取消
清空記錄
曆史記錄
清空記錄
曆史記錄
1. 近年(nián)來,随着網絡的(de)發展,信息化的(de)普及,竊取他人隐私,**他人隐私的(de)法規現象時有發生,那什麽是隐私風險?隐私風險是指個人遇到的(de)與其個人數據處理(lǐ)相關問題的(de)可(kě)能性,以及這些問題一(yī)旦發生所帶來的(de)影響。隐私風險包括但不限于缺乏适當的(de)技術性保障措施、社交媒體攻擊、移動惡意軟件、第三方非授權訪問、由于不當配置造成的(de)疏忽、未按時更新的(de)安全軟件等。本文借鑒了一(yī)些文章(zhāng)和(hé)參考了一(yī)些資料,筆(bǐ)者将分幾個層面對隐私風險管理(lǐ)進行闡述,本文先回顧下全球隐私保護立法趨勢,再讨論隐私風險管理(lǐ)的(de)必要性,我們将淺析 ISO27701隐私風險管理(lǐ)标準。
2. 回顧下全球隐私保護立法趨勢
當今社會數據濫用、數據竊取、隐私洩露以及“大數據殺熟”等數據安全問題呈現爆發趨勢。在此背景下,全球各個國家紛紛頒布相關法律法規,對數據安全與隐私保護相關問題進行嚴格的(de)規範與引導。比較重點的(de)幾個隐私法律,如(rú):
3、 隐私風險管理(lǐ)的(de)必要性
一(yī)般情況下,導緻隐私保護不合規的(de)原因主要表現在幾方面:
隐私保護不合規造成的(de)後果:
所以這就體現了隐私風險管理(lǐ)的(de)價值:
4. 隐私風險管理(lǐ)标準參考-淺析ISO27701
聊到隐私就不得不提及一(yī)個很重要的(de)标準:ISO27701,那什麽是ISO27701?
ISO 27701 源自(zì) ISO/IEC 27552,為(wèi)建立、實現、維護和(hé)持續改進隐私信息管理(lǐ)系統 (PIMS) 提供具體要求和(hé)指南,令 PIMS 作為(wèi) ISO 27001 中定義的(de)靈活信息安全管理(lǐ)系統 (ISMS) 的(de)擴展,在信息安全的(de)基礎上将處理(lǐ) PII 所需的(de)隐私保護納入考慮。與 ISO 27001 标準類似, ISO 27701 不期望組織機構在所有情況下采納每一(yī)條控制。相反,該标準要求組織機構理(lǐ)解自(zì)身 PII 處理(lǐ)的(de)具體上下文,以适合其處理(lǐ)活動的(de)方式調整特定控制集和(hé)與之相關的(de)實現。
PII:個人可(kě)識别身份信息,指 任何可(kě)以識别PII主體的(de)信息或直接或間接與PII主體相關的(de)信息
PIMS:隐私信息管理(lǐ)體系
PII控制者的(de)customer:與PII控制者有合約關系的(de)組織,可(kě)以是共同控制者
PII處理(lǐ)者的(de)customer:與PII處理(lǐ)者有合約關系的(de)PII處理(lǐ)者控制者和(hé)處理(lǐ)者。這兩個術語在很多隐私法律和(hé)規定中都能見到,包括 GDPR。通常,“控制者” 是指示為(wèi)什麽要收集和(hé)處理(lǐ) PII 的(de)實體,“處理(lǐ)者” 是**該控制者負責處理(lǐ)此數據的(de)另一(yī)個法律實體(非員工)。
新發布的(de)标準适用于 PII 控制者(及聯合控制者)和(hé)處理(lǐ)者(包括下級處理(lǐ)者),無論其運營的(de)行業和(hé)司法轄區,也包括到 GDPR 和(hé) SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的(de)映射。預計 ISO 27701 要求還将映射到其他隐私法律,如(rú)《2018 加州消費者隐私法案》(CCPA)、《金融服務現代化法案》(GLBA) 和(hé)《健康保險流通與責任法案》(HIPAA) 等,通過提供通用的(de)合規标準幫助組織機構更好地(dì)符合這些監管要求。
