网络安全实践指南

《网络安全实践指南》由会员分享，可在线阅读，更多相关《网络安全实践指南（14页珍藏版）》请在装配图网上搜索。

1、TC260-PG-20183A网络安全实践指南一欧盟GDPR关注点vl.0-20180525全国信息安全标准化技术委员会秘书处2018年5月25日本文档可从以下网址获得：全国信息安全标准化技术委员会NATIONAL INFORMATION SECURITV STANDARD1ZATJCN TECHNICAL COMMITTEEMATrotULSjECIMIT SULMDUHDIZJinm T1ECHNICAL CCMMirTTEfr、，4 刖 百网络安全实践指南（以下简称实践指南”）是全国信息安全标准化技术委员会（以下简称信安标委”，TC260）发布的技术文件。实践指南旨在推广网络安全标准，应

2、对网 络安全事件，改善网络安全状况，提高网络安全意识。MATrotULSjECIMIT SULMDUHDIZJinm T1ECHNICAL CCMMirTTEfr本实践指南版权属于全国信息安全标准化技术委员会。未经委员会书面授权，不得以任何方式复制、抄袭、影印、翻译本指南的任何部分。凡转载或引用本指南的观点、数据，请注明源:全国信息安全标准化技术委员会全国信息安全标准化技术委员会不承担对相应文本翻译准确性进行核验的责任，弁建议读者直接阅读GDPR原文。技术支持单位本实践指南得到中国电子技术标准化研究院、北京大学、腾 讯、蚂蚁金服、京东、高德、华为、微软、百度、甲骨文、戴姆 勒等单位的技术支持。

3、MATrotULSjECIMIT SULMDUHDIZJinm T1ECHNICAL CCMMirTTEfr本实践指南简要介绍 GDPR适用的场景、核心内容和关注点，仅供参考，旨在提示读者关注GDPR实施对其产生的影响关键词：GDPR;个人数据；风险管理；关注点iiiMATrotULSjECIMIT SULMDUHDIZJinm T1ECHNICAL CCMMirTTEfr2018年5月25日，欧盟通用数据保护条例(General Data Protection Regulation , GDPR )正式实施，在全球范围内产 生广泛影响。相关组织在符合我国个人信息保护相关规定的 基础上，随着业

4、务和合作范围的不断扩大，建议就其部分可 能涉及的场景，密切关注国际上数据保护的相关要求。关于GDPR ,建议重点关注以下几点：关注点一：适用 GDPR的场景GDPR第三条规定，以下两类情形在其适用范围内：一是数据控制者或数据处理者在欧盟境内设有分支机构(establishment)。在此情形中，只要个人数据处理活动 发生在分支机构开展活动的场景中(in the context of theactivities of an establishment ),即使实际的数据处理活动不 在欧盟境内发生，适用 GDPR。例如，在欧盟本地运营的 A国(A国指某一非欧盟成员国)连锁酒店，直接 将其收集的住客

5、个人数据传输至 A国总部进行处理，则需要履行 GDPR中相关责 任和义务。二是数据控制者或数据处理者在欧盟境内不设分支机构(establishment)的情形。在此情形中，GDPR原则性地规定只要其面向欧盟境内的数据主体提供商品或服务(无论是否发生支付行为)，或监控( monitor)欧盟境内数据主体 的行为，适用GDPRo例如，A国境内运营的某一电商平台，在欧盟不设分支机构，但提供专门MATrotULSjECIMIT SULMDUHDIZJinm T1ECHNICAL CCMMirTTEfr的法文、德文版本的页面，同时支持用欧元进行结算，支持向欧盟境内配送物 流。该电商平台属于面向欧盟境内的

