信通院:云上数据保护应遵循六大原则

  欧盟近期发布了一项与云数据个人隐私保护有关的最新科研成果,该成果由欧盟“地平线2020”计划资助下的“云安”(SafeCloud)项目组完成。

8455线路检测 1

8455线路检测 2

  欧盟高度重视个人隐私数据保护,5月25日生效的《通用数据保护条例》为个人隐私保护提供了有力的法律保障,而近期“云安”项目公布的个人隐私数据保护技术为个人隐私保护提供了可选择的技术支持。

当前,云计算服务面临的风险日趋复杂多样,数据安全问题日益凸显,云服务商如何有效保护个人数据安全已成为政府、企业、个人和社会各界广泛关注的热点问题。

为了进一步促进云计算创新发展,建立云计算信任体系,规范云计算行业,促进市场发展,提升产业技术和服务水平。由中国信息通信研究院、中国通信标准化协会主办的“2018可信云大会”于2018年8月14日-15日在北京国际会议中心召开。

  “云安”项目所采用的技术架构中采用了两项起着核心作用的技术——分区和纠缠,项目组在整个数据管理堆栈中使用这两项技术,既保证了通讯安全,又保证了个人数据得以妥善存储。“云安”技术充分授权用户保护个人数据的安全,让用户掌控存储个人资料的域,并让其选择纠缠的级别,通过这种方式让用户既能利用云数据、又能够保护其个人隐私;既能保证了云数据的运算性能,又保证了云数据的扩展性。

目前在个人隐私保护问题非常尖锐的情况下,中国、新加坡、日本、欧盟等国均出台了与个人数据保护相关的法律法规。如何满足各国监管要求,是云服务商出海面临的共同问题。

随如今,云计算已经发展了10余个年头,并逐渐形成庞大的产业规模,企业“上”云也并非难事。但不断出现的信息数据泄露事件给火爆的云计算界敲响了警钟,企业开始逐渐意识到云计算的风险性,明白部署哪一种云都有可能受到黑客攻击。虽然云计算可带来显著的优势,但潜在风险也不容忽视。2018可信云大会邀请了行业内多位大咖与权重人物共同探索可信云与云计算的创新发展新路径。

  “云安”项目由葡萄牙、瑞士、德国和爱沙尼亚等国的科研机构联合承担,执行期自2015年9月至2018年8月。作为项目承担单位的葡萄牙系统与计算机工程科技学院和瑞士纳沙泰尔大学非常看好此技术的市场前景,为此两家单位联合成立了一家公司,目前可以提供消费级的应用软件、企业级的数据防护系统等产品和服务。

基于对云服务市场的深刻理解,针对云服务商在个人数据保护上的“痛点”,在8月份即将召开的2018可信云大会上,中国信息通信研究院将发布《云服务商个人数据保护指南》,该《指南》梳理了各国在个人数据保护方面的法律法规以及国内外的相关标准,为云服务商应对各国法律、保证合规性提出了有效建议。

会上,中国信息通信研究院云大所云计算部风险管理主管郭雪介绍了由中国信息通信研究院牵头发布的《云服务商个人数据保护指南》,以下为演讲全文:

各国立法有差异 云服务商需遵循九大共性要求

下面由我为大家对云服务商个人数据保护指南做介绍,首先在此非常感谢这个白皮书是由中国信通院牵头联合了腾讯、华为、京东、中东电信在内十家云服务商联合定制的指南,为什么要做这个指南?其实是跟全球的市场环境有非常大的关系,全球的环境可以看到,现在有90多个地区已经出台了相关的个人数据保护的法律法规,新加坡的13年的个人信息保护法,我国去年的网络安全法关注度非常高,里面有非常多个人数据的要求,像今年关注度非常高的GDPR对大家造成了非常大的影响。各国出台了数据保护个人信息保护的相关法律之后,对我国云服务商是有影响的,对云服务商来说如何开展个人业务和数据都是非常重要的工作。这里举了一个例子,就是关注度非常高的GDPR,为什么关注度这么高?一方面可能是它上面的要求非常严苛,同时它也有两千万的巨额罚单。除此之外它的影响范围非常广,这是它的重要原因,也就是说它能影响国内非常多的云服务商,我列了4个场景,如果过云服务在欧盟有分支机构,面向欧盟提供服务有一些注册信息,有些用户购买资源的信息都要遵循GDPR的要求,除此之外云上用户涉及到个人信息也要满足GDPR的要求。

