取消
清空记录
历史记录
清空记录
历史记录
1. 近年来,随着网络的发展,信息化的普及,窃取他(tā)人隐私,**他(tā)人隐私的法规现象时有(yǒu)发生,那什么是隐私风险?隐私风险是指个人遇到的与其个人数据处理(lǐ)相关问题的可(kě)能(néng)性,以及这些问题一旦发生所带来的影响。隐私风险包括但不限于缺乏适当的技术性保障措施、社交媒體(tǐ)攻击、移动恶意软件、第三方非授权访问、由于不当配置造成的疏忽、未按时更新(xīn)的安全软件等。本文(wén)借鉴了一些文(wén)章和参考了一些资料,筆(bǐ)者将分(fēn)几个层面对隐私风险管理(lǐ)进行阐述,本文(wén)先回顾下全球隐私保护立法趋势,再讨论隐私风险管理(lǐ)的必要性,我们将浅析 ISO27701隐私风险管理(lǐ)标准。
2. 回顾下全球隐私保护立法趋势
当今社会数据滥用(yòng)、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈现爆发趋势。在此背景下,全球各个國(guó)家纷纷颁布相关法律法规,对数据安全与隐私保护相关问题进行严格的规范与引导。比较重点的几个隐私法律,如:
3、 隐私风险管理(lǐ)的必要性
一般情况下,导致隐私保护不合规的原因主要表现在几方面:
隐私保护不合规造成的后果:
所以这就體(tǐ)现了隐私风险管理(lǐ)的价值:
4. 隐私风险管理(lǐ)标准参考-浅析ISO27701
聊到隐私就不得不提及一个很(hěn)重要的标准:ISO27701,那什么是ISO27701?
ISO 27701 源自 ISO/IEC 27552,為(wèi)建立、实现、维护和持续改进隐私信息管理(lǐ)系统 (PIMS) 提供具體(tǐ)要求和指南,令 PIMS 作為(wèi) ISO 27001 中定义的灵活信息安全管理(lǐ)系统 (ISMS) 的扩展,在信息安全的基础上将处理(lǐ) PII 所需的隐私保护纳入考虑。与 ISO 27001 标准类似, ISO 27701 不期望组织机构在所有(yǒu)情况下采纳每一条控制。相反,该标准要求组织机构理(lǐ)解自身 PII 处理(lǐ)的具體(tǐ)上下文(wén),以适合其处理(lǐ)活动的方式调整特定控制集和与之相关的实现。
PII:个人可(kě)识别身份信息,指 任何可(kě)以识别PII主體(tǐ)的信息或直接或间接与PII主體(tǐ)相关的信息
PIMS:隐私信息管理(lǐ)體(tǐ)系
PII控制者的customer:与PII控制者有(yǒu)合约关系的组织,可(kě)以是共同控制者
PII处理(lǐ)者的customer:与PII处理(lǐ)者有(yǒu)合约关系的PII处理(lǐ)者控制者和处理(lǐ)者。这两个术语在很(hěn)多(duō)隐私法律和规定中都能(néng)见到,包括 GDPR。通常,“控制者” 是指示為(wèi)什么要收集和处理(lǐ) PII 的实體(tǐ),“处理(lǐ)者” 是**该控制者负责处理(lǐ)此数据的另一个法律实體(tǐ)(非员工)。
新(xīn)发布的标准适用(yòng)于 PII 控制者(及联合控制者)和处理(lǐ)者(包括下级处理(lǐ)者),无论其运营的行业和司法辖區(qū),也包括到 GDPR 和 SO/IEC 29100、ISO/IEC 27018 及 ISO/IEC 29151 安全框架的映射。预计 ISO 27701 要求还将映射到其他(tā)隐私法律,如《2018 加州消费者隐私法案》(CCPA)、《金融服務(wù)现代化法案》(GLBA) 和《健康保险流通与责任法案》(HIPAA) 等,通过提供通用(yòng)的合规标准帮助组织机构更好地符合这些监管要求。
