|
信通院:云上數(shù)據(jù)保護(hù)應(yīng)遵循六大原則
為了進(jìn)一步促進(jìn)云計(jì)算創(chuàng)新發(fā)展��,建立云計(jì)算信任體系,規(guī)范云計(jì)算行業(yè)�����,促進(jìn)市場(chǎng)發(fā)展���,提升產(chǎn)業(yè)技術(shù)和服務(wù)水平。由中國(guó)信息通信研究院��、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)主辦的“2018可信云大會(huì)”于2018年8月14日-15日在北京國(guó)際會(huì)議中心召開(kāi)����。
隨如今�,云計(jì)算已經(jīng)發(fā)展了10余個(gè)年頭��,并逐漸形成龐大的產(chǎn)業(yè)規(guī)模���,企業(yè)“上”云也并非難事����。但不斷出現(xiàn)的信息數(shù)據(jù)泄露事件給火爆的云計(jì)算界敲響了警鐘����,企業(yè)開(kāi)始逐漸意識(shí)到云計(jì)算的風(fēng)險(xiǎn)性,明白部署哪一種云都有可能受到黑客攻擊���。雖然云計(jì)算可帶來(lái)顯著的優(yōu)勢(shì)����,但潛在風(fēng)險(xiǎn)也不容忽視����。2018可信云大會(huì)邀請(qǐng)了行業(yè)內(nèi)多位大咖與權(quán)重人物共同探索可信云與云計(jì)算的創(chuàng)新發(fā)展新路徑。會(huì)上�����,中國(guó)信息通信研究院云大所云計(jì)算部風(fēng)險(xiǎn)管理主管郭雪介紹了由中國(guó)信息通信研究院牽頭發(fā)布的《云服務(wù)商個(gè)人數(shù)據(jù)保護(hù)指南》,以下為演講全文:
下面由我為大家對(duì)云服務(wù)商個(gè)人數(shù)據(jù)保護(hù)指南做介紹��,首先在此非常感謝這個(gè)白皮書(shū)是由中國(guó)信通院牽頭聯(lián)合了騰訊�����、華為��、京東���、中東電信在內(nèi)十家云服務(wù)商聯(lián)合定制的指南��,為什么要做這個(gè)指南�����?其實(shí)是跟全球的市場(chǎng)環(huán)境有非常大的關(guān)系�,全球的環(huán)境可以看到����,現(xiàn)在有90多個(gè)地區(qū)已經(jīng)出臺(tái)了相關(guān)的個(gè)人數(shù)據(jù)保護(hù)的法律法規(guī),新加坡的13年的個(gè)人信息保護(hù)法���,我國(guó)去年的網(wǎng)絡(luò)安全法關(guān)注度非常高�����,里面有非常多個(gè)人數(shù)據(jù)的要求�����,像今年關(guān)注度非常高的GDPR對(duì)大家造成了非常大的影響�。各國(guó)出臺(tái)了數(shù)據(jù)保護(hù)個(gè)人信息保護(hù)的相關(guān)法律之后����,對(duì)我國(guó)云服務(wù)商是有影響的,對(duì)云服務(wù)商來(lái)說(shuō)如何開(kāi)展個(gè)人業(yè)務(wù)和數(shù)據(jù)都是非常重要的工作���。這里舉了一個(gè)例子�����,就是關(guān)注度非常高的GDPR��,為什么關(guān)注度這么高����?一方面可能是它上面的要求非常嚴(yán)苛,同時(shí)它也有兩千萬(wàn)的巨額罰單����。除此之外它的影響范圍非常廣,這是它的重要原因���,也就是說(shuō)它能影響國(guó)內(nèi)非常多的云服務(wù)商�,我列了4個(gè)場(chǎng)景���,如果過(guò)云服務(wù)在歐盟有分支機(jī)構(gòu)�,面向歐盟提供服務(wù)有一些注冊(cè)信息����,有些用戶購(gòu)買(mǎi)資源的信息都要遵循GDPR的要求,除此之外云上用戶涉及到個(gè)人信息也要滿足GDPR的要求�����。
它的涉及面非常廣�,所以關(guān)注度非常高,這相當(dāng)于一方面原因�,各國(guó)都有一些個(gè)人數(shù)據(jù)保護(hù)的法律法規(guī)的要求。
另一方面云上的數(shù)據(jù)安全確實(shí)得到了大家的關(guān)注�,而且這兩年數(shù)據(jù)安全比較多����,去年亞馬遜的事件�,今年facebook的事件都是關(guān)注度非常高的�����,如何保護(hù)云數(shù)據(jù)安全都是大家關(guān)注的點(diǎn)�。