据了解,《云服务商个人数据保护指南》梳理了中国、欧盟、新加坡、美国、加拿大、日本、韩国等全球多国在个人数据保护方面的法律监管要求和相关标准,充分分析了各国在个人数据保护方面的特点和差异。

8455线路检测,它的涉及面非常广,所以关注度非常高,这相当于一方面原因,各国都有一些个人数据保护的法律法规的要求。

目前,我国在个人数据方面的立法仍处于发展阶段,《中华人民共和国网络安全法》、《个人信息安全规范》等法律法规,主要是从数据处理合法、用户权利、数据安全、事故披露、跨境传输等方面对数据保护提出了要求。

另一方面云上的数据安全确实得到了大家的关注,而且这两年数据安全比较多,去年亚马逊的事件,今年facebook的事件都是关注度非常高的,如何保护云数据安全都是大家关注的点。

被外界誉为史上最严格的欧盟《一般数据保护条例》,则明确对数据处理者责任进行要求,加强了对欧盟数据主体的权利保护,在数据向第三国传输、违规处罚、监管等方面都进行了较为严格的规范。

在这个背景之下由中国信通院牵头做云服务商个人数据保护指南,这个指南第一是梳理各个国家的保护要求,同时梳理保护原则,通过这个指南一方面提供云服务商个人数据保护能力,同时也是帮助云服务商顺利开展业务。

相比之下,美国采取以行业自律和市场调节机制为主的松散立法,对数据保护采取“长臂管辖”原则,扩大了执法部门对境外数据的权限,同时对于儿童信息数据、电子通讯数据等特殊数据进行了立法保护。

这个指南最开始解决的问题是云上数据有哪些是最关键的,哪些是重点要保护的数据,云上数据分了四大类:

《云服务商个人数据保护指南》指出,虽然各国对个人数据保护的态度不同,监管内容也有差异,但无论严苛或宽松,大致可归纳为如下九项要求:

1、云用户自己存储的数据。

l 个人数据的定义范围不断扩大;

2、注册信息。

l 设立数据保护官;

3、衍生数据,登陆日志,这三大类在我们认为是上的个人数据。

l 数据主体的权利,包括知情权、删除权、纠正权等;

4、云服务商的信息,配置日志等等。也就是说前三大类是重点研究的云服务商的个人数据。

l 数据保护义务,包括数据完整性、数据安全性等;

各国的法律法规我们做了大概的梳理,各国的法律法规有哪些要求,我们列了中国、欧盟、新加坡、美国、加拿大、日本和韩国的,发现各国的法律法规要求有些共性的地方都会强调数据主体的权利,特别强调知情权、删除权、纠正权都会提多数据保护的义务,包括保护数据的完整性安全性,都提出了对数据跨境流动的要求,同时对数据泄露、披露做了要求,如何做泄露之后的披露。初次致用我们分析了各国法律的特殊要求,这个应该是大家关注度比较高的,每个国家的法律在数据保护方面有些特定的要求,对于我国来说比较熟,我国一方面很强调关键信息基础设施,强调重点行业数据如何保护。另一方面有几个具体的要求,包括网络日志要存储不少于6个月这样一个硬性的要求,同时有些场景要做真实信息的验证,这我国《网络安全法。

l 对个人敏感信息进行特殊保护;

GDPR为什么关注度这么高?由于覆盖面比较高同时要求严格,还有一些特殊要求包括泄露之后72小时要向监管机构报告,同时巨额罚单是这个事情可高达两千万。同时新加坡、日本和韩国它的法律监管要求也有一些特殊的要求,新加坡要求30天内做出响应,韩国也有500万韩元的罚款,为什么列了一些东南亚的法律的监管要求,可能也是跟国内云服务商出海,东南亚是重点的领域我们也比较关注东南亚的法律要求。

l 跨境传输要求,何种情况下可以进行跨境传输;

全球的法律监管的要求,在国际和国内数据保护的标准上面,国内今年5月份出的个人信息安全规范关注度比较高,从个人数据周期的角度,数据收集、保存、使用、共享、转让、公开披露几个关键的环节做了规范的要求。中国信通院在去年也做了云服务商个人数据保护参考框架标准,梳理云服务商如何从技术角度保护云上的用户数据。国际上有27018和CISPIE也是关注度比较高的标准。

l 数据泄露披露,包括报告监管机构,通知数据主体;