6、数据主体提供商品或服务，需要适用 GDPR。例如，在A国运营的社交媒体平台，支持境外账户注册，且已有欧盟境内用 户使用。该社交媒体平台根据用户的位置信息、浏览记录等行为信息，向用户推 送个性化的信息和广告，有可能被欧盟的个人数据保护机构（ Data Protection Authority）认定为监控（monitor）欧盟境内数据主体的行为，适用 GDPR的可能 性较高。例如，A国企业开发的软件或系统被嵌入某款设备，该设备向欧盟地区销 售，该设备的制造商在欧盟境内设立了销售代表处，相关软件或系统收集个人数 据的过程需要适用GDPRo止匕外，GDPR主要适用欧盟境内发生的个人数据处理行为，其保护

7、对象为欧盟境内的数据主体。当欧盟公民抵达 A国，例如进入A国大学学习，在A国商 场购物等，且欧盟公民返回欧盟境内后，大学、商场不再对其行为进行跟踪或分 析，则大学、商场无需适用 GDPRo组织涉及海外业务、全球化经营或业务合作等场景时，应注意其是否适用 GDPR o关注点二：适用的数据范围GDPR规定，个人数据，是指与一个确定的或可识别的自然人相关的任何信息。可被识别的自然人，是指借助标识符，例如姓名、身份标识、位置数据、网上标识符，或借 助与该个人生理、心理、基因、精神、经济、文化或社会 身份特定相关的一个或多个因素，可被直接或间接识别由的个人。GDPR规定，特殊类别（敏感）个人数据，是指揭

8、示种MATrotULSjECIMIT SULMDUHDIZJinm T1ECHNICAL CCMMirTTEfr族或民族由身，政治观点、宗教或哲学信仰以及工会成员 的个人数据，以及唯一识别自然人为目的的基因数据、生 物特征数据、自然人的健康、性生活或性取向数据，还包括 刑事定罪和犯罪相关的个人资料等。组织应识别其处理个人数据或特殊类别（敏感）个人数 据的具体类型。关注点三：数据处理的基本原则GDPR规定了个人数据处理的基本原则，包括合法、公 正、透明、数据最小化、目的限定、存储限制、完整性和保 密性、问责等；GDPR规定，数据处理是指针对个人数据或个人数据集 合的任何一个或一系列操作，诸如收集

9、、记录、组织、建 构、存储、自适应或修改、检索、咨询、使用、披露、传 播或其他的利用，排列、组合、限制、删除或销毁，且无 论此操作是否采用自动化的手段。组织应保证其数据处理活动遵循基本的原则。关注点四：数据处理的合法正当性事由GDPR规定，数据处理行为首先应具备合法性基础， GDPR规定的六种合法性情形包括：数据主体的同意、合同 履行、履行法定义务、保护个人重要利益、维护公共利益 以及追求正当利益。GDPR强调同意是指 数据主体通过书面声明或经由一MATrotULSjECIMIT SULMDUHDIZJinm T1ECHNICAL CCMMirTTEfr个明确的肯定性动作，表示同意对其个人数据

10、进行处理。 该意愿表达应是自由给由的( freely given)、特定具体的 (specific )、知情的(informed )、清晰明确的 (unambiguous) ”，且撤回同意的方式应该与表达同意同等 便利。组织应保证其数据处理活动满足合法性要求。关注点五：对儿童的特别保护规定GDPR认为，儿童可能不太了解有关个人数据处理的风 险、后果以及他们在数据处理中所拥有的权利，因此在收集 有关儿童的个人数据时和将其个人数据使用在对儿童提供 营销或创设个人账户的服务时，应予以特别保护。GDPR在信息社会服务中适用儿童同意的条件”规定，如果直接向儿童提供信息社会服务时，该儿童的年龄应当为16周

