作者介绍

林伟壕，网络安全SecDevOpsor，先后在中国电信和网易游戏从事数据网络、网络安全和游戏运维工作。对Linux运维、虚拟化和网络安全防护等研究颇多，目前专注于网络安全自动化检测、防御系统构建。

 

欧盟《通用数据保护条例》（General Data Protection Regulation，GDPR）即将在明天（2018年5月25日）正式生效。针对该条例的讨论在法律行业如火如荼，但在安全圈却少有发声。

 

鉴于法律行业提供的意见过于理论，不太具有操作性，本文试图从安全从业者的角度解读GDPR，同时为中国互联网企业出海合理应对GDPR提供一些可操作的措施。另外，“GDPR中国版”——《个人信息安全规范》也于2018年5月1日正式生效，本文将会分析该规范与GDPR的异同，以及面对这两个版本的“GDPR”，中国互联网企业如何将其安全合规需求与企业安全建设结合在一起。

 

GDPR有何特别之处

 

 

众所周知，欧洲对个人信息安全保护重视程度比美国更甚。1995年欧盟即发布了《数据保护指令》（Data Protect Demand，DPD），到了2016年4月，更是通过了“史上最严个人信息保护法案”——GDPR，用于取代DPD。该条例完全更新了欧盟成员国以及任何与欧盟各国进行交易或持有欧盟公民数据的公司，必须安全存储和管理个人数据的方式。目前该条例在28个欧盟成员国统一实施生效，这将使28个欧盟及欧洲经济共体成员国的隐私保护法更具有一致性和现代性。但是，GDPR的合规要求是相当高的，需要大多数企业投入大量的人力、财力才能得以实现。

 

下面从GDPR与DPD相比的特别之处来理解GDPR。

 

扩展了保护对象

 

首先，GDPR虽然是一个法律问题，但是与隐私安全保护息息相关。GDPR以个人可识别信息（Personally dentifiable information, PDI）为核心概念，凡是可以用作识别个人身份的相关信息，均落入GDPR保护范围，这些信息不再只是单纯的姓名、电话或是地址，同时也包括浏览器的Cookie、IP位置，或是足以识别个人身份的生物特征以及医疗资料。

 

扩大了责任主体范围

 

GDPR的责任主体分为Controller（管理者）和Processor（执行者），只要其数据处理活动与向欧盟境内的数据主体提供商品、服务（无论免费与否）有关，或其数据处理活动涉及到监测欧盟境内数据主体的行为，就会成为GDPR的责任主体。细化一点说，GDPR的适格企业只要具备以下其中一个条件：

• 在欧盟境内拥有业务；

• 在欧盟境内没有业务，但是存储或处理欧盟公民的个人信息；

• 在欧洲境内有办事机构，且超过250名员工；

• 在欧洲境内有办事机构，少于250名员工，但是其数据处理方式影响数据主体的权利和隐私，或是包含某些类型的敏感个人数据。 

 

增强了数据主体的权利

 

GDPR除了包含指令中数据主体已经拥有的权利，还赋予数据主体额外的权利，包括： 

• 数据可携带权（从数据控制方获得个人信息的副本）；

• 被遗忘权；

• 限制数据处理的权利；

• 反对数字画像和数据自动处理的权利。

 

严格规定了个人同意的条件

 

个人同意仍然作为个人信息收集和使用的前提，但相对于DPD，GDPR对何为有效的个人同意的前提，做出了更加严格的要求。

 

详细规定了数据处理者责任

 

对数据处理方赋予新的合规要求，是GDPR最重要的变化之一。

 

数据处理记录文档化

 

数据控制方和数据处理方应保留关于数据处理活动的详细记录，并随时应监督机构的要求提供。

 

通过设计和默认设置实现隐私保护

 

数据控制者应在一开始决定数据处理方式时，及开始数据处理时，采用合适的技术和组织方面的措施，例如假名化；数据控制者应采用合适的技术和组织方面的措施，以实现默认的情况下，仅仅处理为实现目的而最少必需的个人数据。

 

数据保护影响评估

 

如果处理个人信息可能导致个人权益有较高的风险被侵害时（特别是采用新技术时），数据控制方应当进行数据保护影响评估。

 

问责原则

 

