)信息安全等內(nèi)容����。《網(wǎng)絡(luò)安全法》在數(shù)據(jù)(包括個人信息)安全與保護(hù)上也有諸多規(guī)定�����,諸如第四十至四十五條���。
1.2 中國GB/T 35273《個人信息安全規(guī)范》
2019年10月�����,GB/T 35273《個人信息安全規(guī)范》在本年度內(nèi)進(jìn)行第三次修訂并征求意見����,同年《網(wǎng)絡(luò)安全審查辦法(征求意見稿)》、《數(shù)據(jù)安全管理辦法(征求意見稿)》����、《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》在內(nèi)的多部法律法規(guī)及國家標(biāo)準(zhǔn)密集出臺、快速更新甚至正式實(shí)施��,充分反映了中國政府在個人信息保護(hù)領(lǐng)域立法十分活躍的態(tài)勢�。
1.3 歐盟GDPR《通用數(shù)據(jù)保護(hù)條例》
歐盟于2018年5月25日正式發(fā)布GDPR《通用數(shù)據(jù)保護(hù)條例》,這是一項保護(hù)歐盟公民個人隱私和數(shù)據(jù)的法律�����,其適用范圍包括歐盟成員國境內(nèi)企業(yè)的個人數(shù)據(jù)����、也包括歐盟境外企業(yè)處理歐盟公民的個人數(shù)據(jù)����。
1.4 美國CCPA《加州消費(fèi)者隱私保護(hù)法》
2018年6月28日美國加州發(fā)布CCPA《加州消費(fèi)者隱私保護(hù)法》。該法案被稱為美國“最嚴(yán)厲和最全面的個人隱私保護(hù)法案”�,將于2020年1月1日生效���。
1.5 美國SB 220《內(nèi)華達(dá)州數(shù)據(jù)隱私法》
2019年5月29日美國內(nèi)華達(dá)州發(fā)布SB 220《內(nèi)華達(dá)州數(shù)據(jù)隱私法》,該法案涉及互聯(lián)網(wǎng)隱私�����,要求互聯(lián)網(wǎng)網(wǎng)站和在線服務(wù)的運(yùn)營商遵循消費(fèi)者的指示�,不得出售其個人數(shù)據(jù)。違反SB 220可能會導(dǎo)致運(yùn)營商收到禁令或每次違規(guī)最高被處以5,000美元的民事處罰�。SB 220已于2019年10月1日生效。
1.6 英國DPA2018《數(shù)據(jù)保護(hù)法》
2018年5月23日�����,英國正式通過新修訂的DPA2018《數(shù)據(jù)保護(hù)法》���。該法將廢除1998年頒布的《數(shù)據(jù)保護(hù)法》���,重新建立英國數(shù)據(jù)保護(hù)框架以促進(jìn)GDPR在英國的有效落實(shí),并在GDPR框架下對某些條款做出裁剪規(guī)定��。同時���,確保英國在脫歐之后與歐盟在個人數(shù)據(jù)保護(hù)方面保持一致��,以促進(jìn)英國與歐盟國家的數(shù)據(jù)流動���。該法主要內(nèi)容包括:1) 加強(qiáng)數(shù)據(jù)主體對其個人數(shù)據(jù)的控制權(quán)����。2)加強(qiáng)數(shù)據(jù)控制者義務(wù)����。此外,該法還為刑事司法機(jī)構(gòu)出于執(zhí)法目的而處理數(shù)據(jù)設(shè)計了專門的執(zhí)法框架����,要求在執(zhí)法過程中同樣需要保護(hù)個人數(shù)據(jù)。
1.7 瑞士DPA《聯(lián)邦資料保護(hù)法》
