[导读] 英国法学家爱·科克说过,法律是最保险的头盔。
利用个人数据牟利:水能载舟,亦能覆舟
几年前,惠普的安全部门就在市面热销的电视、电源插座、网络摄像头、门锁、警报器等10款消费级智能家居产品中,发现了250种安全漏洞。某家电品牌的智能冰箱系统被白帽子黑客现场攻破,只需要利用智能网关的漏洞绕过监管,直接控制手机APP,就能在无需配对校验的情况下成功入侵并接管所有家电设备的控制。
2017年,东北大学毕业生李文星通过“BOSS 直聘”求职,却因深陷传销组织而死,互联网企业平台的网络安全问题引起热议。
某宝年度账单被质疑窥探用户隐私,用户“被”默认勾选《XX服务协议》,官方因此道歉并表示彻查内部管理。
2018年3月,一家数据分析公司在未经用户允许的情况下,窃取了全球最大的社交平台Facebook超过5000万名用户的个人资料,该公司是通过与Facebook的合作而获取上述信息。因此,Facebook备受用户质疑,创始人更受到美国国会多番审问追查。
一次次的事例,展示了目前用户和企业,对个人数据保护的不足、漠视,甚至牟利私用。在物联网新时代,数据不仅仅只是一些代码堆砌的内容,而逐渐成为企业、社会的财富,看似“来钱快”,但实际会给企业自身带来严重后果,对个人数据保护的重视刻不容缓。
欧盟出台最严格法案——GDPR:重视管理与保护
目前个人在信息提供、分享、交互、加工、分析等各个环节中,一般只具有有限的知情权和修改权,而在数字化社会,要想获得信息技术和网络带来的各种便利,就必须按照企业的要求提供各种隐私信息和条款,个人的选择权利被碾压得所剩无几。
在国际市场,因物联网通信技术的发展,消费者与数据企业关系随时都在调整与更新。在这个大的社会发展趋势之下,静态的、以个人隐私的绝对保护为中心的传统个人信息保护模式,已经很难适用。
于是在2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(General Data Protection Regulation,以下简称GDPR),该法案将于2018年5月25日正式生效。GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的高度,堪称史上最严格的数据保护法案。(注:不论可以直接或间接识别到个人的资料,都属于个人数据范围)
法案条例通过制定详细的管理规范,使其具备了在企业内控和合规管理方面的可操作性,适用对象也从欧盟内的企业扩展到向欧盟用户提供互联网和商业服务的所有企业。
在《一般数据保护条例》超过200页的文件中,简单介绍部分关键点:
1、转向基于数据内容划分
非欧盟的企业和组织向欧盟用户提供服务,哪怕是免费的服务,也需要严格遵从欧盟这份数据保护条例的要求。
2、更严格的内控和监管
企业和组织在对个人数据进行操作时,必须记录所有的操作流程和步骤。
3、数据保护的前瞻性要求
条例把数据保护作为基本要求,强制企业在业务设计初期就必须考虑。
4、数据所有者(用户)的个人数据删除权
当数据所有者(用户)撤回自己向企业或组织授予的个人数据使用权时,相关企业或组织必须立即无条件删除所有的个人数据。
5、更严重的惩罚和上限
对于严重的违法,罚款上限是两千万欧元或前一年全球营业收入的4%(两值中取大者)。
GDPR对于我国业务范围涉及欧盟成员国领土及其公民的企业进行合规运营、避免高昂处罚,以及对我国与数据相关的法学研究都具重要意义。
个人数据保护危机:无处不在,困难重重
近日,在引起国内对芯片产业的反思浪潮的中兴通讯遭美国禁运制裁事件里,中兴要求旗下员工重新学习相关法规,也侧面显示国内企业对相关规范的不了解不重视的严峻问题。
从用户层面看,个人数据保护不足,虽然企业责无旁贷,但用户也需要具备自我保护意识,防隐私泄露的知识,切勿因为小利益、贪方便,懒计较等原因,把自己个人,甚至是家人、朋友、公司的信息被非法利用收集,用户的防范意识培养,仍任重而道远。
从技术层面看,企业的数据收集、保护、利用等系统存在不少漏洞,容易被攻陷盗取。企业的管理水平也极其有限,目前多数企业没有打造好一套管理体系流程(计划-执行-确认-改善)与管理体系框架,或者有管理体系框架,但是在实际执行层面的人员对管理体系的要求和实际做法并不统一,甚至根本不了解,处理数据风险的能力较低。
从实践层面看,其实目前有一部分企业已经开始有数据合规义务的认知积累,但缺乏连结法律法规及技术的运行机制,同时,跨国间的数据实践经验不足,技术实施细节不了解,国际标准和法规不清楚等,都成为企业难题。
中国信息通信研究院安全研究所副所长谢玮在出席某个活动上表示,一方面,为政务管理、业务发展等需要,政府、企业等可能会对个人信息进行收集利用和分析;另一方面,发生在个人信息的收集、存储、利用等环节中的不当操作和网络攻击,极易引发数据窃取、隐私泄露等网络安全问题,不仅侵害个人隐私,也可能威胁人身和财产安全、社会稳定甚至国家安全。
作为企业,如何实现个人数据保护与隐私管理?
数据本身没有善恶对错之分,如何使用数据,是对企业的道德和生命力的严峻又长期的考验。
通过对自身与法规的研究、技术学习和咨询,将有助于企业在法规尚不完善的情况下了解数据收集利用的规则,提前进行应对,也利于维护自身在市场和用户的口碑,更有助于了解技术的实施、产品的合规、执法与司法裁判的尺度,帮助企业在国内外激烈的市场竞争中规避法律风险。
2018年6月11日,由SCA安全通信联盟主办的GDPR欧盟一般数据保护法案(欧盟个人隐私保护法)技术合规基础解析,即将在上海证大美爵酒店隆重召开。
本次透过参与式(participate learning)学习方法,结合会议课件、小组讨论、经验交流等活动,提升人员对于《欧盟 一般数据保护法案 (EU GDPR)》 的了解。提升人员对于个人数据管理活动的了解,协助组织推动相关管理工作。了解现行个人数据管理与国际标准之间的差异,持续强化管理能力。
针对产品开发商,如何使开发的产品,提供符合 GDPR条款 32 的安全处理个人数据(Security of processing)所建议的安全功能;
对于服务供货商,符合条款 25 的设计及预设的数据保护机制(Data protection by design and by default)的要求等,都会在本次分享当中做介绍。
关于SCA安全通信联盟:
上海奥航智能科技有限公司下属服务平台:SCA安全通信联盟简称SCA。
SCA由安全通信和安全身份认证产业链中不同业务层面的企业决策层人员共同发起组成的一个专业、中立的业务、技术、趋势等信息交流和产品服务平台,目前联盟拥有来自6个国家的50多家企业成员。
联系人:杨小姐
联系电话:021-51099961
更多会议内容,欢迎登陆SCA联盟官网查询 https://www.smart-alliance.com/
声明:凡注明为其它来源的信息均转自其它平台,目的在于传递更多信息,并不代表本站观点及立场和对其真实性负责。若有侵权或异议请联系我们删除。
千家智客微信公众号
扫描下方二维码,关注千家智客微信公众号(qianjiacom),随时随地知晓智能行业天下事!