本文已参与「新人创作礼」活动,一起开启掘金创作之路。
《数据安全法》加码数据出境安全,跨国公司该如何应对? 首先介绍什么是信息安全、网络安全、数据安全,并给出建议方案,还有关于数据保护的法律咨询。
信息安全、网络安全、数据安全
- 当需要强调安全管理体系,或强调信息及信息系统的保密性、完整性、可用性,或 内容合规,或 DLP(防止内部人为的信息泄露),或强调对静态信息的保护(比如存储系 统、光盘上的信息)等场景时,“信息安全”一词多被使用。
- 当需要强调网络边界和安全域,或网络入侵防御,或网络通信系统或传输安全,或 网络空间等场景时,“网络安全”一词多被使用。
- 当需要强调全生命周期中的数据保护,或数据作为生产力,或强调数据主权、数据 主体权利、长臂管辖权、隐私保护等场景时,“数据安全”一词多被使用。
建议方案
方向一、在美国的业务完全独立(思路类似一企两制):本地化管控包含人员本地化招聘、系统本地化部署和数据本地化存储 方向二、在美国的系统完全独立:将敏感数据的模块,从整体的系统中剥离出来,独立形成一套系统,美国CDN企业专线,完成跨国数据传输 方向三、在美国的数据完全独立:敏感数据的获取和存储,依托第三方公司完成 方向四、放弃美国合规要求的隐私数据:匿名化处理,删除相关数据
数据保护法律咨询
数据安全:个人信息匿名化处理(脱敏是目的,匿名化是处理方式之一,还有去标识,加密等等)
他说是法律上的匿名化就是删除的意思,存储时需要加密处理。
问:
1. “姓名:张三,身份证:12345****,性别:男,年龄:22,…,” 这个例子把关键信息匿名,是否合规?
2. 比如我们个人数据保存期限3年,但不想删除,定期把3年前数据按上面的方式匿名化,是否合规?
3. 乘客行程也属于个人敏感信息,如果把个人信息匿名了,行程信息还算是敏感信息吗?
答:
嗯嗯,第一,上面1中的字段屏蔽属于个人信息的去标识化,应该不属于匿名化的措施(匿名化的是不可识别且不能复原的状态,因此对于已经屏蔽的关键字段,结合其他信息,仍有可能复原原本的信息,进而识别到个人);第二,因为不属于匿名化的措施,因此按照上述方式的处理,不能被认为是进行了匿名化或者删除,存在违反存储期限最小必要的风险。因此,我们建议,不仅通过字段屏蔽,而且也可以通过MD5、差分隐私等的加密方式,辅之以数据库管理上的逻辑隔离或者物理隔离,不让数据进行融合以重新识别到个人,通过这种方式来实现匿名化的目标;第三,乘客行程如果将个人信息屏蔽,在信息敏感度上会降低,在不存在与其他的信息结合识别特定乘客行程的情形,也可能不会被视为“个人敏感信息”。因此,我们理解,在采取数据分隔存储使用的,并辅之以信息屏蔽或者加密技术的措施,可以降低个人信息的敏感程度。
问:
嗯嗯 脱敏是目的,匿名化和去标识化都是处理方式之一,只要做到结合所有信息,进而识别不到是具体个人,我理解就合规了对吧
保守的做法还是加密和物理隔离 比较稳妥哈
答:
嗯嗯,因为法律上是要求是结合所有的信息,而不仅仅是姓名、性别、年龄这些信息,因此仅仅的字段屏蔽可能是不够的。最好还是能有一些技术上的加密措施,以及管理上的隔离。
问:
为了服务客户要保存历史订单超过10年,订单中的包括乘客的个人信息。这种情况有什么好的建议吗?
答:
嗯嗯,建议可以将这种存储情形在隐私政策中披露,并征得用户的授权同意。同时,内部制度上也规定这种情形的存储期限,并做到到期后的删除或者匿名化。
问:
上次说到 加密或者隔离管理来达到对个人信息的保护,这个主要是为了防止被拖库造成的数据泄露,对吧
答:
嗯嗯,一方面是保证数据的安全,另一方面也是防止数据的重识别,也就是通过结合其他的信息,再重新识别到个人。如果做到结合所有信息无法识别到个人,且不能复原,可以被认为实现匿名化。
问:
如果通过加密存储,结合其他信息无法识别到个人,通过程序可以复原,这算是实现匿名化吗
答:
如果通过程序可以复原,不算实现匿名化的。有些加密加盐的技术可以实现无法复原到数据的原值的,例如MD5加密后,无法恢复到原值,仅得出一串哈希值;除此之外,差分隐私、K-匿名模型也是实践中会用到的匿名化技术。
参考
数据安全怎么做——数据跨境的思考 xie.infoq.cn/article/550…
《数据安全法》加码数据出境安全,跨国公司该如何应对? www.freebuf.com/articles/da…
