我始终相信如果做好了安全设计,那么自然而然就可以通过所谓的合规检测。不过这么些年没见到过懂技术的合规人员,也没见过懂合规的技术人员。虽然参加过一些合规项目,但实际上也没精力去看所有细节。所以我决定自己梳理一下相关知识,以下为学习笔记。
带着疑问学习是我的一个习惯。比方说,我不知道有哪些安全相关的法规,也不知道实际执行起来怎么依照?以及法规与技术标准的映射。所以我决定从法律的效力阶位来看。
(网图,来源未知)法从效力阶位分为上位法、下位法和同位法,上位法高于下位法,后者不得与前者相抵触。同位法之间则具备同等效力,在各自的权限范围内施行。从这张网图不难看出宪法高于一切,宪法作为上位法由人大及人大常委会负责修改、监督、解释。之后是基于宪法制定的一般法律。在此之后是由国务院及下属部门制定的行政法规以及部门规章,同时地方政府和人大可以制定相应的地方性法规。在这个过程中,宪法第七十八条规定了宪法具有最高的法律效力,一切法律、行政法规、地方性法规、自治条例和单行条例、规章都不得同宪法相抵触。 从这张脑图可以看到,除却各法之外,还有法律解释、有关法律问题和重大问题的决定、修改,废止的决定。
国外的比较知名的有General Data Protection Regulation (GDPR),个人感觉GDPR算的上是数据保护立法的分水岭了,国内对应的是数据安全法。除此之外UK有Data Protection Act 2018, Canda有Personal Information Protection and Electronic Documents Act (PIPEDA),,California有California Consumer Privacy Act (CCPA)。
国内跟数据安全相关的法规见下图(其实刑法中也有一部分,并未列在此处)。
不难看出21年是个分水岭(其实后文的技术标准也是在21年22年前后大量形成的。),另外贵阳市作为大数据城市,也是率先在2017年推出了相应的法规,之后又在21年进行修订。而观察有的城市在09年制定的信息系统安全条例后至今没有修改,时过境迁。另外在这里,我其实没有列关于网信办的一些法规,因为网信办不是部委根据《立法法》来说是没有立法权的,但是国务院又曾在2014年授权过网信办全面负责全国互联网信息内容管理工作(通知),说明有可能使其作为直属行政机构。但是行政法又规定通知不具备有效的行政授权。这个可能需要法律专业的专家去分析了。不过有个槽点,在网信办官网找不到一个查询相关历史法规的地方。这里附一张绿盟科技在2021年列的关于中国数据新秩序的法律地图。可以看出除了上面列的法律法规之外,在儿童个人信息领域以及密码领域等等也需要关注。(图片来自绿盟)
先看一下国标相关的技术要求
不难发现在2022年10月之后针对行业以及生物识别数据都制定了相应的数据安全要求,并且在今年的五一之后施行生效。包含了电信行业,医疗行业,物流行业,网约车,电商支付等。另外根据Tc260(信安标委)的统计来看,在最近几年迅速填补了许多标准的空白。但在另一方面又不禁引人思考,按照这种产出速度,是否有点过犹不及。
另外针对金融行业,除了国标,还有一系列的金融标准(以下简称金标)。不难看出在金融支付行业,由于行业特性,在早期就制定了相应的标准。从数据生命周期规范到数据分类分级指引,到网上银行系统,银行卡,支付终端,云计算环境等等都分别具备对应的标准规范。
主要参考DTT的解读,也搜了下PWC,EY,大同小异。其实在公众号里早期也转发了一些关于个保法的解读等等。不过这些解读并不涉及到技术框架,往往以立法的角度出发。网络安全法暂时略过,虽然网安法里面关对数据安全和个保都做了一定涉及,但不如单独看DSL和PIPL来的具体。
略
(图片来自德勤)
关注数据分级保护,风险评估和监测,应急处置,保护义务,人才培养,交易安全。
明确了数据定义:任何以电子或者其他方式对信息的记录
采用了属地原则:在中华人民共和国境内开展数据处理活动及其安全监管,适用本法
分级:提出了“国家核心数据”的概念,“实行更加严格的管理制度”,违反者将面临最高1000万人民币的罚款以及“暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照”的处罚,并有可能承担刑事责任。
评估:重要数据处理者必须“定期开展风险评估”及相应评估报告内容的具体要求,违反企业将面临最高200万人民币的罚款,相关个人最高20万人民币的罚款。
跨境:“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定”。违反企业将面临最高1000万人民币的罚款,相关个人最高100万人民币的罚款。违反跨境的企业将面临最高1000万人民币的罚款,相关个人最高100万人民币的罚款。明确了海外司法或执法机构对于中国境内数据的调取必须通过中国主管机关根据相应的国际条约,协定或平等互惠原则进行处理。违反企业将面临最高500万人民币的罚款,相关个人最高50万人民币的罚款
(图片来自德勤)
衔接CSL与DSL,把CSL中网络数据(电子数据)的定义延申区分出了个人信息属性。
采用了属地原则+属人原则。责任部门是网信部+国务院及地方政府有关部门,履职方式位询问,约谈,查询,现场勘察,设备检查。
数量达标应指定负责人(多少算达标?)
