以互联网、大数据、人工智能等现代信息技术构成的数字化时代,技术进步带来便利的同时,其背后伴随的安全问题也不容忽视。
面对手机APP条款繁复、晦涩难懂的隐私政策,还有一揽子授权,必须要点同意?
邮箱、手机,甚至身份证、家庭住址、社会关系、银行卡号……这些被拿去的个人信息会不会被泄露和滥用?公众该如何防护?企业如何保护隐私的同时获取益处?又该如何保障用户的信息安全?
近年来全球多个国家纷纷颁布相关法律法规,对信息安全与隐私保护相关问题进行严格的规范与引导。如中国的网络安全法、GB/T 35273个人信息保护条例;欧盟GDPR通用数据保护条例;美国加州CCPA隐私保护条例;美国内华达州SB220数据隐私法;英国DPA2018数据保护法等。为了应对越来越多信息泄露件及个人信息滥用的情况,国际标准化组织ISO也在信息安全、隐私安全、云安全等相关领域发布了诸多国际标准。
各国出台的法规如何理解?那么多的标准号都怎么区分?都有什么作用?全面又实用的科普信息来了!
1 各国法规部分介绍:1.1 中国《网络安全法》我国于2017年6月1日正式发布《中华人民共和国网络安全法》。《网络安全法》是我国首部全面规范网络空间安全管理方面问题的基础性法律,包含的内容十分丰富,一共包括7章79条,包含网络运行安全、关键信息基础设施的运行安全、网络信息安全等内容。《网络安全法》在数据(包括个人信息)安全与保护上也有诸多规定,诸如第四十至四十五条。
1.2 中国GB/T 35273《个人信息安全规范》2019年10月,GB/T 35273《个人信息安全规范》在本年度内进行第三次修订并征求意见,同年《网络安全审查办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》、《儿童个人信息网络保护规定》在内的多部法律法规及国家标准密集出台、快速更新甚至正式实施,充分反映了中国政府在个人信息保护领域立法十分活跃的态势。
1.3 欧盟GDPR《通用数据保护条例》欧盟于2018年5月25日正式发布GDPR《通用数据保护条例》,这是一项保护欧盟公民个人隐私和数据的法律,其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。
1.4 美国CCPA《加州消费者隐私保护法》2018年6月28日美国加州发布CCPA《加州消费者隐私保护法》。该法案被称为美国“最严厉和最全面的个人隐私保护法案”,将于2020年1月1日生效。
1.5 美国SB 220《内华达州数据隐私法》2019年5月29日美国内华达州发布SB 220《内华达州数据隐私法》,该法案涉及互联网隐私,要求互联网网站和在线服务的运营商遵循消费者的指示,不得出售其个人数据。违反SB 220可能会导致运营商收到禁令或每次违规最高被处以5,000美元的民事处罚。SB 220已于2019年10月1日生效。
1.6 英国DPA2018《数据保护法》2018年5月23日,英国正式通过新修订的DPA2018《数据保护法》。该法将废除1998年颁布的《数据保护法》,重新建立英国数据保护框架以促进GDPR在英国的有效落实,并在GDPR框架下对某些条款做出裁剪规定。同时,确保英国在脱欧之后与欧盟在个人数据保护方面保持一致,以促进英国与欧盟国家的数据流动。该法主要内容包括:1) 加强数据主体对其个人数据的控制权。2)加强数据控制者义务。此外,该法还为刑事司法机构出于执法目的而处理数据设计了专门的执法框架,要求在执法过程中同样需要保护个人数据。
1.7 瑞士DPA《联邦资料保护法》瑞士是少數未加入欧盟的欧洲国家。在欧盟个人资料保护指令 (EU Directive 95/46/EC)实施期间已获得第三国适应性认定,即欧盟认定瑞士关于个人信息保护的相关法规及其保护程度与欧盟个人信息保护指令相当。为应对欧盟GDPR新法规,2017年9月15日瑞士联邦议会通过修订草案,修正DPA相关条文。其目的是配合欧盟GDPR的实施,希望在GDPR正式实施之后,继续获得第三国适应性认定,而不须在每次跨境资料传输皆遵循GDPR规则办理。瑞士DPA与GDPR区别在于其并未制定数据可携带权、没有领域外效力、对于知情同意的要求较低、认证机制于行为守则及罚则较低。
