2.3 GDPR
2.3.1 什么是GDPR
GDPR(General Data Protection Regulation,通用数据保护条例),是从2018年5月25日开始在欧盟区域实施的一项强制性的隐私法规。它作为用来保护欧盟公民个人隐私数据的一套规则,详细约束了企业应该如何收集、使用和处理欧盟公民个人数据的行为,违反的企业可能会面临最高两千万欧元或企业全球营收4%的处罚。另外,除了政府处罚,个人还可以提起集体诉讼,这意味着欧盟在对个人信息保护的管理上达到了前所未有的高度。
其实,欧洲议会在2016年就已经通过了GDPR,其包括11个章节和99个条款,取代了使用20多年的《第95/46/EC号保护个人在数据处理和自动移动中权利的指令》,更加偏重数据主体的权利,为欧盟公民提供了对个人信息控制和处理的权力,使得欧盟区域各国之间有了更明确的、统一的保护数据隐私的法律框架。GDPR 的推出极大地提升了信息服务的提供方与客户之间的信任,在过去的几年,包括谷歌、脸书在内的拥有大量个人信息的互联网信息服务公司,都开始更加慎重和严格对待数据处理和客户的隐私数据保护。
2.3.2 GDPR的重要意义
相对于之前的各类数据隐私保护法,GDPR有着更加广泛的使用范围和更加严格的要求。首先,GDPR 定义的一般数据更加广泛,任何可以确定和识别自然人的相关信息都被定义为个人资料信息,这不仅包括通用的物理个人身份、健康和生物信息,还包括虚拟的身份信息,如在线的身份识别标识、IP地址、位置数据、RFID标签等。其次,GDPR扩大了使用的范围。无论数据控制者或处理者的实际数据处理行为是否在欧盟境内,只要是为欧盟内的数据主体提供服务,GDPR 就会有效;GDPR 也更加尊重数据主体对数据使用的许可权,数据管理者无论以何种方式收集个人的资料数据,都需要通过声明或肯定行动,征求主体明确的、具体的、毫不含糊的许可,否则就是违规。GDPR 的范围还包括监控欧盟个人的行为,即便该监控行为由位于欧盟之外的数据管理者来完成。实际上,每个网站和应用程序都或多或少以某种方式跟踪访问者的网上活动。因此,GDPR 也扩大了数据的责任范围,包括数据控制者和处理者,以及任何代理人都有责任和义务来合规地、安全地处理数据。另外,GDPR 首次要求控制者在获知个人数据泄露可能产生风险的情况下上报监管机构的最长时限,以及需要上报的内容。最后,GDPR 增加和完善了数据主体的两个新权利:一个是完善了个人信息的被遗忘权,即个人有主动要求服务提供者删除一切个人相关数据的权利。另一个是个人数据可移动和可携带的权利,即个人拥有从数据控制者获得通用的、可读的数据,并无障碍地将数据提供给另一个数据控制者的权力。
可以看到,在GDPR生效后,企业必须重视和遵从法律赋予个人的数据信息权(获取、改正、限制处理、反对、删除、移动等),这对企业的管理和运营提出了新的要求,即需要多部门共同合作来提升隐私保护的水平。
2.3.3 云中进行GDPR合规的注意事项
1.数据安全
与传统环境的隐私保护相同,在云环境下也没有任何单一的工具、产品、平台、服务能够解决隐私保护的所有问题,虽然很多技术公司都在致力于推出自己的标准守则,但因为目前还没有通过国际公认的标准,所以没有办法通过第三方审计或评估来确保GDPR合规。在这种局面下,企业需要充分掌握哪类数据可以放在云中,以及在云上的各个层面怎样保障数据的安全,同时对重要、敏感或管制的信息进行隔离或增加安全保障措施。
2.数据位置
在云环境下,企业需要明确云服务商的数据所在区域,以及云服务商如何处理和传输租户的数据,其中充分了解数据所属的管辖区域尤为重要。当数据跨境时,数据控制者需要澄清数据采集、使用场景、使用目的等问题,保证遵从GDPR。
3.数据权限
所有数据的使用都需要在法律的允许下进行,数据主体需要明确数据的授权访问、采集和使用,但由于GDPR扩大了个人信息数据的范围,因此隐私保护的边界变得更加模糊。数据控制者需要能充分帮助个人定义谁有权限在云端访问企业的数据,什么样的数据可以被访问,确保云服务商限制有权限访问企业数据的员工、供应商的最小范围。这样做,有助于企业在面临调查时能够全面展示并提供数据被访问的权限全景图,同时还有助于企业根据具体授权场景来判断客户可以接受哪些数据被使用或采集,避免保护过度。