瑞士是少數(shù)未加入歐盟的歐洲國家��。在歐盟個人資料保護(hù)指令 (EU Directive 95/46/EC)實(shí)施期間已獲得第三國適應(yīng)性認(rèn)定����,即歐盟認(rèn)定瑞士關(guān)于個人信息保護(hù)的相關(guān)法規(guī)及其保護(hù)程度與歐盟個人信息保護(hù)指令相當(dāng)。為應(yīng)對歐盟GDPR新法規(guī)�����,2017年9月15日瑞士聯(lián)邦議會通過修訂草案����,修正DPA相關(guān)條文。其目的是配合歐盟GDPR的實(shí)施�����,希望在GDPR正式實(shí)施之后��,繼續(xù)獲得第三國適應(yīng)性認(rèn)定�����,而不須在每次跨境資料傳輸皆遵循GDPR規(guī)則辦理���。瑞士DPA與GDPR區(qū)別在于其并未制定數(shù)據(jù)可攜帶權(quán)��、沒有領(lǐng)域外效力����、對于知情同意的要求較低����、認(rèn)證機(jī)制于行為守則及罰則較低。
1.8 德國BDSG《聯(lián)邦個人資料保護(hù)法》
德國聯(lián)邦議院于2018年 4月27日通過《個人信息保護(hù)調(diào)整和施行法》,其中包含新的德國BDSG《聯(lián)邦個人信息保護(hù)法》���。在這部新的法案中����,已實(shí)施40年的BDSG進(jìn)行了大幅調(diào)整以符合歐盟GDPR《通用數(shù)據(jù)保護(hù)條例》����。在新的BDSG法案中德國聯(lián)邦政府運(yùn)用了GDPR的開放性條款,導(dǎo)致部分新的BDSG規(guī)范內(nèi)容超越了GDPR的條文規(guī)范���,與現(xiàn)行歐盟法律不符�����,很可能被宣布違反歐盟法律��。另一方面��,舊的BDSG僅有48條規(guī)定�����,而新的BDSG則超過85條規(guī)定�����,且更為復(fù)雜��,提高了法律適用上的難度��。
2 國際標(biāo)準(zhǔn):
2.1 ISO/IEC 27001:2013 信息安全管理體系
ISO/IEC 27001是信息安全領(lǐng)域的重要標(biāo)準(zhǔn)����,是建立信息安全管理體系的一套規(guī)范����,標(biāo)準(zhǔn)詳細(xì)說明了建立、實(shí)施及維護(hù)信息安全管理體系的要求�����,指出實(shí)施組織應(yīng)該遵循風(fēng)險評估標(biāo)準(zhǔn)����,其最終目的在于幫助組織建立適合自身需要的信息安全管理體系。ISO/IEC 27001共分成14個領(lǐng)域��,35個控制目標(biāo)����,114個控制措施����。
2.2 ISO/IEC 27002:2013 信息安全控制實(shí)用規(guī)則
ISO/IEC 27002標(biāo)準(zhǔn)為在組織內(nèi)啟動����、實(shí)施、保持和改進(jìn)信息安全管理提供指南和通用的原則�����。ISO/IEC 27002標(biāo)準(zhǔn)概述的目標(biāo)提供了有關(guān)信息安全管理通常公認(rèn)的目標(biāo)的通用指南��。.ISO/IEC 27002標(biāo)準(zhǔn)的控制目標(biāo)和控制措施預(yù)期被實(shí)施以滿足由風(fēng)險評估所識別的要求���,ISO/IEC 27002標(biāo)準(zhǔn)可以作為一個實(shí)踐指南服務(wù)于幵發(fā)組織的安全標(biāo)準(zhǔn)和有效的安全管理實(shí)踐��,幫助構(gòu)建組織間活動的信心����。實(shí)施規(guī)則中的控制和指導(dǎo)并不全都是適用的��,可能需要 ISO/IEC 27002標(biāo)準(zhǔn)中未包括的附加控制和指南:���。
2.3 ISO/IEC 27017:2015 云環(huán)境下的信息安全控制
ISO/IEC 27017提供了ISO/IEC 27002與云環(huán)境相關(guān)的控制措施實(shí)施指引���,同時提供了針對云服務(wù)的額外安全控制措施���。ISO/IEC 27017標(biāo)準(zhǔn)適用于所有類型和規(guī)模大小的組織�����,無論是自建的云服務(wù)還是透過購買所獲得的云服務(wù)����,以及云服務(wù)提供商本身,皆可透過此標(biāo)準(zhǔn)的指引�,強(qiáng)化所提供或者所使用的云服務(wù)的安全。ISO/IEC 27017能在組織和服務(wù)商中清楚地定義云服務(wù)提供商和云服務(wù)客戶之間的責(zé)任���,避免可能在服務(wù)過程總所產(chǎn)生的歧義��,導(dǎo)致服務(wù)中斷�。ISO/IEC 27017標(biāo)準(zhǔn)除了引用37個來自于ISO/IEC 27002的控制措施��,同時還額外提供了7個專門針對云服務(wù)的安全控制措施����。