在這個(gè)背景之下由中國(guó)信通院牽頭做云服務(wù)商個(gè)人數(shù)據(jù)保護(hù)指南,這個(gè)指南第一是梳理各個(gè)國(guó)家的保護(hù)要求��,同時(shí)梳理保護(hù)原則�,通過(guò)這個(gè)指南一方面提供云服務(wù)商個(gè)人數(shù)據(jù)保護(hù)能力,同時(shí)也是幫助云服務(wù)商順利開(kāi)展業(yè)務(wù)��。
這個(gè)指南最開(kāi)始解決的問(wèn)題是云上數(shù)據(jù)有哪些是最關(guān)鍵的�,哪些是重點(diǎn)要保護(hù)的數(shù)據(jù),云上數(shù)據(jù)分了四大類(lèi):
1����、云用戶自己存儲(chǔ)的數(shù)據(jù)。
2��、注冊(cè)信息����。
3�、衍生數(shù)據(jù)����,登陸日志,這三大類(lèi)在我們認(rèn)為是上的個(gè)人數(shù)據(jù)��。
4����、云服務(wù)商的信息,配置日志等等�。也就是說(shuō)前三大類(lèi)是重點(diǎn)研究的云服務(wù)商的個(gè)人數(shù)據(jù)。
各國(guó)的法律法規(guī)我們做了大概的梳理��,各國(guó)的法律法規(guī)有哪些要求���,我們列了中國(guó)�����、歐盟��、新加坡��、美國(guó)��、加拿大��、日本和韓國(guó)的��,發(fā)現(xiàn)各國(guó)的法律法規(guī)要求有些共性的地方都會(huì)強(qiáng)調(diào)數(shù)據(jù)主體的權(quán)利�����,特別強(qiáng)調(diào)知情權(quán)���、刪除權(quán)、糾正權(quán)都會(huì)提多數(shù)據(jù)保護(hù)的義務(wù)����,包括保護(hù)數(shù)據(jù)的完整性安全性,都提出了對(duì)數(shù)據(jù)跨境流動(dòng)的要求��,同時(shí)對(duì)數(shù)據(jù)泄露����、披露做了要求,如何做泄露之后的披露�。初次致用我們分析了各國(guó)法律的特殊要求�,這個(gè)應(yīng)該是大家關(guān)注度比較高的���,每個(gè)國(guó)家的法律在數(shù)據(jù)保護(hù)方面有些特定的要求����,對(duì)于我國(guó)來(lái)說(shuō)比較熟����,我國(guó)一方面很強(qiáng)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施,強(qiáng)調(diào)重點(diǎn)行業(yè)數(shù)據(jù)如何保護(hù)��。另一方面有幾個(gè)具體的要求�,包括網(wǎng)絡(luò)日志要存儲(chǔ)不少于6個(gè)月這樣一個(gè)硬性的要求,同時(shí)有些場(chǎng)景要做真實(shí)信息的驗(yàn)證��,這我國(guó)《網(wǎng)絡(luò)安全法�����。
GDPR為什么關(guān)注度這么高��?由于覆蓋面比較高同時(shí)要求嚴(yán)格�����,還有一些特殊要求包括泄露之后72小時(shí)要向監(jiān)管機(jī)構(gòu)報(bào)告,同時(shí)巨額罰單是這個(gè)事情可高達(dá)兩千萬(wàn)����。同時(shí)新加坡、日本和韓國(guó)它的法律監(jiān)管要求也有一些特殊的要求�����,新加坡要求30天內(nèi)做出響應(yīng)��,韓國(guó)也有500萬(wàn)韓元的罰款��,為什么列了一些東南亞的法律的監(jiān)管要求����,可能也是跟國(guó)內(nèi)云服務(wù)商出海���,東南亞是重點(diǎn)的領(lǐng)域我們也比較關(guān)注東南亞的法律要求�。
全球的法律監(jiān)管的要求�,在國(guó)際和國(guó)內(nèi)數(shù)據(jù)保護(hù)的標(biāo)準(zhǔn)上面,國(guó)內(nèi)今年5月份出的個(gè)人信息安全規(guī)范關(guān)注度比較高����,從個(gè)人數(shù)據(jù)周期的角度��,數(shù)據(jù)收集��、保存��、使用���、共享、轉(zhuǎn)讓�、公開(kāi)披露幾個(gè)關(guān)鍵的環(huán)節(jié)做了規(guī)范的要求。中國(guó)信通院在去年也做了云服務(wù)商個(gè)人數(shù)據(jù)保護(hù)參考框架標(biāo)準(zhǔn)�����,梳理云服務(wù)商如何從技術(shù)角度保護(hù)云上的用戶數(shù)據(jù)��。國(guó)際上有27018和CISPIE也是關(guān)注度比較高的標(biāo)準(zhǔn)���。