处罚:责令改正,没收违法所得,给予警告;拒不改正,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款
个人具备数据主体权利,包含知情权(数据泄露也要告知)、决定权、查询、复制权、更正、补充权、要求解释权、删除权、已逝者权利。营销时应该提供不针对其个人特征的选项。
明确了要求了境外处理者在需在中国境内设立专门机构或指定代表人负责处理个人信息保护相关事务要求。境内储存,当向境外传输时需经过评估,需告知个人相关要素并取得同意。
明确了同意标准:同意需自愿、未成年人须获得监护人同意、用户有权撤回同意、处理者需要告知处理规则。(Oppo手机上体现的“蛮好”,但只要你撤回授权就不允许使用对应APP,和耍流氓也差不多)
明确了共同处理者的责任,委托处理者的责任,向第三方传输的责任。第三方仅能在原有目的、方式及种类范围内进行处理,有变更需重新获得同意。(不知道有几个第三方会遵守规矩?)
处理敏感信息的时候,针对敏感数据还要单独获取同意。
要求数据处理者具备:管理制度+操作流程+分级分类+加密/去标识化技术+合理权限+定期培训+应急预案+定期审计, 评估报告及处理记录需存三年
这里挑选两个行业的数据安全要求作为示例:网络支付服务数据安全要求和快递物流服务数据安全要求。两个要求都是先进行具体行业的术语定义,然后给出行业的业务组成和交互示意图。之后分别列出基本要求以及从数据收集到存储使用等整个生命周期的要求。个人信息的采集主要遵守的内容为GB/T 35273-2020(信息安全技术 个人信息安全规范)。值得一提的是,在系统权限部分要求指出了快递APP不应该在用户未使用寄递业务时申请位置权限。当然这也是大部分未曾实现的。但在数据存储和传输上,两者除了对加密措施以及敏感信息保护之外,还有着明显差异。
不应存储用户银行卡磁道信息、银行卡芯片信息、卡片验证码、银行卡密码;
因业务需要存储用户银行卡有效期的,应取得用户和网络支付服务账务平台的授权;
应至少使用本地备份、异地备份及场外备份中的两种方式对网络支付服务数据进行备份;
应使用加密通道或数据加密的方式进行传输个人身份鉴别信息、可识别特定个人信息主体身份与资产状况的个人信息以及其他用于网络支付服务的关键信息;
应采用密码技术保护个人身份鉴别信息的安全性;
客户端和服务端的传输报文、日志等文件中不应包含明文用户鉴别信息、敏感个人信息。
应对智能服务终端采集的个人信息进行离线存储,保存期限宜小于30天;
应对智能服务终端中离线存储的个人信息及取件验证码进行加密;
应建立提供者自有智能服务终端的失效设备资产列表,并对失效设备存储的业务数据进行删除。
向其他个人信息处理者通过系统接口传输敏感个人信息时,应至少使用白名单(IP、域名等)方式进行控制,同时应使用数字签名、OAuth(开放授权)等方式对调用的信息系统进行鉴权;
通过互联网传输及线下途径传输用户个人身份信息、电话号码、地址等时,应在传输前进行数据加密,并使用安全通道进行传输。
另外针对寄递不涉及国际业务的不能将寄递用户的数据传递到境外,详细参考滴滴80亿罚款。但寄递行业没有针对数据出境记录作要求,而支付行业要求至少留存5年的记录。不过快递行业要求又补充了智能终端的管理要求,这是网络支付所不具备的。
最近不少企业、单位、高校因为数据安全事件被处罚,都是新闻可查的, 不知道是不是企业直接缴纳罚款了事,并未经过诉讼流程。但是在中国裁判文书网的检索中,并没有实际以DSL和PIPL进行判决的文书,仅有针对CSL的判决文书,不过部分的案例实际是个人信息保护相关,但是裁定是由民法典进行判决的。说明针对DSL,CSL和PIPL在实际审理过程中的应用仍然较少。处罚的案例,大家自己看文书吧,不在此赘述。
