纵观产业链探讨《个人信息保护法(草案)》 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com

纵观产业链探讨《个人信息保护法(草案)》

新闻 2021-03-15 12:00:00
收藏

导语:全国人大常委第一次审议了《个人信息保护法(草案)》,这意味着随着时代的发展,不论是政府层面还是群众隐私安全意识层面上,个人隐私保护的意识都在不断增强

纵观产业链探讨《个人信息保护法(草案)》

——结合全产业链解读《个人信息保护法(草案)》

全国人大常委第一次审议了《个人信息保护法(草案)》,这意味着随着时代的发展,不论是政府层面还是群众隐私安全意识层面上,个人隐私保护的意识都在不断增强,对于个人隐私的采集知情权愈加具像化,业内对于减少隐私协议问题的呼声越来越高。嘶吼安全产业研究院与毕马威信息技术咨询、小米集团、奇安信集团等相关内容负责人分别从不同视角就《个人信息保护法(草案)》和数据安全治理与合规展开了一系列讨论。

《个人信息保护法(草案)》与GDPR的异同点

在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。毕马威信息技术咨询为嘶吼详细讲解了《个人信息保护法(草案)》适用范围,是指位于中国境内的自然人个人,这也就意味着在中国境内的外国人同样也在此法保护范围内,GDPR(《通用数据保护条例》)中属地管辖加域外适用的条款相似。《草案》中敏感个人信息定义是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息,此范围比GDPR更广,尤其在金融账户和个人行踪等信息方面。

还有其他相近似的内容,比如:数据生命周期:保存期限应当为实现处理目的所必要的最短时间;个人信息处理者委托处理个人信息的,需对受托方的个人信息处理活动进行监督。数据主体权利:知情权、访问权、纠正权、删除权等。

不同之处有:《草案》对于在海外进行对境内自然人的大数据分析提出了更高的要求;《草案》中的数据生命周期是“个人信息处理者向第三方提供匿名化信息的,第三方不得利用技术等手段重新识别个人身份”,匿名化是不可重新识别的,而GDPR的去标识化在适当条件下可再次进行识别;数据跨境中,《草案》规定了数据跨境条件为网信部门的安全评估、专业机构的保护认证和与接收方签订合同并监督个人信息处理活动满足草案要求等。

总的来说,《个人信息保护法(草案)》的出台和发布,是具有划时代意义的,对比欧盟相关法规条款。我们发现组织已不再能够利用个人信息获取暴利,为了满足组织合规需求、用户个人权利和企业管理运营的需求,企业需从更为全面的视角,加强个人信息保护和数据安全治理能力体系的建设。

网络安全能力建设与个人信息保护的协同发展

嘶吼:从网络安全角度如何理解个人信息保护,数据安全治理思路是什么?

奇安信安全专家:首先从各业务本身出发,梳理业务数据并对数据进行分类,了解业务所涉及到的数据类型,再结合合规要求、业务安全性需求,根据数据的敏感性、重要性,对数据进行安全分级,了解业务所涉及到的数据级别。其次结合业务流程,了解不同类别和级别的业务数据是如何被采集或创建、传输、存储、处理、使用、共享交换、销毁,梳理出数据脉络。再次结合合规要求和业务安全需求,依据现有的数据安全防护措施,分析存在的数据安全风险和个人信息安全风险。最后,结合企业的IT战略、业务战略和风险容忍度,提供数据安全治理规划方案。

数据安全治理规划内容会包含管理体系建设,技术体系建设和运行体系建设。管理体系建设包含数据安全组织架构建设和数据安全管理文档,通过建设职责体系与配套管理文档,提供有效的管理能力。技术体系通过数据安全产品,从基础设施、身份与访问控制、数据安全防护、检测与响应、审计与定则和备份恢复等维度提供有效的数据安全防护能力,保障数据在全生命周期中的安全。运行体系通过运行流程、运行平台和运行人员,提供可持续性的、可改进的数据安全保障。

嘶吼:网络安全厂商为帮助政企机构构建数据安全体系都做了哪些努力?

奇安信安全专家:首先,建立了全新的数据安全治理框架2.0,配套数据安全管理体系、数据安全咨询服务方案,较之前版本针对性的梳理了个人信息的数据特征。法律层面加强了对于公民个人信息保护的力度,新框架对于个人信息保护进行详细整理。帮助政企机构构建数据安全体系,数据风险评估,二阶段梳理企业业务流程,处理数据流和数据脉络,构建为全方位防护做准备的风险建模。第二,数据安全能力覆盖维度更多,此次将基础设施安全完全纳入网络安全体系中来。在建设企业数据安全体系时,基于多年体系建设经验梳理数据,便于应对和管理IT系统中产生的非常细微度的访问行为。第三,聚焦信息保护,全方位覆盖数据的完整性、可用性,隐私保护等内容,做到形成安全结算、信托保护,形成了可持续的的检测与响应机制。

小米在2012年便成立了专业信息安全团队,2014年成立安全与隐私委员会,紧接着于2016年成为国内首家通过TrustArc隐私认证的企业,2018年小米开启欧盟GDPR准备工作,并顺利通过了外部咨询公司的评估。2019年,小米获得了三项国际ISO安全与隐私认证,并发布了MIUI安全与隐私白皮书。去年上半年小米隐私品牌正式发布,预示着其隐私保护工作进入新的阶段。

嘶吼:结合小米生态的发展与建设,小米在技术上做了哪些储备和布局?