4.数据监管
云上数据的保护和管理涉及内外部的众多部门,包括外部的云服务商、SaaS合作伙伴,内部的产品、研发、运营、法务、合规等多个部门,数据的拥有主体、使用和处理主体在不同阶段也可能不尽相同,所以数据隐私安全会涉及技术、管理、流程等多方面的问题,故无论是加强技术保障还是通过完善内部管理和流程都不能完全保证合规。因此,在没有明确的合规清单时,企业需要从产品交互、IT架构、运营机制、合规审计等多个方面进行隐私与合规设计并且不断完善。当发生数据安全事件时,企业可以支持及时告警和信息收集,并记录解决问题的全过程。
2.3.4 GDPR的责任分担
从GDPR的角度来看,云服务商既是数据控制者又是数据处理者。
云服务商在收集并决定处理数据时,被认为是数据控制者。此时,他们除了考虑采用的技术和执行成本,还需要考虑采集数据的性质、范围、情境、目的,以及对个人的权力和自由不同程度的影响和风险等因素,并实施适当的技术和管理措施。其具体包括:可以支持个人数据使用别名;能够保持服务的保密性、完整性、可用性和弹性;在发生物理或技术事件时,能够及时恢复数据的可用性;具备定期评估技术和管理措施的有效性机制,以保证数据的安全性。
当企业使用云服务商的服务来处理最终用户的数据时,云服务商充当数据处理者的角色,企业是数据控制方。这时若出现数据的安全事件,云服务商必须有能力支撑企业及时了解具体情况,以便其进行上报。需要注意的是,云服务商作为数据处理方若想利用第三方合作伙伴的能力,也必须获得数据控制方的允许。
云服务商无论是作为数据控制者还是作为数据处理者,都必须保留数据处理的记录,以方便监督部门查询。另外,云平台作为数据控制者,在采集、处理、存储和使用数据时,能够通过合适的技术手段和管理措施,在默认条件下仅处理为实现目的所用的最小数据量,另外未经个人允许,数据不能被非特定的自然人访问。
在被要求时,云服务商也应该展示他们为GDPR合规所做的准备和所处的水平,并能够提供详细的服务定义和说明。云服务商需要明确数据在哪里,客户联系人是谁,以及如何帮助客户解决任何可能的问题,比如供应商中谁有权力访问个人数据等。
CISPE(Cloud Infrastructure Services Providers in Europe)是欧洲的云基础设施服务提供商联盟,为云服务商提供数据保护的行为准则认证。该行为准则以GDPR的合规要求为基础,可以帮助云服务商按照GDPR的标准进行数据的保护。该行为准则明确了数据保护责任人的责任,明确了云服务商和客户在云环境下按照GDPR应该承担的角色;也介绍了云服务商需要表明GDPR合规的承诺和帮助客户合规所需要采取的行动,同时客户可以利用云服务商提供的信息来建立自己的合规战略。另外,该行为准则向客户提供他们在制定合规性相关决策时所需的与数据保护相关的信息,客户使用此类信息可以充分了解自己的安全级别,同时要求云服务商在履行安全承诺时要公开所采取的具体步骤。
如果云服务商提供的云服务符合行为准则的要求,则可以为客户提供承诺,使其放心地使用云服务,而不用担心服务商是出于自己的营销、分析等目的而使用客户的隐私数据。CISPE行为准则还提供了一个数据隐私保护的合规框架,保证客户能在合规且可靠的环境中控制数据,这对客户能够更好地实现隐私保护的控制权会产生极大的帮助。
2.3.5 云服务商的GDPR传导路径
1.数据访问控制
GDPR第25条要求数据控制者应实施适当的技术和组织规范,确保在默认情况下仅处理每个特定目的所必需的数据,仅允许授权的管理员、用户和应用程序访问云服务资源和客户数据。
云服务商可以通过身份访问控制,为不同的任务定义不同的账户和角色,并指定完成每个任务所需的最小权限。通过身份访问控制,不仅可以保证特定角色访问特定的资源,还可以允许任何执行特定任务的用户能利用临时安全凭证访问资源。云服务商应当确保临时安全凭证是动态生成的,仅供短期使用,过期后不能重用。另外,对于重要数据的访问或操作,云服务商还应该提供多重验证机制,以提升安全性。