应当保证采取合适的技术和组织方面的措施，以保证合规，同时具备向外界客观地展现合规的能力。 

 

数据保护官

 

成规模的企业要求任命一名数据保护官，以监督数据处理活动。

 

数据跨境流动机制的重构

 

GDPR保留的1995年指令关于数据跨境流动的机制，同时增加了新的制度设计，例如认证机制、行为守则，以及基于正当目的偶尔为之的数据传输时可一定程度上免除相关义务。

 

数据安全事故通知

 

在数据安全事故发生之后，数据控制方应当及时向监督机构报告，在可行时，应当在72小时内，除非数据安全事故不太可能导致数据主体权益受损。

 

执法和处罚

 

GDPR将会统一各成员国监督机构的权力和任务，并大幅增加处罚标准。为重大违规事件，罚款可高达2000万欧元或前一财年全球收入的4%。

 

GDPR对中国互联网企业出海有何影响

 

 

GDPR适用范围

 

只要企业收集欧盟公民的数据，就会受到GDPR的管辖。除非你的公司在业务和技术上非常严格地排除了欧盟，否则还是得处理GDPR合规问题。最近10年，中国企业争相出海，从做手机起步的小米重兵布局印度，到猎豹移动通过AWS在欧美移动app时长叱咤风云，可以说，随着全球对个人信息保护的重视，各种法律、安全合规要求只会越来越多。所以，GDPR是中国企业出海无法绕过的一道坎，今天绕过了，明天在另一个地方类似的规定也会接踵而来。

 

带来的挑战

 

1、理念的转变

 

• 从设计和默认上保护数据隐私

• GDPR强调“security by design and by default”，要求从规划设计上应当做到安全，同时要将安全作为默认规则。很显然，放眼全球，即便是Apple、Google，也未必完全达到，更何况对安全和隐私保护相对欠缺的中国企业。

 

• 学习、接受成本高昂

• 因为观念上的转变，以及理解、学习GDPR就需要投入：国内目前的介绍很多只是从英文材料翻译过来而已，为了准确理解GDPR，很多需要找咨询机构或者律所进行解读，这就是成本。而且GDPR缺乏具体实践案例，很多企业注定要花费大量成本进行摸索。

 

2、技术与流程的转变

 

• 理解了GDPR后，需要按照GDPR进行梳理或者整改，就涉及到具体落地；

• 数据收集时需要明确获得用户同意，涉及用户协议和隐私政策的修改；

• 不能将原始数据直接传回国内，而是脱敏或者加密后才回传国内，与此同时，测试环境不应当使用线上用户数据；

• 数据保存的高可用，需要保障用户数据的一致性和可靠性；

• 加强用户数据的监控与异常事件告警；

• 权限控制和审计：对于内部访问用户数据行为进行权限控制以及审计，避免出现“内鬼”或者攻击者通过内部用户非法获取用户数据；

• 应急响应流程和安全演练与评估：企业应当制订相应的用户数据安全事件响应机制并加以评估测试。

 

3、强调企业内部协作

 

法务、安全、人力、公共关系、产品、市场营销和用户关系部门的通力合作，是GDPR落地的必要条件，任何一个部门的单打独斗，都无法撑起GDPR的合规需求。

 

4、很大的不确定性

 

• GDPR也留下了许多解释空间，使得其执法灵活性很高

• 公司必须为个人数据提供“合理”的保护等级，但是却并未明确界定“合理”的标准。如此一来，在涉及评估数据违规和违规罚款的问题时，就为GDPR管理机构留出了很大的解释余地。

 

中国互联网企业如何应对GDPR

 

 

认真考虑自身在欧盟管辖区域内运行和开展业务的风险

 

• 识别并明确记录与处理欧盟数据主体的个人信息相关的一切活动，包括确保每项处理活动皆具有合法目的；

• 确保收集个人数据时始终向数据主体发出充分的通知，告知对方其被收集的数据有哪些，并明确说明目前正在处理的数据内容。

 

从研究和借鉴的视角提升自身的隐私数据安全保护能力

 