在各國(guó)監(jiān)管法律的要求之下����,相關(guān)標(biāo)準(zhǔn)要求之下��,云上的數(shù)據(jù)保護(hù)應(yīng)該遵循哪些原則我們梳理了六大原則:
1、合法性原則����,在哪個(gè)國(guó)開(kāi)展業(yè)務(wù),滿足當(dāng)?shù)氐囊蟆?
2���、目的限制的原則�����,如果涉及到數(shù)據(jù)的處理要滿足數(shù)據(jù)限制�。
3���、質(zhì)量�,要保證準(zhǔn)確完整性����。
4����、公開(kāi)和知情原則要做數(shù)故披露。
5�����、安全性原則。
6��、原則劃分�,要有安全劃分。
數(shù)據(jù)分了三大類(lèi)����,對(duì)于云服務(wù)商來(lái)說(shuō)要分兩種場(chǎng)景,第一種場(chǎng)景針對(duì)云上的云用戶存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)�,云服務(wù)商來(lái)說(shuō)更多是以處理者的身份存在,它不涉及數(shù)據(jù)的收集��,所以云服務(wù)商應(yīng)該采用右邊部分的保護(hù)措施���,如果針對(duì)的個(gè)人數(shù)據(jù)是一些賬戶信息以及衍生數(shù)據(jù)��,云服務(wù)商可能涉及到數(shù)據(jù)收集和處理����,用左邊的數(shù)據(jù)保護(hù)的措施�����。把整個(gè)數(shù)據(jù)保護(hù)措施做一個(gè)完整的介紹。
第一種場(chǎng)景是云服務(wù)商會(huì)涉及到數(shù)據(jù)收集��、存儲(chǔ)�����、處理����、銷(xiāo)毀。也就是說(shuō)云服務(wù)商作為數(shù)據(jù)庫(kù)存存在應(yīng)該怎么做��?
首先應(yīng)該跨部門(mén)合作�����,安全尤其數(shù)據(jù)的保護(hù)問(wèn)題不光涉及安全部門(mén)�,包括法律部門(mén)、相關(guān)管理部門(mén)都應(yīng)該組建完整的團(tuán)隊(duì)�。
第二要有標(biāo)準(zhǔn)化的隱私協(xié)議,個(gè)人信息安全規(guī)范里面也提到了隱私聲明的范本���,由云服務(wù)商和用戶簽訂一個(gè)標(biāo)準(zhǔn)化的隱私聲明,向用戶聲明要收集你的哪些信息做哪些處理��,如果出現(xiàn)泄露應(yīng)該什么時(shí)候通知,通知誰(shuí)���。
第三要有個(gè)人數(shù)據(jù)的保護(hù)措施��,包括適用采用制度+人員+制度的三大方面提升數(shù)據(jù)隱私能力�����,貫穿產(chǎn)品設(shè)計(jì)��,提升數(shù)據(jù)安全的管理制度�,建議設(shè)立專業(yè)數(shù)據(jù)保護(hù)人員���,提升數(shù)據(jù)保護(hù)意識(shí)��,在整個(gè)周期做數(shù)據(jù)保護(hù)工作����,從收集開(kāi)始要明確得到用戶授權(quán)��、包括傳輸����、存儲(chǔ)過(guò)程中保護(hù)整個(gè)數(shù)據(jù)的安全�����。
第四塊需要規(guī)范第三方合作�,要簽訂一些規(guī)范的數(shù)據(jù)處理協(xié)議�����。第五方面是要開(kāi)展相關(guān)的評(píng)估���,通過(guò)第三方評(píng)估事前梳理一些數(shù)據(jù)的安全風(fēng)險(xiǎn)�����,這是整個(gè)云服務(wù)商作為數(shù)據(jù)控制者來(lái)說(shuō)可以采取的措施�。
第二種場(chǎng)景是剛才在右邊的架構(gòu)圖里����,云服務(wù)商不涉及到整個(gè)數(shù)據(jù)生命周期的收集、采集�����、存儲(chǔ)���、云服務(wù)商僅僅著重?cái)?shù)據(jù)處理者存在����,僅做數(shù)據(jù)處理的話��,云服務(wù)商應(yīng)該如何做����?