11、岁以上。若儿童未满 16周岁，只有在征得监护人同意或授权的 范围内其处理才合法。组织如涉及儿童个人数据的处理，应予以特别保护。关注点六：数据主体权利GDPR赋予了数据主体对其数据广泛的控制权，包括知 情、访问、更正、删除、限制处理、可携带、反对等权利。 比如：在数据收集时，数据控制者应以简洁、透明、易懂及便 于访问的方式向数据主体提供数据控制者身份及联系信息、MATrotULSjECIMIT SULMDUHDIZJinm T1ECHNICAL CCMMirTTEfr数据处理的目的及合法基础、数据主体享有的权利等信息。在特定情况下，如履行目的不再需要、数据主体撤回同 意或个人数据被非法处理等等情

12、况下，数据主体有权要求删 除其个人数据。GDPR也规定了若干删除权不适用情形，如 为行使言论和信息自由的权利，为履行数据控制者法定义 务，为设立、行使或捍卫合法权利等等。数据主体有权拒绝数据控制者基于以下目的对个人数 据进行的处理行为，如为公共利益，为数据控制者的合法利 益，以直接营销为目的，基于科学或历史研究以及统计目的 的数据处理行为等。数据主体有权在以下情形限制数据控制者的处理行为， 如质疑数据准确性，违法处理，数据到期等。数据控制者基于数据主体同意或履行合同所必须，以自 动化方式处理数据主体提供的个人数据时，数据主体有权从 数据控制者取得结构化可机读的个人数据副本，并传送给另 一个数据

13、控制者。组织应基于当前业务特点及处理数据的合法性事由，选 择需要实现的数据主体权利。关注点七：对用户画像的规定GDPR规定，用户画像是指通过自动化方式处理个人数 据的活动，用于评估、分析以及预测个人的特定方面，可 能包括工作表现、经济状况、位置、健康状况、个人偏MATrotULSjECIMIT SULMDUHDIZJinm T1ECHNICAL CCMMirTTEfr好、可信赖度或者行为表现等。如电商通过用户画像，开 展广告、市场预测和推广工作。GDPR规定，在数据主体明确同意、欧盟或者成员国法 律的明确授权、履行合同所必需的情形下可以使用用户画 像。同时还提由，在征得数据主体同意时，应对画像

14、相关数 据来源、算法原理及相应影响等予以充分告知，并赋予数据 主体反对权、删除权、更正权和限制处理权等权利。组织如涉及对用户进行画像，需要关注如何获得合法性 基础，以及向数据主体提供相应权利。关注点八：对数据处理者的规定GDPR规定，数据处理者是指为数据控制者处理个人数 据的自然人、法人、公共机构、行政机关或其他非法人组织。GDPR规定，当数据控制者委托数据处理者具体处理数 据时，数据控制者应选择采取了合适的技术和组织方面措施 的数据处理者，以确保数据处理符合GDPR的要求，及保障数据主体的权利。在没有数据控制者事先或一般性的书面许 可时，数据处理者不应再与另外的数据处理者合作。组织如属于数据

15、处理者，应根据数据控制者明确的指示 处理个人数据，履行相应的保密义务，在数据处理服务结束 时，删除或返还所有的个人数据，接受数据控制者的审计等。关注点九：对数据保护官、欧盟境内法律代表的规定GDPR规定，通常情况下，数据控制者和数据处理者任MATrotULSjECIMIT SULMDUHDIZJinm T1ECHNICAL CCMMirTTEfr命数据保护官的情形包括：（1）公权力机构处理数据的； （2）数据处理的主要活动范围、目的要求经常性、系统性、大范围地监测数据主体；（3）大规模处理特殊类别个人数 据。数据保护官应具备专业的数据保护法律和实践的知识， 以保证其履行相应职责。数据保护官可以

16、是正式职员，也可 以基于服务合同完成工作。数据控制者应公开数据保护官的 联系方式，并将名单向监管机构汇报。如果组织面向欧盟境内的数据主体提供商品或服务，或 监控欧盟境内数据主体的行为，应通过书面形式在欧盟境内 任命一名代表。组织如存在上述情形，应考虑设立数据保护官或任命欧 盟境内法律代表。关注点十：对数据保护影响评估的规定数据保护影响评估（DPIA ）是有助于降低数据处理风险 的重要工具。DPIA分析数据处理的必要性和适当性，通过识 别和评估风险并确定相应的防护措施，帮助数据控制者管理 个人数据处理给自然人权利和自由带来的高风险。除此之外，DPIA也可向监管者证明其实施了GDPR中的相关要求G