• 建立一套隐私影响评估流程，对数据保护及个人隐私权影响作出正式分析，并将其引入任何新的业务流程或系统；

• 通过充分、得到认同且有约束力的企业规则或其它合同条款以保护被转移至欧盟之外的个人数据；

• 审查访问控制、加密、化名与技术安全措施，以保护由企业控制的个人信息；

• 在发生危及欧盟公民个人信息的安全事件后的72小时之内，向欧盟数据保护机构发出通报；

• 任命一名数据保护官，负责对数据保护工作进行定期及系统性监测，同时负责内部教育、培训以及合规性审计事务。此人还将负责企业与GDPR监管当局之间的沟通，以及与数据主体间的交互。此要求适用于一切拥有高度敏感数据，或处理及/或存储大量欧盟个人数据的组织——无论这些主体是否属于组织外的员工或个人。

 

结合GDPR要求调整或完善自有产品以满足监管和市场要求

 

• 进行风险评估；

• GDPR还要求控制员和处理员指定一个数据保护员（DPO）来监管数据安全策略和GDPR合规性。核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据（健康记录、犯罪记录）的组织必须指定名DPO。DPO主要负责就GDPR规定提供咨询意见，向最高管理层报告；

• 改变企业处理、存储和保护用户个人数据的方式；

• 公司必须在发现违规事件的72小时内，向监管当局和受到违规事件影响的个人通报数据违规行为；

• 制定数据保护计划；

• 制定一个汇报GDPR合规进度的计划；

• 实施降低风险的措施；

• 建立持续的评估流程。

 

实践GDPR的方法：落实TOMs

 

• Controller和Processor均要落实TOMs：技术和组织措施，主要包括以下几个部分

• 保障系统与服务的保密性：这里包括数据访问权限控制，传输加密等；

• 保障系统与服务的完整性：这里包括数据的安全存储、日志保存以及访问控制；

• 保障系统与服务的可靠性：这里主要是数据的备份容灾；

• 安全事件应急响应机制的建立：这里主要是安全事件的应急，需要有明确的处理流程；

• 对已有流程和技术的评估测试：对于已经建立的技术和流程措施，需要通过演练和安全测试，确认其有效性和执行效率。

 

GDPR合规实践

 

由于绝大部分中国出海企业在欧盟并没有办事机构，而是通过上架应用或者代理商的方式开展业务，因此，下面主要讨论只在欧盟发行业务而没有办事机构，或者没有专门欧盟业务，而有欧盟用户的情况下的合规实践。

 

具体应对措施（下面根据是否保留欧盟市场分开讨论）：

 

1、保留欧盟市场

 

不在欧洲发行，有少量用户问题不大，不需要采取应对措施，这时触发GDPR的可能性不大。但如果有大量用户，比如总用户数超过10万等，这时就要谨慎应对了。

 

总体思路：

• 企业需要表明立场，同时付诸行动：发公告、在技术实现或者流程限制上做出表示；

• 修改用户协议与隐私政策：

• 秉承公平公正的原则，应当通知用户，经过授权才能拿；

• 使用目的应当符合使用场景，而不是以借口a用于b。

• 为用户提供更多管理个人信息的权限：

• 给用户提供迁移和删除权限以及手段；

• 安全事件主动通知，确保用户知情权。

• 数据处理方式：

• 如果对外传输的数据经过脱敏（ip hash或者用户标识符hash等），只要不可逆就是可以的， 也可以在欧盟内分析再传回国内；

• 欧盟市场的产品七层流量统一走https。

• 执行情况：

• 具体适用需要看国际法，如果GDPR与中国法律冲突，需要按照国际法去选择。

 

2、退出欧盟市场

 

• 放弃欧盟市场的采用IP地址库封掉IP即可。

 

不应该走捷径或耍小聪明

 

• GDPR内公有云不同region流通数据是否合规需要确认，但DPD是允许的；

• 同样的，企业私有云或走内网/VPN跨境传输数据也应当满足GDPR要求；

• 不走空中传输，先到公有云然后走内网回国内，也在GDPR保护范围内，因为Processor也受监管。

 

Processor的选择

 

大部分中国互联网公司出海，业务都承载在公有云之上。此时公有云自然而然就成了GDPR的Data Processor。此外，随着大数据分析的需要或者开放平台的需求，企业也会给第三方开放接口，多少会涉及到用户数据，比如微信、新浪微博开放用户昵称、头像等信息。与此同时，互联网应用无法避免应用分发的问题，需要接入其他厂商的SDK，那么用户数据不再是通过企业后端接口获取，而是直接在客户端获取了。