下面我们就就来看看适用(yòng)于控制者和处理(lǐ)者的关键 ISO 27701 要求。
适用(yòng)于控制者和处理(lǐ)者的要求
保密性:经授权访问 PII 的个人必须履行保密协议。
分(fēn)析风险:必须进行隐私风险评估以识别 PII 处理(lǐ)风险。
监管:组织机构必须指定负责开发、实现、维护和监视其治理(lǐ)及隐私项目的个人。
培训:可(kě)以访问 PII 的人员需经过隐私意识培训。
内部过程:组织机构必须為(wèi)应对 PII 泄露事件而采纳各种策略和规程,比如事件响应计划。
记录保存:ISO 27701 要求组织机构保留所有(yǒu) PII 处理(lǐ)活动的记录,包括 PII 在司法辖區(qū)间转移和向第三方披露等。
特定于控制者的要求
隐私通告:组织机构必须提供包含 PII 收集、使用(yòng)和处理(lǐ)相关具體(tǐ)信息的隐私政策。
处理(lǐ)者合同要求:组织机构必须与其处理(lǐ)者签订书面合同,约定具體(tǐ)事项,比如保护 PII、限制处理(lǐ)操作*可(kě)在 PII 特定用(yòng)途范围内,以及提供 PII 泄露通报。
个**益:ISO 27701 要求组织机构实现各种机制,赋予个人访问、修改和删除其 PII,以及反对或限制 PII 处理(lǐ)等权益。
设计隐私与默认隐私:组织机构必须采取措施实现设计隐私和默认隐私原则。
特定于处理(lǐ)者的要求
处理(lǐ)限制:组织机构必须*按控制者或处理(lǐ)者(取决于客户的角色)的说明处理(lǐ) PII。
辅助个**益:ISO 27701 要求处理(lǐ)者实现帮助客户遵从个**益的种种措施。
转移与披露:处理(lǐ)者必须于 PII 在司法辖區(qū)间转移或任何预期变化发生前通告客户。
分(fēn)包商(shāng):ISO 27701 要求处理(lǐ)者*可(kě)雇佣一家分(fēn)包商(shāng)按照客户合同的条款处理(lǐ) PII。ISO 27701的目标是通过对于隐私保护的控制实现对ISMS进行补充,使企业建立PIMS,实现有(yǒu)效的隐私管理(lǐ),从而使企业获益。
ISO 27701与各标准之间的关系
a) ISO 27701是ISO 27001和ISO 27002在隐私方面的扩展。
b) ISO 27002為(wèi)ISO 27001提供风险处置具體(tǐ)的控制目标和控制措施。
c) ISO 29100、ISO 27018、ISO 29151均為(wèi)隐私方面的标准,有(yǒu)不同的侧重点,与ISO 27701互為(wèi)补充。
d) ISO 27001帮助企业建立ISMS,通过有(yǒu)效的风险管理(lǐ)来保护和管理(lǐ)组织的所有(yǒu)信息,从数据安全方面满足GDPR的部分(fēn)要求。
e) ISO 27701加入了隐私保护的额外要求,更**地覆盖了GDPR的要求。
无论组织机构的规模大小(xiǎo),不管身為(wèi) PII 控制者还是处理(lǐ)者,公司企业都应考虑获取 ISO 27701 认证,要么是自身,要么要求供应商(shāng)获得。对处理(lǐ)敏感或大量 PII 的处理(lǐ)者、下级处理(lǐ)者和联合控制者而言尤其如此。
无论组织机构的规模大小(xiǎo),不管身為(wèi) PII 控制者还是处理(lǐ)者,公司企业都应考虑获取 ISO 27701 认证,要么是自身,要么要求供应商(shāng)获得。对处理(lǐ)敏感或大量 PII 的处理(lǐ)者、下级处理(lǐ)者和联合控制者而言尤其如此。
相关新(xīn)闻