17、DPR规定，数据控制者在进行数据处理之前，基于数 据处理的性质、范围、内容及目的判断处理活动可能对个人的权利和自由构成高风险时，应实施DPIA。在以下情形下,MATrotULSjECIMIT SULMDUHDIZJinm T1ECHNICAL CCMMirTTEfr通常需要实施DPIA: 一是基于数据的自动化处理，包括数字 画像，对自然人个人方面的系统和广泛的评估，而据此做由 的决定对该自然人产生法律效力或者重大影响；二是大规模 特殊类别个人数据或有关犯罪记录和违法行为的个人数据； 三是对公共区域大规模的系统化监控。组织如构成上述情形，应考虑实施数据保护影响评估(DPIA )。关注点十一：通过

18、设计实现数据保护的规定GDPR规定，数据保护设计理念应当融入到产品和业务 开发的早期过程(Privacy by Design),例如，设计假名化等 机制有效地落实数据保护原则，并且将必要的保障措施融入 到数据处理过程之中。止匕外，组织可实施相应的措施以确保 在默认情形下，仅仅处理为实现目的而最少必需的个人数 据。组织应注意其产品和业务的设计理念与GDPR保持致。关注点十二：数据泄露强制通知的规定GDPR规定，在发生个人数据泄露时，除非个人数据的 泄露不会产生危及自然人权利和自由的风险，否则数据控制 者应在获知泄露之时起的72小时内向监管机构发送通知报告。另外，当个人数据泄露可能对自然人的权利和

19、自由产生 高风险时，数据控制者还应当向数据主体告知数据泄露的相MATrotULSjECIMIT SULMDUHDIZJinm T1ECHNICAL CCMMirTTEfr关情况。组织应注意如发生个人数据泄露等安全事件，需履行的 通报和告知义务。关注点十三：数据跨境传输的规定GDPR提由了多种数据跨境流动机制。比如，直接向通 过欧盟进行充分性认定的第三国传输数据，还可通过实施被 认可的行为准则，签署符合相关要求的格式合同、有约束力 的公司准则、通过相关认证等方式证明数据接收方满足适当 的保护能力，来保证数据跨境流动的安全性；止匕外，在征得 数据主体明示同意、基于公共利益、履行有利于数据主体的 合

20、同或基于组织正当利益等情形下也满足数据跨境传输要 求。组织如涉及数据跨境传输，应选择适用于其业务的跨境 传输机制。关注点十四：处罚规定GDPR对违规组织采取根据情况分级处理的方法，并设 定了最低一千万欧元的巨额罚款作为制裁。如果组织未按要 求保护数据主体的权益、做好相关记录，或未将其违规行为 通知监管机关和数据主体，或未进行数据保护影响评估或者 未按照规定配合认证，或未委派数据保护官或欧盟境内代 表，则可能被处以1000万欧元或其全球年营业额 2% （两者 取其高）的罚款。MTDQNJU. *0*T18 &ECIMJT* STJLNDHHDIZJinCMI TIEOMICAL CLFTTEE如果发生了更为严重的侵犯个人数据安全的行为，如未获得客户同意处理数据，或核心理念违反隐私设计”要求, 或违反规定将个人数据跨境传输，或违反欧盟成员国法律规定的义务等，组织有可能面临最高2000万欧元或组织全球 年营业额的4% （两者取其高）的巨额罚款。组织可向其内部通报 GDPR处罚规则，进一步提升安全意识。关于欧盟GDPR原文，参见: http:eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC