导图社区 隐私保护
- 106
- 0
- 0
- 举报
隐私保护
这是一篇关于隐私保护基础的思维导图,主要内容包括:ISO 27018,GAPP框架,个人信息安全规范,GDPR,隐私保护简介。
编辑于2024-10-05 15:53:31- 隐私保护
- GPDR
- DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图,主要内容包括:DPIA模版,DPIA概述和范围,如何执行DPIA,可接受的DPIA标准,DPIA解决什么问题,DPIA执行标准。
- GDPR全文和解析
本文翻译了GDPR并且添加了解析,深入剖析GDPR的各个方面,可以更好地理解这一法规的重要性,并为企业和个人在数据保护方面提供有益的指导和建议。非常有价值。
- 信息安全技术 、数据安全能力成熟度模型DSMM详解
这是一篇关于信息安全技术 、数据安全能力成熟度模型Informatio的思维导图,主要内容包括:附 录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法,附 录 B (资料性附录) 能力成熟度等级评估参考方法,DSMM架构,附 录 A(资料性附录) 能力成熟度等级描述与 GP,DSMM-数据安全过程维度,DSMM-安全能力维度。
隐私保护
社区模板帮助中心,点此进入>>
- DPIA流程和模板
这是一篇关于DPIA流程和模板的思维导图,主要内容包括:DPIA模版,DPIA概述和范围,如何执行DPIA,可接受的DPIA标准,DPIA解决什么问题,DPIA执行标准。
- GDPR全文和解析
本文翻译了GDPR并且添加了解析,深入剖析GDPR的各个方面,可以更好地理解这一法规的重要性,并为企业和个人在数据保护方面提供有益的指导和建议。非常有价值。
- 信息安全技术 、数据安全能力成熟度模型DSMM详解
这是一篇关于信息安全技术 、数据安全能力成熟度模型Informatio的思维导图,主要内容包括:附 录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法,附 录 B (资料性附录) 能力成熟度等级评估参考方法,DSMM架构,附 录 A(资料性附录) 能力成熟度等级描述与 GP,DSMM-数据安全过程维度,DSMM-安全能力维度。
- 相似推荐
- 大纲
隐私保护基础
隐私保护简介
什么是隐私
通常来说,我们所关注的主要是网络世界的隐私,这些隐私以数据为载体,所以我们通常也将其称为“个人信息”或“个人数据”。
个人数据是已经识别出来的或者可以识别出来的跟自然人有关的任何数据。
■ 已经识别出来的数据,是指可以唯一确定某个自然人的数据,如姓名、知名的网络ID、身份证号等。
■ 可以识别出来的数据,是指不包含可直接确定某个自然人的数据,但通过已有的信息,经过分析或推理可以确定某个自然人的数据,如通过性别、籍贯、在哪里上的大学、工作单位、爱好等信息,可以推测出具体的自然人。
隐私保护与数据安全的关系
隐私保护与数据安全的关系如图所示。可以看出,隐私保护与数据安全之间存在交集,这个交集即个人数据安全,那么隐私保护可以理解为个人数据的数据安全与合规遵从。 很多大型企业建立了专业的隐私保护团队,通常由安全从业人员和法律从业人员所构成,因为隐私保护需要法务和安全的共同参与。而在数据安全方面,虽然也涉及法律法规的合规遵从,但主体工作一般由安全团队来完成。
隐私保护的技术手段
无论是保护业务数据,还是保护个人数据,在产品的安全架构设计上,我们都可以采用同样的覆盖数据全生命周期的5A方法论:
■ 身份认证(Authentication):用户主体是谁?