2.4 ISO/IEC 27018:2019 公有云個人隱私保護(hù)
ISO/IEC 27018是公有云個人隱私保護(hù)的國際標(biāo)準(zhǔn)�����,標(biāo)準(zhǔn)提供了一套用于公有云中個人信息處理者的個人信息保護(hù)實(shí)用規(guī)則���。這些規(guī)則讓云服務(wù)供應(yīng)商的個人信息安全控制變得標(biāo)準(zhǔn)化和透明化,使得公有云服務(wù)提供商在扮演PII處理者時�,有足夠能力去處理公有云服務(wù)中的信息安全問題,能夠在滿足客戶合約以及相應(yīng)法規(guī)前提下����,有效應(yīng)對云服務(wù)中個人隱私保護(hù)的特定風(fēng)險。ISO/IEC 27018標(biāo)準(zhǔn)參考了ISO/IEC 27002的16項控制措施���,以及根據(jù)ISO/IEC 29100的11項隱私框架原則追加的25項控制措施��。
2.5 ISO/IEC 27701:2019 隱私管理體系
ISO/IEC 27701作為ISO/IEC 27001與ISO/IEC 27002在管理上的延伸標(biāo)準(zhǔn)��,其目標(biāo)是通過新增的要求來增強(qiáng)現(xiàn)有信息安全管理體系(ISMS),以便建立�、實(shí)施�、維護(hù)和不斷改進(jìn)隱私信息管理體系(PIMS),標(biāo)準(zhǔn)概述了適用于個人身份信息(PII)控制者和PII處理者的框架��,用于隱私控制管理,以降低對個人隱私的各種風(fēng)險�。
2.6 ISO/IEC 29100:2011 隱私框架
由于信息科技的普及,處理或利用個人信息的情況越來越普遍���,但不同國家的相關(guān)法規(guī)均不一致�����,為了確保跨國間的個人信息傳輸都能符合一定的法律要求�����,國際標(biāo)準(zhǔn)化組織ISO于2011年12月發(fā)布了國際標(biāo)準(zhǔn)ISO/IEC 29100隱私框架�。隱私保護(hù)框架內(nèi)容包括:識別PII、隱私防護(hù)的要求����、隱私策略和隱私控制的確定。標(biāo)準(zhǔn)的附錄對于隱私的詞匯和ISO/IEC27000標(biāo)準(zhǔn)族的詞匯進(jìn)行了對應(yīng)�。由于隱私保護(hù)和信息安全存在太多的交叉,因此在ISO/IEC 29100:2011中��,關(guān)于隱私控制并沒有展幵�����。但是第五章關(guān)于隱私原則的內(nèi)容對于后續(xù)開展隱私管理體系建設(shè)具有指導(dǎo)意義。
2.7 ISO/IEC 29134:2017 隱私影響評估指南
隱私影響評估(PIA)是一種評估流程�����,是評估信息系統(tǒng)���,程序���,軟件模塊,設(shè)備或其他處理個人身份信息(PII)的活動對隱私的潛在影響的工具�����,并與利益相關(guān)方協(xié)商���,為治理隱私風(fēng)險采取必要的行動�����。最終產(chǎn)生的PIA報告可能涵蓋涉及風(fēng)險治理措施的標(biāo)準(zhǔn)文件內(nèi)容���,包括因使用ISO/IEC 27001標(biāo)準(zhǔn)中而產(chǎn)生的措施���。ISO/IEC 29134第六章列出了隱私影響評估的主要步驟,給出了是否需要做PIA(閾值分析)的六種情境���,最后在標(biāo)準(zhǔn)的附錄中列舉了常規(guī)的隱私風(fēng)險庫�。
2.8 ISO/IEC 29151:2017 個人隱私保護(hù)標(biāo)準(zhǔn)
