数据安全
合规热点解读
近年来国内外相继出台与实施多部重量级的数据安全法律法规,其对企业在处理数据活动过程中 出更多、更严、更具体的约束和要求。欧盟 GDPR作为一部“大而全”的数据安全法规 [1],在全球相关 的法规非常具代表性,同时对我国拥有欧盟业务的企业有较大的影响,解读和分析具有借鉴意义。;《网 络安全法》作为我国已经实施的首部全面规范网络空间安全的基础性法律 [5],在相关章节条款确立一些 基本数据安全制度与个人信息保护基本规定。本节将以欧盟 GDPR和国内《网络安全
法》为代表,从法 规保护的据对象、用户的数据权利、企业的安全义务以及违法违规的处罚四个方面,对国内外数据安全 的合规性进行简要地解读与探讨。
#### 保护的数据对象
**GDPR:**保护的数据对象是欧盟公民的“个人数据”。GDPR将“个人数据”定义为“是关于一个 已识别或者可能识别的自然人(即数据主体)的任何信息”。该定义下的“个人数据”范畴边界十分宽泛, 涵盖信息十分丰富,不仅包括传统意义的姓名、年龄、性别这些基本的个人信息,还包括一些特殊的数 据也被归并为“个人数据”,比如生物识别数据⸺指纹、虹膜、DNA数据等,这些数据在一定条件下 (比如生物数据库
对照)具有“可识别性”;宗教信仰,心理和生理特征信息,通过与其他属性信息结合, 例如年龄、性别、地区结合也具有“可识别性”,可以唯一识别和定位特定的自然人;再比如 IP 地址、 MAC地址、Cookie 信息等,这些信息以往被认为是网络设备信息或网络行为信息, GDPR将其定位“个 人数据”,在一定程度有利于网络数据的隐私保护。宽泛的定义可以最大限度保护好自然人的各类隐私数据, 规避一些“擦边球”的场景。但这给企业如何在复杂的业务环境中去识别和发现各类结构化和非结构等各 类个人数据带来巨大的挑战,也意味着在企业需要在数据安全治理与安全建设上投入更多的安全成本。
《网络安全法》: 第四章节明确规定保障个人信息安全,保护的重点数据对象是“个人信息”。其 定义是“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。类似 于 GDPR,《网络安全法》的个人信息定义同样以“识别说”为基础,包括单独识别的如身份证号、姓 名等,结合识别比如出生年月信息,由于结合性别、地址等属性信息重新识别的个人身份。相比 GDPR 来说,我国罗列的个人信息范畴并不大,并不包括由个人关联的信息(比如用户的行为 / 习惯、购买的 IoT 设备等识别性不高的信息,这在一定程度缩小了“个人信息”的范围,降低敏感信息分类分级及保 护的成本。然而,在最近发布《个人信息保护法(草案)》 给出的个人信息新定义为“以电子或者其 他方式记录的与已识别或者可识别的自然人有关的各种信息”,与 GDPR的宽泛定义趋向类似,增加“有 关的”修饰词,进一步明确地拓展“个人信息”定义和范畴。因此国内企业应未雨绸缪,在涉及个人信 息安全的数据安全治理方面,需要在个人信息的识别、分类与分级等基础能力投入更多安全建设。
用户的数据权利
GDPR: 第 12-22 条款上赋予了“数据主体”(或称用户)知情权、访问权、修改权、限制处理权、 删除权(也称“被遗忘权”)、可携带权、拒绝权等多项权利。 “被遗忘权”和“可携带权”是 GDPR 新增两项用户“特权”:被遗忘权,在一些注销账户、或者超过时间期限等场景中,用户可以行使该项 权利,要求“数据控制者”(或称企业)删除与自己相关的个人数据,同时也要求通知合作第三方删除 同样的数据;可携带权,用户可以便携地将其个人数据从一个数据控制者处转移至另一个数据控制者处, 数据控制者需要配合完成该过程。