1、在我們看來(lái)應(yīng)該是簽訂標(biāo)準(zhǔn)化的數(shù)據(jù)處理協(xié)議��,數(shù)據(jù)處理協(xié)議應(yīng)該由云服務(wù)商和用戶或與其他的數(shù)據(jù)處理者簽署的數(shù)據(jù)處理協(xié)議����,簽訂標(biāo)準(zhǔn)化的數(shù)據(jù)處理協(xié)議,包括內(nèi)容有基礎(chǔ)信息的披露����、存儲(chǔ)的保密性安全性,明確用戶的權(quán)利�����,安全事件發(fā)生之后應(yīng)該如何通知��、監(jiān)控和審計(jì)的要求、賠償和保險(xiǎn)的要求���。
2��、數(shù)據(jù)處理的安全措施��,安全措施綠色標(biāo)記的是軟的措施包括管理制度��,設(shè)置專門(mén)的人�、要有些保密義務(wù)�����。右邊是硬的措施��,物理安全�、網(wǎng)絡(luò)安全和傳輸安全。
3���、規(guī)范第三方合作�,第三方合作涉及到其他的數(shù)據(jù)處理者��,要保證整個(gè)數(shù)據(jù)處理供應(yīng)鏈的安全,要簽訂涉及標(biāo)準(zhǔn)化的數(shù)據(jù)處理協(xié)議�����,與用戶���、與供應(yīng)商與其他的數(shù)據(jù)處理者簽訂標(biāo)準(zhǔn)化的數(shù)據(jù)處理協(xié)議。4�、可以為用戶提供一些數(shù)據(jù)安全服務(wù),幫助用戶保障業(yè)務(wù)數(shù)據(jù)的安全��,包括匿名�����、加密����、備份、定期測(cè)試的服務(wù)����;
5、可以開(kāi)展第三方評(píng)估���。
6�,通過(guò)借助保險(xiǎn)這種經(jīng)濟(jì)手段保障云上的數(shù)據(jù)安全,云上數(shù)據(jù)如果發(fā)生泄露丟失的案件���,由保險(xiǎn)公司直接給予經(jīng)濟(jì)賠償也是云服務(wù)商可以選擇的直接保護(hù)的措施���。
中國(guó)信通院可以說(shuō)在數(shù)據(jù)保護(hù)方面有些積累,去年推出了云服務(wù)商個(gè)人數(shù)據(jù)保護(hù)能力參考框架���,這個(gè)標(biāo)準(zhǔn)比較偏硬的技術(shù)方面的測(cè)試��,有涉及近百條指標(biāo)項(xiàng)目對(duì)云服務(wù)商進(jìn)行標(biāo)準(zhǔn)化的測(cè)試�,驗(yàn)證云服務(wù)商的能力�。我們也開(kāi)展云服務(wù)商數(shù)據(jù)處理協(xié)議參考框架,從一些文本的規(guī)范性��、協(xié)議規(guī)范性�、完整性上對(duì)云服務(wù)商做規(guī)范性的要求。這是中國(guó)信通院工作的積累���。我的介紹就是這樣�,謝謝大家��!
|