小米集团副总裁、安全与隐私委员会主席崔宝秋:首先,我觉得每家企业都应先提升对安全和隐私的重视程度,在过去的几年中,国内互联网企业、AI企业、智能设备企业、大数据公司对于隐私保护的重视程度远远不够。我们特别呼吁,不论是信息安全还是隐私保护都应重视起来,安全意识、隐私保护意识一直是我们强调并为之持续努力的方向。第二是技术与管理,小米未来要将技术、合规、管理流程等内容做专做透,最终将安全意识深深刻入企业员工的内心,再难花费再多的时间我们会一直坚持做下去。近些年,政企机构都在推动信息安全保护法的快速落地,企业之间彼此影响着。

嘶吼:小米集团在生态链公司之间是如何在网络安全信息与隐私保护上相互协同的呢?

小米安全与隐私委员会:首先,应完善并统一各个生态链公司的IoT安全规范和制度,并且对应相同的培训机制,也会同步给各家生态链公司。

第二,光靠规范和培训肯定也是远远不够的,统一的技术解决方案包括与之对应的已内置安全芯片的通讯模组、SDK、对应IoT的云服务等,所有的生态链公司都是在这一套基础的技术框架上进行开发,我们把安全的技术、标准、通讯协议均封装到技术解决方案中,尽最大可能减少不同公司间网络安全的差异化。

第三,每一款生态链产品上线前针对安全和隐私的评估,以黑客的角度模拟产品实际应用场景进行渗透测试、漏洞检测,反复测试其安全性能。通过调研统计他们分别采集了哪些隐私数据,进行严格控制。通过这些严格的筛选之后才被允许进行内测,最终才能在小米商城、有品等商城上市。上市后,实时对产品进行漏洞检测,小米的IoT安全实验室将产品实时连接至检测设备上,实施7×24小时的监控和漏洞检测,以及面向全球的安全漏洞和隐私漏洞的奖励计划,多维度保障IoT产品的安全。我们希望在这之中起到一个强调个人信息与隐私保护重要性的角色,为行业提供最佳案例参考,做好自己,影响周边。

数字化转型会给未来个人信息保护带来哪些变化?

对比国内外个人信息保护法规的惩罚力度:

· 《草案》第七章规定惩罚金额为五千万元以下或者上一年度营业额5%以下罚款;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款;

· GDPR规定为2000万欧元的行政罚款或上一财政年度全球营业额的4%,两者以较高者为准。

嘶吼:十四五数字化转型使得政企组织在完善数据安全平台建设时,都有哪些变化?

奇安信安全专家:《个人信息保护法(草案)》体现我国法制层面要求是非常严苛的,各个国家对于同等内容的处罚力度很大,预计未来会出现大的爆发点。数字化转型进程中,变化主要为两类,一方面数据会集中存放:可提供标准化的数据安全管理服务、平台;可通过数据即服务(DaaS)等方式,数据安全与数据服务结合。另一方面,数据共享交换更频繁:可使用隐私计算,提供隐私及数据安全;共享交换之后,责任划分需求会越来越旺盛,数据泄露等责任划分。

嘶吼:数字化转型期小米对于未来隐私保护有什么计划?

小米安全与隐私委员会:小米集团计划隐私保护方向持续发力,因为网络安全和隐私保护是两个相伴相生的话题,付出99.9%的努力,0.1%的失误就会前功尽弃。所以,这方面有很多技术手段和管理手段,未来会在技术上做更多的研究,因为当今大数据技术、数据科学、数据驱动和数据智能,AI带来的各类新挑战,所见是否还是所得?企业在不断积累技术和人才,招聘大量的安全人员、安全研究者、隐私保护工作者、资深法务等,进行政策法规的解读,以及安全解决方案的调整。

从管理的角度,过去一些年在信息安全隐私保护上大家讲的更多的是七分管理,三分技术,但是在今天这个信息化时代、数据时代、智能的时代,则是:三分管理,七分技术。管理对小米这家企业非常重要,小米不仅有自己的手机、音箱、电视、电脑、路由器等等一系列硬件产品和众多互联网产品,形成了生态链,小米200多家生态链企业都在致力于打造各种各样的智能设备与互联网服务。所以,小米的安全与隐私边界在无限的延展。因此,如何管理这样形态的企业,也是亟需面临的挑战之一。不仅将小米丰富的产品线管好,还有小米生态链的兄弟企业:内部流程、产品、数据治理机制,乃至他们的技术管控都在考虑范围之中。

总结

《个人信息保护法(草案)》在借鉴了国际成熟经验和信息保护原则的基础上,扩大了个人信息保护范围,并针对个人信息处理设置了关键概念和处理原则。将之前的相关法规和标准的实施经验进一步上升为法律规范,不论从制度建设、惩处力度等多方面有创新举措。与此同时,赋予了相关部门管理监督的广泛权力,由网信办负责协调各部门对于个人信息的保护与管理。不仅完善了我国信息保护体系,还促进了国际之间交流与平等合作。期待不久的将来,个人信息保护法的正式发布,推动着我国与国际间个人信息保护规则、标准的互认,也促进我国数字经济的良性发展。

如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论