xrz98
作者xrz982018-05-25 12:11
售前技术支持, IBM

中国企业小心天价罚款!IBM安全专家解读GDPR(欧盟史上最严数据隐私法)

字数 4330阅读 9068评论 0赞 4

作者:夏润钊,IBM安全专家,目前担任大型主机售前技术支持,曾经服务过多家国有大型银行。在大型银行核心系统的IT架构设计,容量评估,安全等领域,具有丰富的经验。对于加密技术,权限管理,有深入研究。熟悉大型主机硬件,操作系统。持有PMP,Banking Industry Solution,IBM pervasive Encryption等多项认证。

数据隐私保护法出台背景

以下故事,纯属虚构,如有雷同,不胜荣幸。

德国留学生小D同学,刚刚于北京某大学研究生毕业。 毕业后顺利在北京第一村——后厂村的一个大厂当上了码农。吃完散伙饭,小D来到村边的小区租房子,进入了一家名为”XX”的中介机构,”XX”中介把自己的网站系统部署在YY公有云上,并且购买了YY云的大数据功能,帮助XX家分析租户特征,包括年龄,性别,学历,收入之类,以便分析用户习惯,在后期进行精准营销。房子租的很顺利,小D很满意,按照中介的要求将个人的姓名,年龄,护照号,电话提供给XX。

可是从那以后,小D就不断收到各种电话推销。包括房产推销,贷款推荐,另外居然还有诈骗电话……小D不胜其烦,向欧盟主管部门举报了XX中介。主管部门经过调查,发现XX未经小D允许,擅自把小D的信息分享给其它企业,并且未对储存的小D信息进行保护或加密措施。决定向XX中介开出1000万欧元的罚单。XX中介因此宣告破产……

上面的故事折射出个人信息的泄露这一全球性问题。互联网,移动通信技术的飞速发展,社交媒体,电商的兴起,极大的改变着人们的生活。人们在享受新兴技术带来的便利的同时,也面临着个人信息被泄露的危险。小到接听骚扰电话,大到身份信息被人拿去开户,信息泄露事件层出不穷。普通消费者越来越担心公布给电子商务的个人信息安全。

相对于企业来说,自然人在保护个人信息方面处于弱势。因此,欧盟为了保护欧盟公民的个人信息,同时增加消费者对电子商务的信心,制定了一个非常严格的个人信息保护条例——GDPR。GDPR主要规定了企业在收集和使用用户数据时必须遵循的原则,以及自然人对个人信息所享有的权利。

本文主要聊的就是GDPR的那点儿事。以及IBM作为IT江湖中的一代宗师,有哪些武林绝学可以帮助企业应对GDPR。

什么是GDPR

早在1995年,欧盟就制定了意在保护欧盟公民基本数据的法令《欧盟数据保护指令》。可惜的是,当时的法规无法预见今天的信息爆炸和个人数据被企业大量收集和使用的情况。虽然该法令经历了多次修改和延伸,但是仍然不能适应当今世界的巨变。

2016年4月,欧盟通过一项新的法令条例,其中心思想是对个人数据的收集之后的存储使用,规定更高的透明度与管控,这就是GDPR。该条例将在2018年5月25日正式生效。GDPR是General Data Protection Regulation的缩写,也就是《通用数据保护条例》。
GDPR.jpg

GDPR.jpg

GDPR非常详尽的规定了保护欧盟公民个人信息与企业的责任。对数据保护有一些比较特别的规定,例如对数据跨境传输的规定,数据控制者的义务,以及数据主体权利等方面。在展开讨论之前,先就本文即将用到的几个名词做一个简单的解释。

数据主体:即为数据的所有者和提供者,根据GDPR的规定,每个向机构或企业提供个人信息的自然人都是数据主体。
数据控制者: 是指的是对数据处理活动的“原因”和“过程”进行全面把控的自然人、法人、或公共机关。数据控制者决定个人信息处理目的和手段。
数据处理者:代表数据控制者处理个人信息的自然人或法人、公共机关或其他机构。数据处理者不决定个人信息的处理目的或方式,他们仅可按照数据控制者决定的方式处理个人信息。