下面我們就就來看看适用于控制者和(hé)處理(lǐ)者的(de)關鍵 ISO 27701 要求。
适用于控制者和(hé)處理(lǐ)者的(de)要求
保密性:經授權訪問 PII 的(de)個人必須履行保密協議。
分析風險:必須進行隐私風險評估以識别 PII 處理(lǐ)風險。
監管:組織機構必須指定負責開發、實現、維護和(hé)監視(shì)其治理(lǐ)及隐私項目的(de)個人。
培訓:可(kě)以訪問 PII 的(de)人員需經過隐私意識培訓。
內(nèi)部過程:組織機構必須為(wèi)應對 PII 洩露事件而采納各種策略和(hé)規程,比如(rú)事件響應計劃。
記錄保存:ISO 27701 要求組織機構保留所有 PII 處理(lǐ)活動的(de)記錄,包括 PII 在司法轄區間轉移和(hé)向第三方披露等。
特定于控制者的(de)要求
隐私通告:組織機構必須提供包含 PII 收集、使用和(hé)處理(lǐ)相關具體信息的(de)隐私政策。
處理(lǐ)者合同要求:組織機構必須與其處理(lǐ)者簽訂書面合同,約定具體事項,比如(rú)保護 PII、限制處理(lǐ)操作*可(kě)在 PII 特定用途範圍內(nèi),以及提供 PII 洩露通報。
個**益:ISO 27701 要求組織機構實現各種機制,賦予個人訪問、修改和(hé)删除其 PII,以及反對或限制 PII 處理(lǐ)等權益。
設計隐私與默認隐私:組織機構必須采取措施實現設計隐私和(hé)默認隐私原則。
特定于處理(lǐ)者的(de)要求
處理(lǐ)限制:組織機構必須*按控制者或處理(lǐ)者(取決于客戶的(de)角色)的(de)說明處理(lǐ) PII。
輔助個**益:ISO 27701 要求處理(lǐ)者實現幫助客戶遵從個**益的(de)種種措施。
轉移與披露:處理(lǐ)者必須于 PII 在司法轄區間轉移或任何預期變化發生前通告客戶。
分包商:ISO 27701 要求處理(lǐ)者*可(kě)雇傭一(yī)家分包商按照客戶合同的(de)條款處理(lǐ) PII。ISO 27701的(de)目标是通過對于隐私保護的(de)控制實現對ISMS進行補充,使企業建立PIMS,實現有效的(de)隐私管理(lǐ),從而使企業獲益。
ISO 27701與各标準之間的(de)關系
a) ISO 27701是ISO 27001和(hé)ISO 27002在隐私方面的(de)擴展。
b) ISO 27002為(wèi)ISO 27001提供風險處置具體的(de)控制目标和(hé)控制措施。
c) ISO 29100、ISO 27018、ISO 29151均為(wèi)隐私方面的(de)标準,有不同的(de)側重點,與ISO 27701互為(wèi)補充。
d) ISO 27001幫助企業建立ISMS,通過有效的(de)風險管理(lǐ)來保護和(hé)管理(lǐ)組織的(de)所有信息,從數據安全方面滿足GDPR的(de)部分要求。
e) ISO 27701加入了隐私保護的(de)額外要求,更**地(dì)覆蓋了GDPR的(de)要求。
無論組織機構的(de)規模大小,不管身為(wèi) PII 控制者還是處理(lǐ)者,公司企業都應考慮獲取 ISO 27701 認證,要麽是自(zì)身,要麽要求供應商獲得。對處理(lǐ)敏感或大量 PII 的(de)處理(lǐ)者、下級處理(lǐ)者和(hé)聯合控制者而言尤其如(rú)此。
無論組織機構的(de)規模大小,不管身為(wèi) PII 控制者還是處理(lǐ)者,公司企業都應考慮獲取 ISO 27701 認證,要麽是自(zì)身,要麽要求供應商獲得。對處理(lǐ)敏感或大量 PII 的(de)處理(lǐ)者、下級處理(lǐ)者和(hé)聯合控制者而言尤其如(rú)此。
相關新聞