■ 授权(Authorization):授予某些用户主体允许或拒绝访问客体的权限。
■ 访问控制(Acccess control):是否放行的执行者。
■ 可审计(Auditable):形成可供追溯的记录。
■ 资产保护(Asset protection):资产的保密性、完整性、可用性保障。
合规遵从
隐私保护需要遵循业务所在国(或业务覆盖国)的隐私保护相关法律,以及业务涉及的其他各国(或地区)的个人信息或隐私保护法案等等,典型的法律法规有:
■ 欧盟GDPR(通用数据保护条例)。
■ 中国的《网络安全法》(2017年6月1日生效)、《个人信息安全规范》,此外还有《个人信息保护法》《数据安全法》在规划中。
■ 《加州消费者隐私法案》(CCPA,2020年1月1日生效)、《美欧隐私盾协议》(2016年8月1日生效,内容主要是个人数据从欧盟传输到美国公司后,适用欧盟数据保护标准)、《隐私法案》(1974生效,以1973年FIPs即公平信息实践准则为基础)。
■ 日本《个人信息保护法》(The Personal Information Act, PIPA,2015年修正案,2017年生效)。
在实践中,我们可以首先将适用范围最广的法规,如GDPR以及主要业务所在国的法规,作为输入。为了尽可能覆盖大多数业务场景,我们还需要采纳一种业界最佳实践的隐私保护框架,比如ISO 29151、GAPP(Generally Accepted Privacy Principles,公认隐私准则)、OECD Privacy Framework(Organisation for Economic Co-operation and Development,经济合作与发展组织隐私框架)等,因为这几种框架在分解后的要求差异不大,可以从中选择一种作为输入。
将选定的外部法律、隐私保护框架分解,可以理解为“切片”,将这些条款按领域拆分,然后归纳重组,去除重复项,形成内部的合规基准,如图所示。
但是,对业务来说,需要使用的并不是这个分解重组的成果,而是隐私保护团队基于这个分解重组的成果,重新构建的内部文件体系。也就是说,上面的这个合规基准,还不是正式的内部文件,并不直接对业务生效。
接下来,隐私保护团队需要将“合规基准”作为制定内部文件体系的输入,将合规基准中的要求,在内部文件体系中一一归位,如图所示。
由于输入(即外部法律)并不完整,上述工作成果是粗放式的,接下来还需要继续结合业务实际,做精细化管理。我们需要梳理出业务适用的其他法律法规(包括其他国家或地区的法律法规),作为上述转化的输入,重复分解重组过程。在分解重组的过程中,如果条款仅针对特定地域生效,也需要在合规基准中体现出来
GDPR
在隐私保护领域,GDPR是截至目前最为重要、适用范围最广也最受关注的一部法律,是隐私保护工作最为重要的输入之一。
如果你的企业在EEA境内开展业务,GDPR自然适用;如果不在EEA开展业务,则需要看是否面向EEA内的数据主体(即自然人,包括但不限于用户、客户、商业联系人、雇员、求职者等)提供商品或服务,或监控欧盟境内的个人活动,如果是,则需要遵循GDPR。
假设某国内公司开发并运营了一款手机App,那么需要遵循GDPR吗?需要看该App是否面向欧洲用户提供服务,或监控欧盟境内的个人活动,如果有,那么就需要遵循。
如何理解“面向欧洲用户”呢?就是以欧洲用户为目标,或瞄准欧洲市场提供服务。如果该APP存在如下行为(一种或多种),可能会受到GDPR影响:
■ 提供的产品或服务指定向欧盟或至少一个成员国提供(比如在Google Play应用市场的德国区发布)。
■ 在搜索引擎中投放面向欧盟用户的营销广告。
■ 提及欧盟境内的专用地址或专用电话号码。
■ 使用欧盟或成员国的顶级域名,如“.eu”、“.de”。
■ 提供从一个或多个欧盟成员国出发的旅行指令。
■ 使用一个或多个欧盟国家特定的语言文字(比如意大利语)或货币支付(比如欧元、英镑等)。
■ 提供欧盟成员国内的货物交付。
两种角色
GDPR定义的组织主要包括两类角色:数据控制者(Controller)和数据处理者(Processor)。如图所示。
数据控制者决定处理数据的目的和方式,有义务确保它跟数据处理者之间的合同遵从GDPR要求。
数据处理者代表控制者处理个人数据,有维护数据处理记录的义务。
例如:某医院A采购某人工智能公司B提供的AI服务用于辅助诊断,那么诊疗数据的数据主体是患者,数据控制者是医院A,而人工智能公司B是数据处理者。
