书接上文:【热点】当GDPR来敲门(上)
由于绝大部分中国出海企业在欧盟并没有办事机构,而是通过上架应用或者代理商的方式开展业务,因此,下面主要讨论只在欧盟发行业务而没有办事机构,或者没有专门欧盟业务,而有欧盟用户的情况下的合规实践。
下面根据是否保留欧盟市场分开讨论。
不在欧洲发行,有少量用户问题不大,不需要采取应对措施,这时触发GDPR的可能性不大。但如果有大量用户,比如总用户数超过10万等,这时就要谨慎应对了。
放弃欧盟市场的采用ip地址库封掉ip即可
大部分中国互联网公司出海,业务都承载在公有云之上。此时公有云自然而然就成了GDPR的Data Processor,此外随着大数据分析的需要或者开放平台的需求,企业也会给第三方开放接口,多少会涉及到用户数据,比如微信、新浪微博开放用户昵称、头像等信息。与此同时,互联网应用无法避免应用分发的问题,需要接入其他厂商的sdk,那么用户数据不再是通过企业后端接口获取,而是直接在客户端获取了。所以,对于公有云、第三方厂商、渠道商需要谨慎选择,确保对方也符合GDPR要求才行,严格遵循最小权限原则、有限授权、认证与审计并重、同步监控报警以及准备紧急事件应对方案。
当前国内立法紧跟国际趋势,在立法效率和立法标准上与欧美不遑多让,我国国家质量监督检验检疫总局和国家标准化管理委员会在2017年12月29日发布,2018年5月1日正式实施的一部关于我国公民个人隐私安全保护重磅技术标准:《信息安全技术 个人信息安全规范》(GB/T 35273—2017)(以下简称《个人信息安全规范》或《规范》),与GDPR不同的是,该标准不是一部强制性标准而是一部推荐性标准。 该规范具有以下4个特点:
充分考虑标准在多方诉求方面的平衡性标准的编制不仅考虑了个人对信息保护的诉求,也同时考虑了社会发展应用的需求、国家安全的需求。做到多方的价值平衡。
立足国内现有的法律、法规、规章、标准标准的编制考虑到与现有法律、法规、规章、标准要求的一致性。包括全国人大常委会《关于维护互联网安全的决定》、全国人大常委会《关于加强网络信息保护的决定》、《刑法修正案(五)》、《刑法修正案(七)》、《刑法修正案(九)》、《电信和互联网用户个人信息保护规定》、《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z28812-2012)、《信息安全技术信息技术产品供应方行为安全准则》(报批稿)等。
参考对标国际最先进的规则和立法标准的编制参考了在个人信息保护方面最先进的国外立法。例如, OECD(经济合作与发展组织)隐私框架、APEC(亚洲太平洋经济合作组织)隐私框架等国际规则,欧盟《通用数据保护条例》(GDPR)、欧美“隐私盾”(EU-US Privacy Shield)协议、美国“消费者隐私权法案”(Consumer Privacy Bill of Rights)等欧美个人信息保护方面的立法。
不是自成一体而是与国际接轨标准的编制在内容上与国际标准接轨,主要参考ISO/IEC 29100系列标准,包括:ISO/IEC 29100《隐私保护框架》、ISO/IEC 29101《隐私体系架构》、ISO/IEC 29190《隐私能力评估模型》、ISO/IEC 29134《隐私影响评估》、ISO/IEC29151《个人可识别信息保护指南》等。此外,还有美国的保护个人身份信息机密性指南(NIST SP800-122)、联邦信息系统隐私与安全控制(NISTSP800-53);欧盟的数据保护审计实践清单(CWA 15262:2005),管理者的自评估框架(CWA 16112:2010),个人数据保护良好实践(CWA 16113:2010)等。
GDPR通过TOMs落地,其中要求身份标识与访问控制、日志与审计、备份恢复、开发/测试数据集分离、监控与告警、加密等技术手段。其中大部分属于企业信息安全体系的重要内容,相信借着这个机会,很多企业也会重新梳理自己的安全体系架构。下面按照安全技术体系和组织规范建设分别展开。
本文来自网易实践者社区,经作者林伟壕授权发布。未经许可请勿转载。