1.8 德国BDSG《联邦个人资料保护法》德国联邦议院于2018年 4月27日通过《个人信息保护调整和施行法》,其中包含新的德国BDSG《联邦个人信息保护法》。在这部新的法案中,已实施40年的BDSG进行了大幅调整以符合欧盟GDPR《通用数据保护条例》。在新的BDSG法案中德国联邦政府运用了GDPR的开放性条款,导致部分新的BDSG规范内容超越了GDPR的条文规范,与现行欧盟法律不符,很可能被宣布违反欧盟法律。另一方面,旧的BDSG仅有48条规定,而新的BDSG则超过85条规定,且更为复杂,提高了法律适用上的难度。
2 国际标准:2.1 ISO/IEC 27001:2013 信息安全管理体系ISO/IEC 27001是信息安全领域的重要标准,是建立信息安全管理体系的一套规范,标准详细说明了建立、实施及维护信息安全管理体系的要求,指出实施组织应该遵循风险评估标准,其最终目的在于帮助组织建立适合自身需要的信息安全管理体系。ISO/IEC 27001共分成14个领域,35个控制目标,114个控制措施。
2.2 ISO/IEC 27002:2013 信息安全控制实用规则ISO/IEC 27002标准为在组织内启动、实施、保持和改进信息安全管理提供指南和通用的原则。ISO/IEC 27002标准概述的目标提供了有关信息安全管理通常公认的目标的通用指南。.ISO/IEC 27002标准的控制目标和控制措施预期被实施以满足由风险评估所识别的要求,ISO/IEC 27002标准可以作为一个实践指南服务于幵发组织的安全标准和有效的安全管理实践,帮助构建组织间活动的信心。实施规则中的控制和指导并不全都是适用的,可能需要 ISO/IEC 27002标准中未包括的附加控制和指南:。
2.3 ISO/IEC 27017:2015 云环境下的信息安全控制ISO/IEC 27017提供了ISO/IEC 27002与云环境相关的控制措施实施指引,同时提供了针对云服务的额外安全控制措施。ISO/IEC 27017标准适用于所有类型和规模大小的组织,无论是自建的云服务还是透过购买所获得的云服务,以及云服务提供商本身,皆可透过此标准的指引,强化所提供或者所使用的云服务的安全。ISO/IEC 27017能在组织和服务商中清楚地定义云服务提供商和云服务客户之间的责任,避免可能在服务过程总所产生的歧义,导致服务中断。ISO/IEC 27017标准除了引用37个来自于ISO/IEC 27002的控制措施,同时还额外提供了7个专门针对云服务的安全控制措施。
2.4 ISO/IEC 27018:2019 公有云个人隐私保护ISO/IEC 27018是公有云个人隐私保护的国际标准,标准提供了一套用于公有云中个人信息处理者的个人信息保护实用规则。这些规则让云服务供应商的个人信息安全控制变得标准化和透明化,使得公有云服务提供商在扮演PII处理者时,有足够能力去处理公有云服务中的信息安全问题,能够在满足客户合约以及相应法规前提下,有效应对云服务中个人隐私保护的特定风险。ISO/IEC 27018标准参考了ISO/IEC 27002的16项控制措施,以及根据ISO/IEC 29100的11项隐私框架原则追加的25项控制措施。
2.5 ISO/IEC 27701:2019 隐私管理体系ISO/IEC 27701作为ISO/IEC 27001与ISO/IEC 27002在管理上的延伸标准,其目标是通过新增的要求来增强现有信息安全管理体系(ISMS),以便建立、实施、维护和不断改进隐私信息管理体系(PIMS),标准概述了适用于个人身份信息(PII)控制者和PII处理者的框架,用于隐私控制管理,以降低对个人隐私的各种风险。
2.6 ISO/IEC 29100:2011 隐私框架由于信息科技的普及,处理或利用个人信息的情况越来越普遍,但不同国家的相关法规均不一致,为了确保跨国间的个人信息传输都能符合一定的法律要求,国际标准化组织ISO于2011年12月发布了国际标准ISO/IEC 29100隐私框架。隐私保护框架内容包括:识别PII、隐私防护的要求、隐私策略和隐私控制的确定。标准的附录对于隐私的词汇和ISO/IEC27000标准族的词汇进行了对应。由于隐私保护和信息安全存在太多的交叉,因此在ISO/IEC 29100:2011中,关于隐私控制并没有展幵。但是第五章关于隐私原则的内容对于后续开展隐私管理体系建设具有指导意义。