又如,使用云服务的企业,对自己的用户来说是数据控制者,云服务提供商是数据处理者。
如果数据处理者在按照数据控制者的意图处理数据之外,还加入了自己的意图和处理活动,就会演变为共同控制者。需要说明的是,共同控制者也属于数据控制者,需要履行数据控制者的义务。数据控制者、数据处理者及共同控制者之间的区别如图所示。
六项原则及问责制
GDPR第5条规定了六项处理个人数据的原则以及一项对数据控制者的问责制(也可以合称为七项原则)。
这六项原则具体包括:
■ 合法(lawfulness)、公正(fairness)、透明(transparency):个人数据应当以合法、公正、透明的方式处理(如果数据处理可能引起对某些数据主体的歧视,如价格歧视,可视为公正性受到影响;透明则主要体现在保障用户的知情权和明示同意方面)。
■ 限定目的(purpose limitation):收集的数据只能用于限定的目的。
■ 数据最小化(data minimisation):仅收集必要的数据(例如某计算器应用需要读取用户的通讯录,则明显不符合数据最小化原则)。
■ 准确(accuracy):个人数据应当准确(例如消费记录和余额显示,如果数据不准,明显会给用户带来恐慌)。
■ 留存期限限制(storage limitation):已达成数据处理目的,不再需要留存的数据应在合理的留存期到期后及时清理,这个留存期通常是为了满足法定的审计要求(如财务报销审计)。
■ 完整性和保密性(integrity and confidentiality):采取适当的技术或组织措施来防止未授权的访问,防止数据被破坏或丢失;
问责制(accountability),即数据控制者有责任且能够证明自身合规,包括隐私保护政策文件以及保留处理隐私活动的记录,在必要时提供给监管机构,相关记录和文档包括:
■ 隐私影响评估(PIA)记录。
■ 隐私安全设计文档。
■ 数据流转审核记录。
■ 数据主体请求及处理的记录。
■ 隐私泄露事件响应与处理的记录。
处理个人数据的六个法律依据
处理个人数据需要至少具备以下六个法律依据中的一个:
■ 数据主体的同意。
■ 合同义务(比如按照PCI-DSS合同义务,处理用户的支付卡信息及交易数据)。
■ 法定义务。
■ 保护数据主体或他人的核心利益。
■ 公共利益,如公共安全。
■ 数据控制者或第三方的合法利益,但不得妨碍数据主体的利益、基本权利和自由,并需要考虑到数据主体的合理期望。
其中,如果数据控制者使用的法律依据属于最后两个,则数据主体拥有较大的控制权,拥有随时提出反对或限制处理的权利。
在实践中产生分歧最多的就是上面第六项“合法利益”了,例如商家为了促销,发送营销邮件、拨打用户电话,经常会招致用户反感并投诉。但如果是用户期望发生的事情,就不会这样,比如用户在电商网站购物,提交了自己的姓名、收获地址、手机号码,那么商家(数据控制者)处理这些个人数据既满足自己的合法利益,也符合用户(数据主体)的合理期望,因为用户购物之后期望尽快收到货物是用户的合理预期。
在实践中,应尽可能地使用前面两种法律依据,尤其是第一种“用户同意”,而尽量避免使用第六种“合法利益”,除非这属于用户的合理预期。
处理儿童数据
如处理16岁以下儿童的个人数据,需要征得监护人的同意或授权。欧盟各成员国也可以通过立法调整年龄阈值,但最低不得低于13岁。
一个典型的场景是:能否收集用户的生日,特别是出生年份?如果收集了生日的年份数据,则意味着企业知道了用户的年龄,那么就不可避免地需要履行儿童数据保护义务,确保儿童的监护人知情并同意。
特殊的数据类型
GDPR第9条原则上禁止处理种族、血统、宗教信仰、基因遗传、工会成员、健康以及与性相关的个人数据。
如果需要处理,需要满足特别的条件,如征得数据主体的明示同意,或履行法定义务。通常来说,需要使用“用户明示同意”作为处理这类数据的法律依据。
数据主体的权利
1.知情权
收集个人数据时,一种方式是直接向数据主体(即自然人本人)收集,第二种方式是通过其他渠道获取。
当直接向数据主体收集时,控制者应向数据主体提供:
■ 控制者及法定代表人、数据保护官(DPO)的身份、联系方式。
■ 个人数据的种类。
■ 处理个人数据的目的和法律依据(GDPR规定了六种法律依据,分别是数据主体同意、法定义务、合同义务、保护数据主体或他人的核心利益、公共利益、数据控制者或第三方的合法利益,至少需要具备其中的一种)。
■ 数据是否向第三者或第三国转移、接收者是谁。
■ 存储期限或标准。
■ 保护措施。