略
点击一些主流的APP,都不难观察到关于隐私保护的一些声明,大家可以自行阅读。至于专业性,用户访问体验,则仁者见仁智者见智了。
微信: 我(右下角)->设置(最下面)
支付宝: 我的(右下角) -> 设置(右上角齿轮) -> 隐私
淘宝: 我的淘宝(右下角) -> 设置(右上角齿轮) -> 隐私 -> 隐私说明(下滑到底)
抖音: 我(右下角) -> 三 (右上角)-> 设置(最下面) -> 关于(下滑到底)
B站: 我的(右下角) -> 设置(下滑到底) -> 隐私政策(下滑到底)
皮皮虾: 我的(右下角) -> 隐私设置
但是实际上,我并没有在这些APP里看到撤回信息收集的选项。类似以下这种。
虽然不同意就不让你用,但是更多的APP连撤回授权的按钮都没有。大环境如此,可见吃相难看以及个人信息过于廉价。除了在产品中的体现,生活中的案例也是不胜枚举,例如小区门禁识别作为唯一出入手段,但门禁识别设备显示了个人姓名,身份证号,居住地址。采集信息时使用微信进行。医院有时采用体检单的空白背面进行二次打印,但原体检页还包含着其他病人的身份信息及联系方式。更多的例子只要你观察一下,就发现比比皆是(否则也不会出现这么多倒卖个人信息的了)。
我一直没有去了解合规相关的知识,原因在于检测标准的不一致,检测流程不完善,参加过检企业的目的不在与合规,仅在于License。另外标准的制定往往来自行业内的技术专家,而实际参与检测的评审员往往缺乏技术背景。在这样的情况下怎么能做到真正的“合规”?但实际上,这些评审员又决定了License是否可以被获取到。所以作为过检方,只能省省力气,尊称对方一声:“老师,您看哪里还需要我补充的吗?”。除了评审员之外,企业的合规团队在过检过程中作为对接人,更像是一个PM,活跃在评审员和各个领域的接口人之间,拉会,总结。虽然往往你看一眼就知道这个条目是干什么的,但是不仅需要向合规专家解释一遍,还要再向评审专家解释一遍。
所以就有了这样一幅局面,行业技术专家写了标准,具备评审资格的机构招募并培训了评审员/专家,企业采购了取得某些资格的指定厂商的设备,企业内缺乏技术背景的合规专家凑在了一起。“让我们拉个会吧”。顺便把压力丢给了技术工程团队。技术工程团队往往并不担心标准的条条框框,二而是担心评审的解读。
合规检测本身是外部驱动的一种,通过来自行业和监管机构的施压,完善企业内部的安全建设。等保、UPDSS、CFA、PCIDSS、诸如此类都是。但实际上在设计安全架构的时候,如果能有High Standard, 企业愿意出于对用户数据负责,维护业务信誉的角度出发而非证书和过检。则自然而然在设计上就能够满足大部分的合规要求。反之,也可以想想是不是有一些企业采购了安全产品,过了检,最后设备没插电。
法律释义与问答>宪法类>中华人民共和国立法法释义>第五章:适用与备案
国家法律法规数据库
全国信息安全标准化技术委员会
国家规章库
全国标准信息公开服务平台
金融标准全文公开系统
中国CAC
国家保密局-政策法规
德勤:个人信息保护法十二大应对措施 – 金融行业
德勤:《个人信息保护法》制度亮点解析
德勤:中国数据安全法解读
德勤: 数据跨境合规治理实践白皮书
绿盟:个人信息安全法律保护伞|《中华人民共和国个人信息保护法》解读
我国近年来数据安全法律法规最全汇编
2022年我国网络安全法规一览 | FreeBuf年度盘点
我国《数据安全法》生效以来行政执法情况报告
中国数据保护官制度存在的问题与应对策略
中国裁判文书网
携程大数据杀熟案败诉