ISO/IEC29151是通用的個人隱私保護(hù)標(biāo)準(zhǔn)���,基于ISO/IEC 27002的各個域中加入了PII的事實(shí)指南���,同時引入了ISO/IEC 29100十一大隱私保護(hù)原則。標(biāo)準(zhǔn)涵蓋26個控制域��,181條控制措施�,充分控制個人身份信息(PII)相關(guān)的風(fēng)險和滿足影響評估所確定的要求�����。
一圖看懂這些標(biāo)準(zhǔn)之間的關(guān)系:
1�����、ISO/IEC 27002為ISO/IEC 27001提供風(fēng)險處置具體的控制目標(biāo)和控制措施指南�����;
2、組織依據(jù)ISO/IEC 27001標(biāo)準(zhǔn)建立信息安全管理體系���,通過風(fēng)險管理來保護(hù)和管理組織的所有信息����,從數(shù)據(jù)安全方面滿足各國隱私法規(guī)的部分要求�����;
3�����、ISO/IEC 27017和ISO/IEC 27018是ISO/IEC 27002標(biāo)準(zhǔn)的延伸��,ISO/IEC 27017著重于云環(huán)境下的信息安全控制��,ISO/IEC 27018著重于公有云個人隱私保護(hù)�;
4、擴(kuò)展ISO/IEC 27001相關(guān)的PIMS要求��;
5、擴(kuò)展ISO/IEC 27002相關(guān)的PIMS要求以及PII控制者和處理者的額外要求���;
6��、ISO/IEC 27701附錄D映射GDPR大部分條款�����,僅部分條款未被ISO/IEC 27701覆蓋�,通過ISO/IEC 27701認(rèn)證能表明組織符合GDPR的大部分要求���,是目前GDPR合規(guī)展現(xiàn)的方式之一�����;
7�、ISO/IEC 29100�、ISO/IEC 29134��、ISO/IEC 29151����、ISO/IEC 27018均為隱私方面的標(biāo)準(zhǔn),有不同的側(cè)重點(diǎn),與ISO/IEC 27701互為補(bǔ)充�����。
信息安全標(biāo)準(zhǔn)適用范圍:
標(biāo)準(zhǔn) | 描述 | 備注 |
ISO/IEC 27001:2013 | 信息安全管理體系 | 作為基礎(chǔ)管理體系的框架��,適用于所有類型和規(guī)模的組織��。 |
ISO/IEC 27701:2019 | ISO/IEC 27001和ISO/IEC 27002的延伸�����,用于隱私信息管理 | 個人身份信息相關(guān)組織和利益相關(guān)方要求��;個人身份信息相關(guān)風(fēng)險評估����;適用于適用于所有類型和規(guī)模的組織,包括公共和私營公司�����、政府機(jī)構(gòu)和非盈利組織�,他們是在ISMS中處理PII(個人可識別信息)的控制者或處理者。 |
ISO/IEC 29151:2017 | 個人信息保護(hù)的行為準(zhǔn)則 | 36項ISO/IEC 27002附加控制要求����;個人身份信息新增13個控制�����;適用于所有類型和規(guī)模的作為PII控制者的組織���,包括處理PII的公共和私營公司、政府機(jī)構(gòu)和非盈利組織���。 |
ISO/IEC 27017:2015 | 基于ISO/IEC 27002的云服務(wù)信息安全控制實(shí)務(wù)守則 | 37個與云安全相關(guān)的ISO/IEC 27002附加控制要求�;7個額外的云安全要求�����;適用于云服務(wù)提供商和云服務(wù)客戶���。 |
ISO/IEC 27018:2019 | 公用云作為保護(hù)隱私數(shù)據(jù)處理者的實(shí)務(wù)守則 | 與云相關(guān)的15項ISO/IEC 27002附加控制要求�;11個額外的基于云的個人信息要求���;適用于所有類型和規(guī)模的組織,這些組織作為PII處理者通過與其他組織簽定的云計算提供信息處理服務(wù)��;也適用于PII控制者的組織。 |
粵公網(wǎng)安備 44010602010620號