■ 声明数据主体有权访问、更正、删除个人数据,以及限制、拒绝、撤销同意的权利。
■ 向监管机构投诉等权利。
■ 提供个人数据对于法律或合同的必要性,数据主体是否有义务提供个人数据,或者不提供此类数据可能造成的影响,如不能处理交易等。
当通过其他渠道间接获取时,应向数据主体提供:
■ 除上述最后一条(法律或合同的必要性)之外的所有信息。
■ 数据的来源。
且需要在一个月内通知数据主体,并一次性告知上述信息;如果个人数据是用于跟数据主体沟通,可以在第一次沟通及时通知。
2.访问权
数据主体有权获取如下信息:
■ 确认其个人数据是否被处理、处理的目的(用途)、数据类别、存储期限或标准。
■ 权利信息(更正、删除、限制、拒绝的权利)。
■ 个人数据的副本。
3.更正权
数据主体有权更正错误的个人数据。
4.删除权
数据主体有权删除自己的数据。例如用户有注销账号的权利,控制者有配合删除其个人数据的义务。
5.限制处理权
在特定场景下,数据主体有权要求数据控制者限制对他的个人数据的使用。在数据主体认为其个人数据还需要保留,但数据控制者不得使用时,可提出限制处理请求。
典型场景包括:
■ 数据不准确:某用户发现自己的燃气费自动扣款金额不对,要求暂停自动扣款,待核实后再决定是否恢复。
■ 处理数据的行为没有法律依据,或者使用了非法的手段。
■ 数据虽然已不再需要用于原来的目的,但有可能需要作为法律证据保留,这时用户可要求限制处理,但并不删除。
■ 处理数据的法律依据是为了公共利益,或数据控制者及第三方的合法利益。
6.可移植权
数据主体有权要求将自己的数据,转移到另一家数据控制者,数据控制者应当配合。例如博客的主人,有权将自己发布的博文,搬家到另外一家服务提供商。
7.反对权
数据主体有权撤回自己之前的同意,但是不影响在撤回之前基于用户同意所做的处理。
如果处理数据的法律依据是出于公共利益,或者数据控制者及第三方的合法利益(即处理个人数据的六个法律依据中的最后两个),用户有权提出反对,数据控制者须立即停止这部分的数据处理。
一个特别的场景是,数据主体拥有反对受自动化决策约束的权利,因为自动化决策算法本身过于复杂,比如神经网络,对大众来说不够透明也难以理解,用户不清楚自己的数据是如何被处理的,决策的结果可能影响到自己的基本权利和自由。如某用户在线申请某银行的信用卡时,该银行基于用户画像自动做出驳回信用卡申请的动作,那么该用户有权反对这一决策,并要求人工干预,如图所示。
特别说明:数字营销、自动化决策(含画像)需要获得用户的明示同意。
数据控制者和数据处理者的义务
1.保持透明
为每个业务提供明确的隐私政策,并在醒目的位置放置链接,如在网站的每个页面的相同位置放置一个“隐私”或“隐私政策”的链接。
如果多个业务采用单一的一揽子式隐私政策而只有一个同意选项,将违反透明原则。
如果不能单独同意或不同意每一项重要的个人数据处理行为(如基于个人数据推送广告),一揽子同意会被视为不是出于用户的自愿选择,从而可能面临监管机构的严厉处罚。
2.获取用户授权同意
如果需要收集、使用用户个人数据,则应获取用户明确同意(参考上述知情权部分应当告知的内容)。不能默认勾选用户同意选项,必须确保所有的用途都已明确获得用户的同意。
3.赋予用户控制权
赋予用户查询、更正、删除个人隐私,及限制访问、撤回同意等权利。
最简单的做法,是向数据主体提供一个表单,用户可以在这里填写自己的请求,如图所示。
这在开展隐私保护工作时可能问题不大,但随着请求数量的增多,处理表单的工作量会越来越大,而且由于这种模式过于简单,且不够透明(用户看不到处理的进度),容易招致用户的投诉。在条件具体的情况下,还需要考虑建立面向用户的自助管理后台,让用户可以在这里执行查询、更正、删除、导出、调整同意选项等操作,充分保障用户的权利。
4.任命数据保护官
如果公司人数超过250人,或者涉及大量个人数据处理,需要设置数据保护官(DPO)。数据保护官的职责是对数据保护工作进行监测、内部教育培训、合规性审计以及代表企业与GDPR监管方或用户沟通。
5.问责制与自我证明合规
凡属GDPR管辖的数据控制者,需要证明自身的合规性并能够向监管机构出示,包括:
■ 数据处理记录。
■ 隐私影响评估记录。
■ 定期执行隐私合规审计和政策审核,作为证明自身合规的一部分。
作为数据处理者,需能够向数据控制者证明自身的合规性并接受数据控制者或其委托人的审计。
6.事件报告
在发生危及欧盟公民个人信息的安全事件后72小时之内,企业须上报欧盟数据保护机构。发生个人数据泄露事件后,数据处理者当立即通知数据控制者。
