数据安全,GDPR

Posted by shentanli on August 08, 2021 ·

我们知道数据安全的生命周期:产生、收集、使用、存储、销毁。

其实每个环节需要关注的问题不止表面这些:

  • 数据的产生首先是业务需要,那么得了解业务需求,才会知道是否是符合最小化收集原则,然后是定义、格式和规则,表示着数据字段、形式,当然数据设计也会包含着部分内容,接下来是数据分级,数据分类分级是网安法中特别强调的,在最近落地的数据安全法中也有,有了分类分级,才会知道哪些数据可以披露,哪些数据该采取何种保护措施;

  • 数据收集:我们一直关心的是获得用户的知情同意,除此,还有元数据的管理、测试数据管理、变更管理;

  • 移动和发布:主数据管理、系统性能测量、数据安全、提取转换和装载、数据质量评估

  • 使用和维护:监控,消耗(分析、报告和操作),主数据管理,数据恢复,

  • 归档:存储管理,业务连续性计划,备份和恢复,数据保护

  • 销毁:跟踪和报告、介质管理、数据处理

在GDPR,也即通用数据保护条例中,有8项数据主体权利,数据控制者/处理者都应该满足数据主体的这些权利:

1.知情权 (Right to be Informed)

向数据主体收集信息时,控制者需要向数据主体提供:

  • 控制者及法定代表人、数据保护官(DPO)的身份、联系方式。
  • 个人数据的种类。
  • 处理个人数据的目的和法律依据(GDPR规定了六种法律依据,分别是数据主体同意、法定义务、合同义务、保护数据主体或他人的核心利益、公共利益、数据控制者或第三方的合法利益,至少需要具备其中的一种);
  • 数据是否向第三者或第三国转移、接收者是谁。
  • 存储期限或标准。
  • 保护措施。
  • 声明数据主体有权访问、更正、删除个人数据,以及限制、拒绝、撤销同意的权利。
  • 向监管机构投诉等权利。
  • 提供个人数据对于法律或合同的必要性,数据主体是否有义务提供个人数据,或者不提供此类数据可能造成的影响,如不能处理交易等。

2.访问权 (Right of access)

数据主体有权获得如下信息:

  • 确认其个人数据是否被处理、处理的目的(用途)、数据类别、存储期限或标准。
  • 权利信息(更正、删除、限制、拒绝的权利)。
  • 个人数据的副本。

3.更正权 (Right to rectification)

4.删除权 (或”被遗忘权”,Right to erasure, or “right to be forgotten”)

5.限制处理权 (Right to restriction of processing)

在特定场景下,数据主体有权要求数据控制者限制对他的个人数据的使用。在数据主体认为其个人数据还需要保留,但数据控制者不得使用时,可提出限制处理请求。典型场景:

  • 数据不准确:某用户发现自己的燃气费自动扣款金额不对,要求暂停自动扣款,待核实后再决定是否恢复。
  • 处理数据的行为没有法律依据,或者使用了非法的手段。
  • 数据虽然已不再需要用于原来的目的,但有可能需要作为法律证据保留,这时用户可要求限制处理,但并不删除。
  • 处理数据的法律依据是为了公共利益,或数据控制者及第三方的合法利益。

6.可携带权 (或迁移权,Right to data portability)

  • 数据主体有权要求将自己的数据,转移到另一家数据控制者,数据控制者应当配合。 一个典型的场景:博客的主人,有权将自己发布的博文,搬家到另外一家服务提供商。

7.反对权 (Right to object)

8.不受制于自动化决策(含画像)

  • 数据主体拥有不受制于自动化决策的权利,因为自动化决策算法本身过于复杂,比如神经网络,对大众来说不够透明也难以理解,用户不清楚自己的数据是如何被处理的,决策的结果可能影响到自己的基本权利和自由。比如某用户通过在线申请某银行的信用卡时,该银行于用户画像自动做出驳回信用卡申请的动作,那么该用户有权反对、投诉这一决策,并要求人工干预。