2.7 ISO/IEC 29134:2017 隐私影响评估指南隐私影响评估(PIA)是一种评估流程,是评估信息系统,程序,软件模块,设备或其他处理个人身份信息(PII)的活动对隐私的潜在影响的工具,并与利益相关方协商,为治理隐私风险采取必要的行动。最终产生的PIA报告可能涵盖涉及风险治理措施的标准文件内容,包括因使用ISO/IEC 27001标准中而产生的措施。ISO/IEC 29134第六章列出了隐私影响评估的主要步骤,给出了是否需要做PIA(阈值分析)的六种情境,最后在标准的附录中列举了常规的隐私风险库。
2.8 ISO/IEC 29151:2017 个人隐私保护标准ISO/IEC29151是通用的个人隐私保护标准,基于ISO/IEC 27002的各个域中加入了PII的事实指南,同时引入了ISO/IEC 29100十一大隐私保护原则。标准涵盖26个控制域,181条控制措施,充分控制个人身份信息(PII)相关的风险和满足影响评估所确定的要求。
一图看懂这些标准之间的关系:
1、ISO/IEC 27002为ISO/IEC 27001提供风险处置具体的控制目标和控制措施指南;
2、组织依据ISO/IEC 27001标准建立信息安全管理体系,通过风险管理来保护和管理组织的所有信息,从数据安全方面满足各国隐私法规的部分要求;
3、ISO/IEC 27017和ISO/IEC 27018是ISO/IEC 27002标准的延伸,ISO/IEC 27017着重于云环境下的信息安全控制,ISO/IEC 27018着重于公有云个人隐私保护;
4、扩展ISO/IEC 27001相关的PIMS要求;
5、扩展ISO/IEC 27002相关的PIMS要求以及PII控制者和处理者的额外要求;
6、ISO/IEC 27701附录D映射GDPR大部分条款,仅部分条款未被ISO/IEC 27701覆盖,通过ISO/IEC 27701认证能表明组织符合GDPR的大部分要求,是目前GDPR合规展现的方式之一;
7、ISO/IEC 29100、ISO/IEC 29134、ISO/IEC 29151、ISO/IEC 27018均为隐私方面的标准,有不同的侧重点,与ISO/IEC 27701互为补充。
了那么多信息安全相关的标准信息,企业该如何选择符合且利于公司发展的管理体系呢?
信息安全标准适用范围:
标准
描述
备注
ISO/IEC 27001:2013
信息安全管理体系
作为基础管理体系的框架,适用于所有类型和规模的组织。
ISO/IEC 27701:2019
ISO/IEC 27001和ISO/IEC 27002的延伸,用于隐私信息管理
个人身份信息相关组织和利益相关方要求;个人身份信息相关风险评估;适用于适用于所有类型和规模的组织,包括公共和私营公司、政府机构和非盈利组织,他们是在ISMS中处理PII(个人可识别信息)的控制者或处理者。
ISO/IEC 29151:2017
个人信息保护的行为准则
36项ISO/IEC 27002附加控制要求;个人身份信息新增13个控制;适用于所有类型和规模的作为PII控制者的组织,包括处理PII的公共和私营公司、政府机构和非盈利组织。
ISO/IEC 27017:2015
基于ISO/IEC 27002的云服务信息安全控制实务守则
37个与云安全相关的ISO/IEC 27002附加控制要求;7个额外的云安全要求;适用于云服务提供商和云服务客户。
ISO/IEC 27018:2019
公用云作为保护隐私数据处理者的实务守则
与云相关的15项ISO/IEC 27002附加控制要求;11个额外的基于云的个人信息要求;适用于所有类型和规模的组织,这些组织作为PII处理者通过与其他组织签定的云计算提供信息处理服务;也适用于PII控制者的组织。
作为国际公认的检验、鉴定、测试和认证机构, SGS致力于为各行各业提供企业优化服务,在信息安全领域服务范围广泛,包括:ISO/IEC 27701、ISO/IEC 29151、ISO/IEC 27001、ISO/IEC 20000、 CSA STAR、ISO/IEC 27017、ISO/IEC 27018、ISO 22301、GDPR等培训、认证相关服务;还可提供渗透测试、二方审核、IT审计、GDRR等定制化解决方案。