如果泄露事件可能会给数据主体带来高危风险(比如信用卡资料泄露),还需要及时通知到数据主体(用户、客户、商业联系人、雇员、求职者等)。
违规与处罚
当数据主体认为其权利遭受损害时,可向监管机构投诉,并有权寻求司法救助,有权就其遭受的损失获得控制者或处理者的赔偿(无论是财产性损失还是非财产性损失)。上述行动也可委托数据保护机构、组织、协会等进行。
违反GDPR条款,比较严重的(例如违反六项原则),最高罚款可达2000万欧元或企业上一财政年度全球营业总额的4%(取其中较高者);其他最高罚款可达1000万欧元或企业上一财政年度全球营业总额的2%(取其中较高者)。
2019年1月22日,法国数据保护委员会CNIL(National Data Protection Commission)宣布,对美国某搜索引擎巨头处以5000万欧元的罚款。根本原因是其个性化广告推送服务违反GDPR的透明性原则,且没有在处理用户信息前获取有效同意:
■ 多个业务采用一揽子式同意及隐私政策(只要用户勾选一个同意选项,就视为用户同意任何服务均可以收集和处理个人数据),这也违反了透明性原则,用户失去了自主选择的权利。
■ 违反了自愿原则,未尽到告知义务(个人信息被收集和处理的目的、使用的业务及产品范围、存储期限、用户权利等),默认勾选了“同意提供个性化广告服务”,且故意放在不容易发现的位置。
■ 如果一款产品属于占市场主导地位的产品,用户明显处于弱势地位,且用户不同意就无法使用的话,则用户同意的有效性将被削弱(可能不被视为有效的同意)。
个人信息安全规范
《个人信息安全规范》在业界有“中国版的GDPR”之称,其在国内隐私保护领域的重要性可想而知。
简介
《个人信息安全规范》的全称为《信息安全技术个人信息安全规范》(GB/T 35273—2017),旨在规范个人信息在收集、存储、使用、共享、披露等环节的行为,遏制个人信息非法收集、滥用、泄露等问题,保护个人合法权益和社会公共利益。该规范由国家市场监督管理总局和国家标准化管理委员会发布,于2018年5月1日正式实施。
该标准目前仅仅是推荐性标准,还不是强制性标准。不过,在内容相对完善后,不排除转为强制性标准,或为规划中的《个人信息保护法》奠定基础。在2019年1月30日,该规范又发布新的征集意见修订稿。这里将基于最新的修订稿,简单介绍这个规范的主要条款。
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。其中,一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,称为个人敏感信息。
个人敏感信息包括:
● 个人身份信息:各种身份证件,以及网络账号、口令、口令保护、数字证书等
● 个人财产信息:如账号、口令、存款及流水记录、房产、信贷、征信、虚拟财产等
● 个人健康生理信息:如既往病史及诊疗记录、生育信息、健康状况等
● 个人生物识别信息:如基因、指纹、声纹、虹膜、面部识别特征等
● 其他敏感信息:如婚史、性取向、宗教信仰、犯罪记录、通信记录、定位及轨迹、住宿记录、上网浏览记录等
个人信息安全原则
个人信息控制者应遵循以下基本原则:
■ 权责一致:收集了用户个人信息,就需要对其安全负责,对处理不当造成的损害负责。
■ 目的明确:需要有合法、正当、必要、明确的用途。
■ 选择同意:向用户明示个人信息的用途、范围、规则,征得用户授权同意。
■ 最少够用:基于用户同意的目的,只处理所需的最少个人信息,且目的达成后删除。
■ 公开透明:公开处理个人信息的范围、目的、规则,接受外部监督。
■ 确保安全:采取足够的安全管理措施和技术手段,保护个人信息的保密性、完整性、可用性。
■ 主体参与:向用户提供查询、更正、删除其个人信息,以及撤回授权、注销账号、投诉等方法。
个人信息的生命周期管理
1.个人信息的收集
收集个人信息需要满足:
■ 合法性:不得采用欺诈、隐瞒、诱骗/误导的方式;不得从非法渠道间接获取;不得收集法律法规禁止收集的个人信息。
■ 必要性:最小化收集(不采集就无法实现相应的功能)。
■ 非强迫:不得强迫用户一次性授权各项业务的收集需求;用户已拒绝的收集需求,不得频繁征求同意。
■ 明示与授权:需要明确告知用户收集的个人信息类型、用途、收集方式和频率、存储期限、自身安全能力等,并获取用户的授权;收集14周岁以下儿童的个人信息,需要征得其监护人的明示同意。
2.个人信息的使用