云服务商还应该对不同的人员设置不同级别的资源权限,实现对资源的精细访问,并且对运营配置进行策略性的强制遵从,并提供对密码的保存和管理的能力。地理位置限制是GDPR 的重要功能,云服务商可以对来自特定区域的用户进行细粒度的访问控制,如控制他们对Web应用程序和移动应用程序的访问。另外,管理来自不同来源的访问也是云服务商非常重要的能力,通过了解来自哪些移动应用的访问查看了哪些资源,会更加精准地做好敏感数据的访问控制。
2.监控与审计
GDPR第30条要求数据控制者保留对所有数据处理行为的记录,并明确哪些信息应当被保存和相关的要求。同时,它还要求数据控制者和数据处理者能够及时发出违规通知,这就需要云服务商具备监控各类日志记录的能力。
云服务商不仅需要记录管理和资产配置的信息,还需要记录这些资源是如何关联的,以及历史配置记录和变化,以便评估配置变化情况、账户关联情况、资源变动历史等,更好地做好数据行为的记录。此外,云服务商还应该具备持续监控账户访问行为和资源调用历史的能力,以识别哪些用户和账户调用了资源,并能实现自动化状态跟踪和控制,这些记录可以用于审计或事件排查等工作。云服务商还应该能够快速响应事件,并通知用户进行违规的补救,避免不合规带来的巨大经济损失。
云服务商在启用日志记录后,日志包含的内容应该足够丰富,如操作日志、流日志、访问日志、DNS日志等,并能对威胁进行自动化异常检测。同时,云服务商应该能进行集中式安全管理,避免分散的治理带来不平衡的流程管理,并提供资源使用的可见性,这样就可以进行进一步的安全趋势分析和优先级排序,以降低严重数据安全事件带来的影响。
3.数据保护
GDPR第32条要求企业必须采用适当的措施来确保具备合适的风险应对能力等,也必须防止出现未经授权的数据泄露或个人资料访问。
通过在各个层级加密可以极大地降低相关隐私数据被泄露的风险,因为用户如果没有正确的密钥,则无法读取数据。对于静态数据和传输中的数据也要进行加密,确保没有有效密钥的任何用户或应用程序都无法访问敏感数据。云服务商还应该提供可扩展的数据加密服务,以保护云上存储和处理数据的完整性。同时,为了保障系统与服务的可靠性,云服务商也需要做数据的备份容灾。
4.应急演练
应急演练的目的是评估响应流程,通过演练加强内部各个部门的协作,它是GDPR落地的必要条件,因为任何一个部门都无法涵盖GDPR合规的所有需求,所以云服务商应该为企业的数据安全事件响应机制提供支持,并加以评估测试。
2.3.6 云用户的GDPR挑战与影响
GDPR的颁布迫使企业要立即进行基于隐私保护的设计,而为了确保隐私设计的合理性,企业需要进行数据隐私影响的评估。在这个过程中,企业需要考虑评估和如何保护正在使用的数据,考虑所有数据存储库的位置、处理方式及是否会被第三方访问,还需要考虑涉及哪些国家,并保证它们的保护水平具有一致性。
在制订GDPR计划时,考虑到隐私合规和数据主体的权利,企业必须先评估风险再制定优先级。根据GDPR的要求,对比企业当前的隐私现状需要先评估风险和差距,再执行优先级清单,证明其合规性。在具体执行时,需要遵循如下几个步骤:
1)促使管理层了解隐私保护改造的重要性和紧迫性,并联合企业内所有需要使用客户信息的部门参与到设计中。
2)企业需要全面了解所保存和处理的欧盟公民数据及其风险,另外为了降低风险所采用的措施也可能会引入新风险。
3)在企业内部建立隐私保护组织或雇佣数据保护负责人,专职进行数据保护方面的管理和组织工作。
4)制订、改善、更新符合 GDPR 要求的数据保护计划,同时建立 GDPR 合规进度表来监控计划的落实。
5)寻求外部资源的支持,因为有一个遵从CISPE行为准则的可靠的服务商至关重要。
6)测试违规后的响应计划,确保能在72小时内完成违规报告,把损失降到最低,并持续监控和改进流程。
GDPR 强调企业从规划设计开始就应该做到安全,并把安全保护作为默认规则,这是因为隐私和安全是影响业务发展是否持续的重要因素。虽然GDPR还缺乏具体的实践案例,但未来更多的国家会围绕GDPR的隐私保护法案出台类似的法律法规,而且随着个人隐私及数据意识的增强,数据安全保护及合规要求会越来越细致、越来越严格。