在上面的例子中,小D是个人信息真正的主人,是数据所有者。XX中介,收集了欧盟公民小D的数据,分析小D的数据以便精准营销,是数据管理者。YY云受XX委托,对数据进行处理,是数据处理者。

数据控制者的义务
GDPR规定,.数据控制者必须全面付诸实际行动并采取适当的管理措施保护数据主体的信息安全;在指定数据处理者时,数据控制者必须确保持有适当的书面数据处理协议; 一旦数据控制者发现数据泄露,必须在72小时内通知数据保护机构数据泄露的消息;数据控制者有义务及时回应来自数据主体的要求,不得有任何不当延误且最晚在收到要求后一个月内回复。

数据处理者的义务
数据处理者,必须遵从数据管理者的指示,根据数据控制者的书面指示处理个人信息。不得将个人信息用于数据控制者要求以外的用途;如果数据处理者认为数据控制者的指示与 GDPR 要求或其他欧盟国家法律冲突,数据处理者必须立即通知数据控制者。数据处理者也须通知数据控制者任何数据泄露的消息;如果需要指定分包处理者,需获数据管理者的批准。

数据管理者和数据处理者共同的义务
在数据保护机构执行任务时,数据控制者与数据处理者均需应要求予以配合;必须指定数据保护专员;必须实施适当的技术、程序和组织措施,以保护个人信息免受意外或非法的破坏或访问;数据控制者与数据处理者必须按照GDPR要求,严格文档记录,一经要求,必须向数据保护机构披露这些记录。

数据主体的权利
数据主体有权要求确认数据控制者是否正在处理其个人信息,并且以何种方式处理个人的哪些信息,并且任何情况下有权在对方收到要求后的一个月内获得回复;数据主体有权更改,删除,和转移个人信息,有权拒绝数据管理者即使出于合法的目的将个人信息用于科学或研究领域;
有权阻止或中止对个人信息的使用。

数据的跨境传输
如果数据管理者希望把欧盟公民的个人数据传输到其他国家和地区,需要谨慎的选择目的地。. 欧盟公民的个人信息可以传输到其他欧盟成员国,瑞士,以及属于欧洲经济区 (EEA) 的非欧盟国家/地区;可以传输到欧洲以外拥有适当个人信息保护法规的国家/地区。这些国家/地区数量有限,其中包括加拿大、新西兰、以色列和阿根廷。当数据从欧盟内部的数据控制者传输到欧盟以外的数据控制者时,必须以公司为单位完成示范条款。通过约定示范条款,双方同意遵守符合《欧盟数据保护指令》要求的数据保护标准。

GDPR拥有治外法权
GDPR的颁布惠及欧盟的广大消费者,却苦了各大公司。因为如果违反GDPR的相关规定,将会受到严厉的行政罚款,其罚款范围是1000万到2000万欧元,或企业全球年营业额的2%到4%。

非欧盟成员国的企业只要满足下列两个条件之一,就必须受到GDPR的管辖
1.为了向欧盟境内公民服务而采集、处理个人信息。
2.为了监控欧盟境内公民的活动而采集、处理个人信息。

让咱们回到文章开头的例子。XX中介虽然不是欧盟企业,但是收集了欧盟公民小D的信息,应该受到GDPR的制约。XX位于中国,必须以公司为单位完成示范条款,同意遵守《欧盟数据保护指令》。XX未经小D允许,对小D的数据进行分析(精准营销),并且向其他企业披露小D的个人信息(营销电话),也未对小D的信息做出适当保护,违反了GDPR的多项规定。

普遍加密——IBM降龙十八掌之见龙在田

金庸笔下的降龙十八掌可说是武学中的巅峰绝诣,当真是无坚不摧、无固不破。十八种掌法面面俱到。同样,提升企业的数据安全水平,也需要从多维度进行考虑。如下图所示,

安全1.png

安全1.png

在信息安全领域,IBM具有多年的积累和丰富的经验,是该领域的领导者,是首先设置首席隐私保密官(Chief Privacy Officer)的几家企业之一。IBM符合世界各国的信息安全法规。为了应对GDPR, IBM已经启动了一个全球的项目,无论是在公司内部还是对于合作伙伴。IBM充分理解客户希望通过IBM提供的方案来符合GDPR的要求,并为实现这一目标做好了准备。