■ 对被授权访问个人信息的人员,应建立最小化授权的访问控制策略;如默认只能用户自己操作自己的个人信息(如相册),但在出现异常的时候,还需要授权客户服务人员、技术支持人员临时访问,且该授权跟流程状态关联,只有问题单生成且未解决的情况下才允许参与支持的人员访问,问题解决后回收权限。
■ 对个人信息的重要操作设置内部审批流程,如批量下载。
■ 对数据操作、安全管理、审计等角色,执行职责分离,不能由同一人担任其中两种重要角色。
■ 对个人信息加工处理产生的信息,如能单独或者结合其他信息识别出自然人的身份,则该信息也认定为个人信息。
■ 使用个人信息,如超出收集时向用户明示的范围,应再次征得用户同意。
■ 对于个性化定制内容(如推送广告、新闻或信息服务),应显著标识个性化展示等字样,并提供简单直观的退出选项。
3.个人信息的删除
个人信息控制者违反约定,收集、使用约定范围之外的个人信息,或向第三方共享/转让个人信息,或披露个人信息,用户要求删除的,应删除个人信息。
4.撤回授权
应向用户提供撤回授权的方法,并在撤回后不再收集、使用其个人信息。应保障用户拒收基于其个人信息推送广告的权利。
5.注销账户
应向用户提供简便的注销账户的方法,注销后,应及时删除其个人信息或做匿名化处理。
GAPP框架
GAPP即Generally Accepted Privacy Principles,公认隐私准则,是由美加会计师协会2003年联合发布的隐私保护准则框架,后又经过多轮修订(目前版本为2009年8月修订),旨在方便隐私管理,促进隐私合规,以及为隐私认证或审计提供一个可供参考的标准。
GAPP确立了10项隐私原则:
■ 管理(Management):建立并文档化隐私政策、控制流程、沟通机制、问责机制。
■ 告知(Notice):向数据主体提供隐私政策、控制措施,标明个人信息被收集、使用、留存、披露的目的;
■ 选择同意(Choice and consent):向数据主体提供选择机制,并获得数据主体对其个人信息收集、使用、留存、披露等用途的明示同意。
■ 收集(Collection):收集的个人数据仅用于明确告知的用途。
■ 使用/留存/披露(Use, retention, and disposal):个人数据限定使用于明确告知的用途并需要得到个人的明示同意,留存时间不超过法规要求或实现该用途所需的时间,并在到期时清理。
■ 访问(Access):提供个人访问其个人数据的渠道,用于查询、更新;
■ 披露给第三方(Disclosure to third parties):向第三方提供个人信息时,仅限已向个人告知的用途并获得个人的同意。
■ 隐私安全(Security for privacy):保护个人数据,防止未授权的访问,包括物理访问(如接触到存储介质)以及逻辑上访问(如通过网络访问业务应用)。
■ 质量(quality):保证个人信息准确、完整,仅用于告知的用途。
■ 监督和实施(Monitoring and enforcement):应监督隐私政策和控制措施,确保合规,并具备针对用户投诉、争议的处理流程。
GDPR是隐私保护的法律文件,对适用范围内的企业具有强制性效力;GAPP是协助管理隐私政策和隐私项目的综合性框架,不具有强制性。GAPP要早于GDPR,从上面GAPP的原则可以看出,GDPR的原则和要求很多来自于GAPP、OECD等框架(这些框架可以视为业界的最佳实践)。一句话就是:GDPR吸收了业界最佳实践的做法,并将它们转化为法律。
ISO 27018
ISO27018,旨在保证云上个人可识别信息(Personally Identifiable Information, PII)的安全。
ISO 27018对云服务提供商提出了如下几项核心原则:
■ 同意(Consent):云服务提供商不得使用其收集的个人信息用于广告营销目的,除非获得客户的明确同意;
■ 控制(Control):客户可以明确地控制对他们的个人信息的使用;
■ 透明度(Transparency):云服务提供商必须告知客户,他们的数据被存储在哪里,披露是否有分包商处理PII,并且对如何处理这些数据做出明确的承诺;
■ 问责制(Accountability):任何信息安全事件都需要触发对云服务提供商的审核,确定是否存在PII泄露、篡改;
■ 沟通(Communication):在出现PII数据泄露的时候,云服务提供商需告知客户及监管机构,并清楚地记录本次事故及响应。
■ 独立审计(Independent audit):云服务提供商应定期(每年一次)交由独立第三方审计。