在各国监管法律的要求之下,相关标准要求之下,云上的数据保护应该遵循哪些原则我们梳理了六大原则:

l 对特殊类型数据的处理,如儿童数据等;

1、合法性原则,在哪个国开展业务,满足当地的要求。

l 成立独立的监管机构。

2、目的限制的原则,如果涉及到数据的处理要满足数据限制。

此外,《云服务商个人数据保护指南》还列举了国内外数据保护方面的相关标准,如:中国国家标准化管理委员会发布的《个人信息安全规范》,公有云个人隐私数据保护方面的首个国际标准ISO/IEC
27018,欧洲云计算服务供应商联盟 (CISPE
)发布的《个人数据保护行为准则》等。

3、质量,要保证准确完整性。

在云计算数据安全领域,中国信息通信研究院在“2017可信云大会”上发布了《云服务用户数据保护能力参考框架》。该标准从用户视角出发,规定了云计算数据保护能力的十六大类指标,全面覆盖数据安全事前防范、事中保护和事后追溯三个阶段,使企业在达到“可信”的基础之上,实现对“安全”的全面保障。

4、公开和知情原则要做数故披露。

在数据处理层面,云服务商作为数据处理过程中的关键角色,与云用户、第三方服务提供商的合作中均涉及数据处理规范性的问题。中国信息通信研究院已启动云服务商数据处理协议相关标准的制定工作。《云服务商数据处理协议参考框架》将针对云服务过程中面临的安全问题,规范云服务商与各方签订数据处理协议应包含的内容,帮助云服务商建立规范完备的数据处理体系。

5、安全性原则。

五大措施助力云服务商 提升个人数据保护能力

6、原则划分,要有安全划分。

面对各国个人数据保护的法律监管要求,《云服务商个人数据保护指南》建议云服务商针对不同场景、分别采取五大措施,提升企业在个人数据保护方面的能力。

数据分了三大类,对于云服务商来说要分两种场景,第一种场景针对云上的云用户存储的业务数据,云服务商来说更多是以处理者的身份存在,它不涉及数据的收集,所以云服务商应该采用右边部分的保护措施,如果针对的个人数据是一些账户信息以及衍生数据,云服务商可能涉及到数据收集和处理,用左边的数据保护的措施。把整个数据保护措施做一个完整的介绍。

《云服务商个人数据保护指南》提出,应明确不同场景下的数据主体。当数据主体为云用户,数据由云服务商控制时,云服务商可以采取以下措施规范自身行为:

第一种场景是云服务商会涉及到数据收集、存储、处理、销毁。也就是说云服务商作为数据库存存在应该怎么做?

建立跨部门合作。个人数据保护合规至少需要安全、法务、管理部门、开发部门、运维部门、财税部门等相关部门共同组建合规团队,在协作下完成个人数据保护合规工作。

首先应该跨部门合作,安全尤其数据的保护问题不光涉及安全部门,包括法律部门、相关管理部门都应该组建完整的团队。

标准化的隐私协议。企业应根据相关法律法规,以易于访问的方式公开隐私协议,协议内容应清晰易懂。

第二要有标准化的隐私协议,个人信息安全规范里面也提到了隐私声明的范本,由云服务商和用户签订一个标准化的隐私声明,向用户声明要收集你的哪些信息做哪些处理,如果出现泄露应该什么时候通知,通知谁。

个人数据保护措施。企业可以从几个方面着手,如:设置专职的数据保护人员、升级数据安全管理制度、提高工作人员数据保护意识、提高数据全生命周期的安全保护能力等。

第三要有个人数据的保护措施,包括适用采用制度+人员+制度的三大方面提升数据隐私能力,贯穿产品设计,提升数据安全的管理制度,建议设立专业数据保护人员,提升数据保护意识,在整个周期做数据保护工作,从收集开始要明确得到用户授权、包括传输、存储过程中保护整个数据的安全。

规范第三方合作。企业在委托第三方处理个人信息时,不得超出个人信息主体授权同意的范围,并依据相关法律法规要求第三方实施适当的技术和组织机制,并对第三方进行约束和监督。