这几天还看到一篇文章《GDPR下涉欧企业的员工个人数据合规管理》,GDPR堪称是最严的个人数据保护法,该法不仅适用于在欧企业,还有涉欧企业,而涉欧也要分两种:欧盟境内存在业务机构的企业和欧盟境内未设立业务机构的企业。对于处理的个人数据,员工数据也在其中。

1.在欧洲境内存在业务机构背景下实施个人数据处理行为,无论处理是否发生在欧盟境内:这里的业务机构如何理解——通过稳定的安排有效且真实地开展经营活动;个人数据主体范围多广——与是否是欧盟公民、是否长期在欧盟境内、处理活动是否在欧盟境内无关(其实这里有个疑问,短期在欧盟,登陆处理中国人数据的所属中国的系统,还要受到GDPR管辖么???如果有读者了解,麻烦告知,谢谢!);在业务机构活动的背景下实施的个人数据处理行为——如何界定,按照已处罚的案例考虑的是业务结构与数据处理者之间是否存在”密不可分”的关系。

2.在欧盟未设立业务机构的企业:涉及向欧盟境内的数据主体提供商品或服务,或者涉及对数据主体发生在欧盟境内的行为进行监控——与数据主体国籍无关、与个人数据处理行为是否在欧盟斤境内无关,只取决于数据主体是否在欧盟境内。

除了保障以上数据主体权利的要求,还有其他数据合规要求:

a. 确保数据处理过程安全性义务:按照Data Protection by Design/Default的理念,从设备/制度设计以及默认设置的根子上贯彻数据保护措施;

b. 全面记载处理活动的义务:以书面形式(包括电子形式)留存处理活动的记录,真实、准确、及时的记录数据处理过程;

c. 企业知道数据泄漏72h内向监管部门报告,包括数据种类、大概数量、可能导致的结果、降低负面影响可采取的措施等;

d. 任命数据保护官;

e. 个人数据从欧盟向第三国或国际组织传输有严格限制,加强欧盟本地化管理,制定有约束力的企业规则。

另外,在6.21,欧洲数据保护委员会EDPB发布了数据传输补充措施的最终建议。该建议规定了将个人数据传输到欧洲经济区(EEA)外的程序,该程序须由各组织遵循,以确保符合”Schrems II”判决。

1.尽管实践经验等主观因素可能在评估转移的充分性方面发挥着作用,但最终建议谨慎地限制了组织进行这种更广泛的分析。除了审查适用于接收国的法律框架外,组织还应考虑”相关、客观、可靠、可验证和公开可用或以其他方式可访问”的信息,这些信息表明传输的数据是否会在实践中得到适当保护。 “组织的评估应当记录于报告中”,该报告应包括:1)第三国与数据传输相关的法律和实践;2)进行评估的程序;3)评估及后续检查的日期。建议书指出,欧盟的数据保护监管机构或司法当局可能会要求组织提供这类报告。

2.传输数据的敏感性需要考虑,特别提到是GDPR中第9,10条定义的敏感数据,传输的数据类别及敏感程度与风险评估和措施的适当性相关。

第32条的一般安全要求规定控制者和处理者在实施适当的安全措施时应当”考虑现有技术、实施成本和处理的性质、范围、背景和目的,以及对自然人的权利和自由可能造成的风险”。

虽然加密是数据保护的措施,但前提是加密功能足够强大且接收国的公共当局无法访问加密密钥。

因此,加密须被视为一种暂时的解决方案:隐含要求更短的保留期,防止随着推移加密算法被破解的风险。另外,不建议仅使用加密技术,可应用基于查表机制的数据转换。

另外,关于补救问题,EDPB提供一项新的建议措施:组织可以考虑实施合同条款,以允许数据主体在数据导入者违反传输工具中的承诺、披露数据的情况下获得数据导入者的赔偿,或者帮助解决数据主体在第三国法院主张权利时可能面临的一些困难。

Updating……

参考:

  1. 数据主体的8项权利
  2. GDPR下涉欧企业的员工个人数据合规管理