GDPR超越了信息安全的范畴,还包括数据监管和员工培训等领域。IBM可以帮助企业评估当前的安全级别,找出与GDPR的差距,为企业制定实施合规路线图,并提供相应技术解决方案。

如果说,应对GDPR的整体解决方案是一套面面俱到的降龙十八掌,那么普遍加密技术就是其中第二式——见龙在田。这一式是只为防御, 同样普遍加密技术就相当于给数据穿上了一件铁布衫,使之刀枪不入!

普遍加密技术(Pervasive Encryption),根植于IBM最新一代主机z14。IBM z系列主机本身就具有极高的安全级别,达到了业界最高的EAL5+。

所谓普遍加密,就是把所有数据进行加密的能力。不管这些数据是放在磁盘中磁带中还是放在内存中的,也不管这些数据是静态还是传输过程中的,都可以进行加密。除了加密功能,普遍加密技术还包括很多功能和性能的增强,如下图所示。

安全2.png

安全2.png

普遍加密涉及的方面很多,在这里列举三个有意思的功能:

  • 在z14上,加密协处理器跟上一代相比,性能提升高达6倍。意味着加密解密速度更快。
  • 使用了全盘加密之后,用户的应用不需要做任何更改,加密解密过程都在底层实现。
  • 更为神奇的是,如果使用Crypto Express 加密卡,连管理员也无法知道密钥的明文。如果有人想强行拆除加密卡,读取其中的内容,那么加密卡会启动自曝程序(清零)跟剽窃者同归于尽。

安全3.png

安全3.png

普遍加密与操作系统本身的权限控制有很好的结合。举个例子,在主机最新版本的操作系统z/OS 2.3中有这样一个功能:当某个加密文件(data set)的所有者需要访问该文件的内容时,因为他拥有该文件和文件密钥的访问权限,所以可以读取或修改文件。而对于系统管理员来说,具有加密文件本身的访问权限,因此可以对数据进行复制,备份或迁移。但是数据管理员不应该随便查看该加密文件的内容,因此不享有该文件密钥的访问权限。这样一来,系统管理员既能对数据进行日常管理,又不至于权限过大去访问不该访问的东西。把权力关进制度的笼子里,进一步减少了数据泄露的风险。

试想,如果XX中介在自己的信息系统中使用了普遍加密技术,就能够满足GDPR对作为数据控制者的要求。因为XX中介通过技术和组织措施,保护了欧盟公民的个人信息,这种技术措施能有效防止数据的泄露。在应对审计的时候,所有数据都是经过加密存放和传输的,相对于以前的部分加密或有选择的加密,这种技术手段本身就是防止信息泄露的最好证据。如果XX更有职业操守一点儿,不随便向其他单位或个人泄露用户的个人信息,并且以公司为单位完成示范条款,同意遵守《欧盟数据保护指令》,就不至于收到欧盟的处罚而宣告破产了。

普遍加密区别于之前传统的加密方式,它是无所不在的加密和全方位的保护。不但防御了外部攻击,而且防范了来自内部的威胁。企业有了普遍加密技术,也可以更有信心的保护数据安全,不惧数据泄露,不怕黑客攻击。就向诗中所说的,“他强任他强,清风拂山岗;他横任他横,明月照大江”

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

4

添加新评论0 条评论

Ctrl+Enter 发表

本文隶属于专栏

解决方案剖析
将具有前瞻的解决方案并结合企业真实的需求,逻辑严谨的进行深入浅出的剖析并服务更多的企业IT应用,不仅需要分享者需要对技术和产品的彻底理解,还需要深谙企业真正的建设需求,同时还需有实事求是及乐于分享的精神和能力。本栏目的分享者们无疑是推动中国企业IT应用落地最核心的力量!

相关文章

相关问题

相关资料

X社区推广