第四块需要规范第三方合作,要签订一些规范的数据处理协议。第五方面是要开展相关的评估,通过第三方评估事前梳理一些数据的安全风险,这是整个云服务商作为数据控制者来说可以采取的措施。

第三方评估。云服务商可定期参加第三方关于个人信息或隐私保护的认证评估,如
ISO/IEC
27018:公有云个人隐私保护认证、CISPE个人数据保护行为准则认证等,通过第三方视角挖掘企业在个人数据保护领域的盲点,以规范企业行为,提高企业个人信息保护能力。

第二种场景是刚才在右边的架构图里,云服务商不涉及到整个数据生命周期的收集、采集、存储、云服务商仅仅着重数据处理者存在,仅做数据处理的话,云服务商应该如何做?

当数据由云用户控制,云服务商仅负责处理数据时,云服务商可以采取以下措施规范自身行为:

1、在我们看来应该是签订标准化的数据处理协议,数据处理协议应该由云服务商和用户或与其他的数据处理者签署的数据处理协议,签订标准化的数据处理协议,包括内容有基础信息的披露、存储的保密性安全性,明确用户的权利,安全事件发生之后应该如何通知、监控和审计的要求、赔偿和保险的要求。

标准化的数据处理协议。云服务商应与云用户签订数据处理协议,规范云上数据的存储和管理,保障云用户的数据安全。

2、数据处理的安全措施,安全措施绿色标记的是软的措施包括管理制度,设置专门的人、要有些保密义务。右边是硬的措施,物理安全、网络安全和传输安全。

数据处理安全措施。例如:规定企业、第三方及相关人员的保密义务;安全漏洞的处置和通知;保证数据的网络安全和物理安全;定期测试、评估等。

3、规范第三方合作,第三方合作涉及到其他的数据处理者,要保证整个数据处理供应链的安全,要签订涉及标准化的数据处理协议,与用户、与供应商与其他的数据处理者签订标准化的数据处理协议。4、可以为用户提供一些数据安全服务,帮助用户保障业务数据的安全,包括匿名、加密、备份、定期测试的服务;

规范第三方合作。对于云服务商来说,企业在数据保护问题中涉及与云用户、其他分包商等的协同合作。企业可以通过签订数据处理协议明确权责划分,避免合作中因一方行为不当导致的连带责任。

5、可以开展第三方评估。

为用户提供数据安全服务。云服务商与云用户在数据保护中责任共担,云服务商可以为云用户提供数据安全产品或服务,为云用户在数据生命周期内的合规提供保障。

6,通过借助保险这种经济手段保障云上的数据安全,云上数据如果发生泄露丢失的案件,由保险公司直接给予经济赔偿也是云服务商可以选择的直接保护的措施。

第三方评估。企业可定期参与第三方关于数据处理安全及数据处理协议的认证评估,如:中国信息通信研究院《云服务用户数据保护能力评估》等。行业第三方权威认证为云服务商保障用户数据安全提供指导,帮助其规避相关风险。

中国信通院可以说在数据保护方面有些积累,去年推出了云服务商个人数据保护能力参考框架,这个标准比较偏硬的技术方面的测试,有涉及近百条指标项目对云服务商进行标准化的测试,验证云服务商的能力。我们也开展云服务商数据处理协议参考框架,从一些文本的规范性、协议规范性、完整性上对云服务商做规范性的要求。这是中国信通院工作的积累。我的介绍就是这样,谢谢大家!

达到个人数据保护的合规标准,涉及的内部流程和技术手段很多,对于很多云服务商来说,都不是短期之内能够完成的事情。可信云《云服务商个人数据保护指南》对云服务商应具备的个人数据保护能力做出了全面的论述,也将推动云服务商将保护个人数据的行动切实纳入日程。

声明:本网站发布的内容以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8306;邮箱:hyg@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码资讯门户
信通院:云上数据保护应遵循六大原则

声明:本网站发布的内容以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-62778877-8306;邮箱:hyg@west.cn。本站原创内容未经允许不得转载,或转载时需注明出处::西部数码资讯门户
信通院将发布《云服务商个人数据保护指南》

发表评论

电子邮件地址不会被公开。 必填项已用*标注

CopyRight © 2015-2020 8455线路检测 All Rights Reserved.
网站地图xml地图