用户的数据权利
GDPR: 第 12-22 条款上赋予了“数据主体”(或称用户)知情权、访问权、修改权、限制处理权、 删除权(也称“被遗忘权”)、可携带权、拒绝权等多项权利。 “被遗忘权”和“可携带权”是 GDPR 新增两项用户“特权”:被遗忘权,在一些注销账户、或者超过时间期限等场景中,用户可以行使该项 权利,要求“数据控制者”(或称企业)删除与自己相关的个人数据,同时也要求通知合作第三方
删除 同样的数据;可携带权,用户可以便携地将其个人数据从一个数据控制者处转移至另一个数据控制者处, 数据控制者需要配合完成该过程。
《网络安全法》: 第 43 条赋予了用户一定程度的“删除权”:“个人发现网络运营者违反法律、 行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息”;一 定程度的“修改权”:“发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以 更正”。在最近发布《个人信息保护法
(草案)》中,赋予了用户更丰富更具体的数据权利,诸如知情 权、访问权、被解释权等。
企业的安全义务
GDPR: 赋予用户“访问权”、“被遗忘权”等各项数据权利,相应地,企业必须响应和履行为用户 行使权利供方便的义务,比如用户行使“被遗忘权”,企业必须供删除数据的界面与入口,并执行 相关处理操作与流程,以及对用户输出响应报告。以外,GDPR规定企业必须保存数据处理
活动的记录, 针对数据泄露风险建立快速响应与通知机制;对数据采取假名化、加密等与风险相适应的安全措施。
《网络安全法》: 企业同样需配合用户行使数据权利。此外,企业在防止数据泄露、窃取篡改等数据安全事件上,需履行安全管理制度、组织和规范建设,落实有效的网络安全措施,以及采取数据分类, 重要数据备份和加密等技术措施,数据泄露建立快速响应与补救措施机制,保存网络日志不少于 6 个月 等各项安全义务。
违法违规的处罚
**GDPR:**违反数据处理的基本原则,不履行数据主体的数据权利等,第83 条给出罚款的最高值:可 4% 的行政罚款, 被处以最高 2000 万欧元的行政罚款,或对企业以最高占上一财政年度全球总营业额 取两者最高值。这是欧盟境内企业或者与欧盟数据相关的境外企业最关心的,被GDPR处罚的代价是十分高昂的。
《网络安全法》: 最高可处罚 100 万元的罚款,对直接负责的主管人员处罚最高 10 万元罚款。除 罚款以外,还有责令暂停相关业务、关闭网站、吊销营业执照等严厉的行政处罚措施。在最近发布《个 人信息保护法(草案)》中,对于个人信息的违法犯罪加大了处罚与罚款力度,对于违法情节严重的最 高可以处罚 5000 万元以下或者上一年度营业额 5% 罚款,同时对直接负责的主管人员最高可罚款 100 万元,这些处罚给个人信息与数据安全违规违法行为形成了强大的威慑力。
小结
欧盟 GDPR作为一部现代数据隐私法的风向标,给全球其他国家的立法产生深远的影响,尤其是美 国加州消费者隐私方案 CCPA,同样给用户赋予多项相似的数据权利,对企业提出更更高的合规性要求。 随着我国今年来《数据安全法(草案)》和《个人信息保护法(草案)》综合性法律的制定,以及一些 配套的行政法规和标准的落地实现,我国数据安全相关法规 -标准建设将趋于体系化和成熟。从全球数 据执法的趋势来看,欧盟 GDPR已经进入全面执法阶段,欧盟成员国已经陆续开出违反 GDPR的巨额 罚单;我国在《网络安全法》等法规指导下,我国监管部门在数据安全执法主要聚焦在 APP 隐私侵权 治理以及个人信息非法交易与黑灰产整治两个重点领域。
《网络安全法》作为我国已经实施的网络空间安全的基础性法规,目前在数据安全与个人信息安全 具有最高的法律效力。本章重点从该法规保护的数据对象、用户的数据权利、企业的安全义务以及违法 违规的处罚四个方面,将其与 GDPR的合规性进行对比与解读,我国同样趋向采取更加宽泛的“个人信 息”定义,这给企业识别这些敏感数据带来巨大的挑战;此外,我国明确指出企业必须采取数据分类, 重要数据备份和加密等。若违反相关条款,将面临高额的罚款和严格的行政处罚,由此企业必须对数据 安全与合规性引起足够的重视。
合规要求下的数据安全概述
合规要求下的数据安全概述
随着欧盟 GDPR、美国 CCPA,以及我国的《网络安全法》,《数据安全法(草案)》和《个人信 息保护法(草案)》的制定与实施,合规性已经成为企业数据安全治理与建设重要驱动力。在合规视角 下,本章将阐述数据安全需求、内涵的发展与演变,并将从宏观上总结企业数据安全合规性建设三类场 景,以及超越合规性的前沿技术图谱。
合规驱动下的数据安全
在隐私合规 / 数据安全合规视角下,数据安全的需求和驱动力发生了根本性的改变,同时导致数据 安全的内涵在不断外延和扩展。为了更好地理解其演变过程,本文将其分为两个阶段:无合规性需求与 有合规性需求的数据安全建设,并将其分别定义为数据安全 1.0 与 2.0 阶段。
数据安全
当数据的价值被足够重视的时候,企业就已经开始着手数据安全建设,在这一个阶段将它看作主动 的、数据资产驱动的、投入成本小的数据安全防护。企业的数据安全保护对象是企业定义的敏感数据和 重要资产。一个主要的场景是企业围绕着各类资产数据库的数据展开一系列防护,利用加密、访问控制、 审计和数据库防火墙等传统网络安全的管控措施,因此这一阶段的数据安全通常归属为网络安全的一个 分支。此外,对于敏感文档和核心技术材料等的保护,通常企业也会采用透明加密、数据防泄漏(DLP) 产品进行安全防护,主要是防止内部人员的非法拷贝和黑客的窃取。
数据安全
随着相关法规的逐步实施与完善,那么数据安全问题就已经不再仅仅是企业“关起门”来处理的内 部问题,同时也是国家监管部门参与进来的监管问题。现阶段的数据安全(数据安全 2.0)可以看作 1.0
的升级版,企业的数据安全建设在满足内部数据安全需求的同时,也必须遵循法律法规的合规性条款。 这个过程是被动合规驱动为主、主动数据安全建设为辅、投入成本比较高昂的数据安全建设。数据安全 2.0 相比 1.0 有哪些根本性改变,我们从以下几个维度进行解析:
标签:合规性,数据安全,敏感数据,驱动,企业,数据,合规,GDPR From: https://blog.51cto.com/baidu666/5967151