 

所以，对于公有云、第三方厂商、渠道商需要谨慎选择，确保对方也符合GDPR要求，严格遵循最小权限原则、有限授权、认证与审计并重、同步监控报警以及准备紧急事件应对方案。

• 公有云：目前AWS、GCP、Azure、阿里云都提供了GDPR支持服务，其中AWS是在2017年初已经提供了完备的GDPR用户文档，并宣布自身满足GDPR，相对而言另外几家上线服务较晚，基本都是2017年之后陆续推出的；

• 第三方厂商：对于第三方厂商的选择需要注意Facebook的前车之鉴：给剑桥分析提供接口获取数千万用户的政治观点暴露；

• 渠道商：外部SDK的接入，使渠道商也能在客户端获取到用户信息。

 

延伸话题

 

 

GDPR本地化

 

当前国内立法紧跟国际趋势，在立法效率和立法标准上与欧美不遑多让，我国国家质量监督检验检疫总局和国家标准化管理委员会在2017年12月29日发布、2018年5月1日正式实施的一部关于我国公民个人隐私安全保护重磅技术标准：《信息安全技术 个人信息安全规范》（GB/T 35273—2017）（以下简称《个人信息安全规范》或《规范》），与GDPR不同的是，该标准不是一部强制性标准而是一部推荐性标准。

 

该规范具有以下四个特点：

• 充分考虑标准在多方诉求方面的平衡性标准的编制，不仅考虑了个人对信息保护的诉求，同时也考虑了社会发展应用的需求、国家安全的需求。做到多方的价值平衡；

• 立足国内现有的法律、法规、规章、标准标准的编制，考虑到与现有法律、法规、规章、标准要求的一致性；

• 参考对标国际最先进的规则和立法标准的编制，参考了在个人信息保护方面最先进的国外立法；

• 不是自成一体而是与国际接轨标准的编制，在内容上与国际标准接轨，主要参考ISO/IEC 29100系列标准，包括：ISO/IEC 29100《隐私保护框架》、ISO/IEC 29101《隐私体系架构》、ISO/IEC 29190《隐私能力评估模型》等。 

 

GDPR与企业安全建设

 

GDPR通过TOMs落地，其中要求身份标识与访问控制、日志与审计、备份恢复、开发/测试数据集分离、监控与告警、加密等技术手段。其中大部分属于企业信息安全体系的重要内容，相信借着这个机会，很多企业也会重新梳理自己的安全体系架构。下面按照安全技术体系和组织规范建设分别展开：

 

1、安全技术体系

 

• 构建企业网络边界入侵检测系统；

• 启用内部审计UEBA系统；

• 在网络与系统边界实施访问控制；

• 信息采集、存储支持高可用和端-管道-端的统一加密。

 

2、安全组织规范建设

 

• 需要一个企业级安全应急响应中心（SRC），对外接收安全漏洞与威胁情报，对内组织漏洞修复与安全加固；

• 需要有明确的数据流转规范，确保敏感数据被加密、隔离，并执行有效的访问控制策略；

• 需要重视软件供应链安全，确保员工使用安全的工具办公；

• 需要开展安全教育与培训，避免员工因安全意识薄弱被利用。

 

参考资料

[1] GDPR官方文档：https://gdpr-info.eu/art-32-gdpr/

[2] GDPR检查列表：http://maxket.com/5-25-gdpr-checklist/

[3] 隐私保护与数据安全-RSA2018后记：https://mp.weixin.qq.com/s/m5K0IzWc7L03N91rbycTbw

[4] GDPR实务：http://www.infoq.com/cn/articles/gdpr-for-operations?utm_source=tuicool&utm_medium=referral

[5] 至今为止GDPR《通用数据保护规范》解释的最清楚的文章：https://mp.weixin.qq.com/s/-XzsGAsCl89xo9gb80M3Vw

[6] EU GDPR：金融机构需注意的GDPR要点分析：http://www.freebuf.com/articles/neopoints/170027.html

[7] GDPR合规安全技术措施循序渐进：http://www.hireright.com/emea/blog/2018/02/steps-gdpr-compliance-security-technical-measures/