数据安全技术前沿研究笔记(一)
数据安全技术前沿研究笔记(一)
1.前言
最近在看绿盟出的《拥抱合规、超越合规:数据安全技术前沿研究报告》,书是本好书,接下来也会分享自己的阅读笔记,但是这个名字又臭又长是谁想出来的。对于后续的技术学习其实我心里也没什么底,毕竟差分计算,联邦学习有接触过,感觉挺难的,冲!
2.为什么要关注数据安全
现在随着时代的发展,在大数据时代,数据的作用和重要性越来越大,数据的国家战略性资源地位也被确立。但是近年来,大规模的数据泄露事件频频发生。”大数据杀熟“、数据歧视、个人信息非法采集和窃取等现象发生得越来越多。因此,为了应对这种挑战,全国掀起了数据安全与隐私的立法和技术热潮。(可以看数据安全的第一篇文章,里面就摘抄出了很多不同国家不同机构出台的数据安全法律法规)
随着安全的重视,许多国家陆陆续续的出台了比较具有代表性的法案。欧盟的《通用数据保护条例》(GDPR)、美国的《加州消费者隐私法案》(CCPA)以及我国基于总体国家安全观指导下的《数据安全法》和对公民隐私和个人信息进行安全保护的《个人信息保护法》。
3.为什么要先关注数据安全的法律
全国数据安全法规的监管在不断的完善,这就涉及到了一个合规性的问题,企业的建设是否符合要求,重要的数据是否得到保护,这都是我们需要研究的的问题。在绿盟的这本书中,主要是针对用户隐私数据安全合规、企业内部数据安全治理和企业间数据安全共享与计算进行合规需求的梳理分析,同时选取了十周种比较前言的数据安全技术手段进行讲解好分析(一开始粗略瞅了一眼,看得头皮发麻)
其实,一开始给自己的定位是作为一个追求技术操作,但是如果没有法律法规的铺垫和研究,我们没办法明白我们最终技术所要实现的目标和作用,所以阅读法律法规是比较有必要的事情。
4.国内外立法与执法趋势
国外:
在立法方面,比较有代表性的就算欧盟2018年5月25日实施的《通用数据保护条例》(GDPR),在该条例的影响下,其他国家也陆陆续续推出了各自相关的法案。
在执法方面,欧盟由于立法比较早,所以相较于其他国家而言,欧盟已经进入到了全面执法的阶段并开出了违反GDPR的相关罚单(比如英国航空公司的1.83亿英镑和万豪国际集团的9900万英镑)。
国内:
在立法方面,从2017年的《网络安全法》、2020的《民法典》到2021年的《数据安全法》等等,越来越多关注数据安全的法律规出台。这也表明了我国对数据安全的高度重视。
在执法方面,我国监管部门重视的方面主要有两个,一个是针对APP个人信息授权专项治理(滴滴事件等),一个是针对个人信息非法交易与黑灰产的整治。(净网行动)
5.数据安全合规热点与解读
0)前言
由于欧盟的《GDPR》出台具有很大的代表性,所以绿盟的报告才将该法作为典型与我国的法律进行比较,获得共同点和差异处(个人理解)
1)保护对象:
《GDPR》保护对象是公民的“个人数据”,值得一提的是其对个人数据的定义是比较广泛的。涵盖信息十分丰富,包括了指纹、虹膜和DNA数据等特殊的数据。
《网络安全法》明确了保护的重点数据对象是“个人信息”。相比 GDPR来说,我国罗列的个人信息范畴并不大,并不包括由个人关联的信息(比如用户的行为 / 习惯等识别性不高的信息),这在一定程度缩小了“个人信息”的范围,降低敏感信息分类分级及保护的成本。当然,在个人信息保护法中有了更加宽泛定义的倾向。
2)用户的数据权利:
《GDPR》赋予了“数据主体”(或称用户)知情权、访问权、修改权、限制处理权、
删除权(也称“被遗忘权”)、可携带权、拒绝权等多项权利。 “被遗忘权”和“可携带权”是 GDPR新增两项用户“特权”。
《网络安全法》赋予了用户一定程度的“删除权”和“修改权”,而在《个人信息保护法》中则赋予了用户更丰富更具体的数据权利(知情权、访问权、被解释权等)
3)企业的安全义务
《GDPR》规定了企业必须响应和履行卫用户行使权利提供方便的义务,另外还要求了企业必须保存数据处理活动的记录和针对数据的安全措施
在我国法律中同样要求企业要配合用户行使数据的权利,此外,企业在防止数据泄露、窃取篡改等数据安全事件上,需履行安全管理制度、组织和规范建设,落实有效的网络安全措施。
确实对企业的要求不管是哪个国家都要求的差不多,在满足用户数据使用权利的前提下,保障用户数据的安全性。
4)违法违规的处罚
《GDPR》可被处以最高 2000 万欧元的行政罚款,或对企业以最高占上一财政年度全球总营业额 4% 的行政罚款,取两者最高值。违反数据处理规定被处罚的代价是十分高昂的(贵的一批)
我国的《网络安全法》中最高可处罚 100 万元的罚款,对直接负责的主管人员处罚最高 10 万元罚款。除罚款以外,还有责令暂停相关业务、关闭网站、吊销营业执照等严厉的行政处罚措施。在最近发布《个人信息保护法》中,对于个人信息的违法犯罪加大了处罚与罚款力度,对于违法情节严重的最高可以处罚 5000 万元以下或者上一年度营业额 5% 罚款,同时对直接负责的主管人员最高可罚款 100万元(看滴滴就知道了)
5)小结
法律越来越完善,对于很多定义和行为也有了清楚的讲解,处罚也会越来越重视