《网络安全法》: 第 43 条赋予了用户一定程度的“删除权”:“个人发现网络运营者违反法律、 行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息”;一 定程度的“修改权”:“发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以 更正”。在最近发布《个人信息保护法(草案)》中,赋予了用户更丰富更具体的数据权利,诸如知情 权、访问权、被解释权等。
企业的安全义务
GDPR: 赋予用户“访问权”、“被遗忘权”等各项数据权利,相应地,企业必须响应和履行为用户 行使权利供方便的义务,比如用户行使“被遗忘权”,企业必须供删除数据的界面与入口,并执行 相关处理操作与流程,以及对用户输出响应报告。以外,GDPR规定企业必须保存数据处理活动的记录, 针对数据泄露风险建立快速响应与通知机制;对数据采取假名化、加密等与风险相适应的安全措施。
《网络安全法》: 企业同样需配合用户行使数据权利。此外,企业在防止数据泄露、窃取篡改等数据安全事件上,需履行安全管理制度、组织和规范建设,落实有效的网络安全措施,以及采取数据分类, 重要数据备份和加密等技术措施,数据泄露建立快速响应与补救措施机制,保存网络日志不少于 6 个月 等各项安全义务。
违法违规的处罚
**GDPR:**违反数据处理的基本原则,不履行数据主体的数据权利等,第83 条给出罚款的最高值:可 4% 的行政罚款, 被处以最高 2000 万欧元的行政罚款,或对企业以最高占上一财政年度全球总营业额 取两者最高值。这是欧盟境内企业或者与欧盟数据相关的境外企业最关心的,被 GDPR处罚的代价是十分高昂的。
《网络安全法》: 最高可处罚 100 万元的罚款,对直接负责的主管人员处罚最高 10 万元罚款。除 罚款以外,还有责令暂停相关业务、关闭网站、吊销营业执照等严厉的行政处罚措施。在最近发布《个 人信息保护法(草案)》中,对于个人信息的违法犯罪加大了处罚与罚款力度,对于违法情节严重的最 高可以处罚 5000 万元以下或者上一年度营业额 5% 罚款,同时对直接负责的主管人员最高可罚款 100 万元,这些处罚给个人信息与数据安全违规违法行为形成了强大的威慑力。
小结
欧盟 GDPR作为一部现代数据隐私法的风向标,给全球其他国家的立法产生深远的影响,尤其是美 国加州消费者隐私方案 CCPA,同样给用户赋予多项相似的数据权利,对企业提出更更高的合规性要求。 随着我国今年来《数据安全法(草案)》和《个人信息保护法(草案)》综合性法律的制定,以及一些 配套的行政法规和标准的落地实现,我国数据安全相关法规 -标准建设将趋于体系化和成熟。从全球数 据执法的趋势来看,欧盟 GDPR已经进入全面执法阶段,欧盟成员国已经陆续开出违反 GDPR的巨额 罚单;我国在《网络安全法》等法规指导下,我国监管部门在数据安全执法主要聚焦在 APP 隐私侵权 治理以及个人信息非法交易与黑灰产整治两个重点领域。
《网络安全法》作为我国已经实施的网络空间安全的基础性法规,目前在数据安全与个人信息安全 具有最高的法律效力。本章重点从该法规保护的数据对象、用户的数据权利、企业的安全义务以及违法 违规的处罚四个方面,将其与 GDPR的合规性进行对比与解读,我国同样趋向采取更加宽泛的“个人信 息”定义,这给企业识别这些敏感数据带来巨大的挑战;此外,我国明确指出企业必须采取数据分类, 重要数据备份和加密等。若违反相关条款,将面临高额的罚款和严格的行政处罚,由此企业必须对数据 安全与合规性引起足够的重视。
合规要求下的数据安全概述
随着欧盟 GDPR、美国 CCPA,以及我国的《网络安全法》,《数据安全法(草案)》和《个人信 息保护法(草案)》的制定与实施,合规性已经成为企业数据安全治理与建设重要驱动力。在合规视角 下,本章将阐述数据安全需求、内涵的发展与演变,并将从宏观上总结企业数据安全合规性建设三类场 景,以及超越合规性的前沿技术图谱。
扫一扫
1151
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
