亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

摘要：本文以“個人信息保護(hù)合規(guī)的挑戰(zhàn)和機(jī)遇”為主題介紹了我國個人信息保護(hù)相關(guān)法律法規(guī)、政策標(biāo)準(zhǔn)、監(jiān)管要求，分析了GDPR的核心要求以及與我國個人信息保護(hù)相關(guān)要求的異同，并站在當(dāng)前監(jiān)管環(huán)境下，給出了數(shù)據(jù)安全監(jiān)管的總體思路，尤其是在個人信息保護(hù)合規(guī)角度，歸納總結(jié)了企業(yè)應(yīng)該注意的關(guān)鍵要素以及未來的合規(guī)工作方向。

何延哲 ? ?中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心審查部總監(jiān)，國家標(biāo)準(zhǔn)《個人信息安全規(guī)范》主要起草人之一

個人信息保護(hù)近年確實是非常熱的一個話題，為什么會這么熱呢？是我們國家的政策，《網(wǎng)絡(luò)安全法》出臺之后整個一年過程中都是熱點問題。我們看到的一些熱點事情，比如Facebook事件，GDPR實施，支付寶帳單，大數(shù)據(jù)殺熟等熱點事件。現(xiàn)在媒體非常關(guān)注，有的企業(yè)在這方面稍微有一點漏洞，媒體第二天就會把它炒成熱點事件。同時，民眾的個人信息保護(hù)的意識從去年到今年有非常大的提升。總之，個人信息保護(hù)現(xiàn)在已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域非常重要的一部分，這是網(wǎng)絡(luò)安全和空間安全重點組成還是稍微有點不足，更新保護(hù)已經(jīng)占到非常大的一塊。

趨勢

現(xiàn)在說的非常多，都說從IT時代到DT時代。IT時代的個人信息保護(hù)和DT時代的個人信息保護(hù)有什么區(qū)別？

原來我們用QQ聊天，發(fā)郵件，使用個人信息實際是在標(biāo)識我們每個人，讓我們知道這個人是誰，就像我們身份證、手機(jī)號都是為了標(biāo)識某個人。但到了DT時代，個人信息的作用遠(yuǎn)遠(yuǎn)不足，我們可以通過對個人活動的軌跡做一些畫像，進(jìn)行分析，達(dá)到千人千面和精準(zhǔn)分析的目的。這帶來的變化是什么呢？原來個人信息是起到提高效率的作用，現(xiàn)在的個人信息實際是所謂的智能。智能對個人精準(zhǔn)畫像確實做到了方便智能，但同時精準(zhǔn)畫像如果被惡意使用，對個人的影響也會影響應(yīng)用，是致命的。

我們對國家關(guān)鍵信息基礎(chǔ)設(shè)施能不能畫像，對一個社會群體，社會現(xiàn)實能不能畫像，我認(rèn)為，這個原理是一樣的。我們的數(shù)據(jù)安全在所謂的DT時代要有更加全面的認(rèn)識。我們談數(shù)字安全談的大多數(shù)都是傳統(tǒng)的數(shù)據(jù)安全，如果把它再放到個人信息保護(hù)里看，數(shù)據(jù)安全還有一些個人權(quán)利保障，比如過度收集和完整性、保密性、可用性有關(guān)系嗎？都沒有太直接的關(guān)系，我們自己能注銷這個權(quán)利，可攜帶這種權(quán)利和這個有關(guān)系嗎？都沒有關(guān)系。所以，我們在數(shù)據(jù)安全市場上，再加一層就是數(shù)據(jù)安全保障。

再把它放到重要數(shù)據(jù)，習(xí)主席講話提到的關(guān)鍵數(shù)據(jù)資源保護(hù)，這又是在傳統(tǒng)數(shù)據(jù)安全方面多了一些處理的限制，有些數(shù)據(jù)不是隨隨變變就能處理的，比如國家有一些地理資源，人口健康等信息，“互聯(lián)網(wǎng)+”之后是不是也有原始數(shù)據(jù)，進(jìn)行分析，也得到傳統(tǒng)意義上的敏感信息，這是有可能的，所以，我們要在這些上加強處理和限制，這和保密性、可用性是不一樣的。

前兩年我們講數(shù)據(jù)安全，很多人沒有把大數(shù)據(jù)安全和數(shù)據(jù)安全講清楚，通過今年發(fā)生的事情推斷，如果從三個層面綜合來看大數(shù)據(jù)安全基本框架就已經(jīng)形成，這是我國監(jiān)管方面提出的框架。

對個人信息保護(hù)的理解。

我個人認(rèn)為，個人信息保護(hù)的特征，因人而起——入門易。這不是芯片、算法，這是很專業(yè)的問題，個人信息保護(hù)，每一位老百姓都可以說兩句，很簡單，誰都可以說，這沒保護(hù)好，我被騷擾，這就很可怕。當(dāng)所有人都在談這件事情的時候很難達(dá)成共識。

因時而變——深入繁，比如個人信息的權(quán)屬，法律上討論了很久也許多定論，真的有那么復(fù)雜嗎？

因人而異——實用難。是不是有一個技術(shù)、模式、政策能防止黑產(chǎn)、根除黑產(chǎn)，這幾乎是不可能的，看到手機(jī)的彈窗，點一下“同意”這件事兒，就這一個事兒能不能解決這個問題，或者這個到底有多難解決。一個措施根本上解決不了這個問題，我們或沒有看到哪個技術(shù)特別適用，把各種信息問題做非常好的解決。這需要探討。個人信息保護(hù)真有這么難嗎？是我們夸大了還是上綱上線？

挑戰(zhàn)。

1、今年以來，GDPR實施，2000萬歐元的罰款，全球4%的營業(yè)額和2000萬歐元之間孰輕孰重，這個違規(guī)的代價有多大。

2、全球化的挑戰(zhàn)，這不光是違規(guī)處罰的問題，你要進(jìn)行全球化經(jīng)營，要做兩個版本，國內(nèi)版和國際版，這對你的業(yè)務(wù)有多大的變革和影響，有些功能可能在美國不能用了。

3、業(yè)務(wù)變革。今年上半年百度李彥宏先生說到“個人信息保護(hù)”一句話帶來的影響，這就涉及到所有的公民個人信息保護(hù)帶來的挑戰(zhàn)，不可謂說不困難。

機(jī)遇。

如果個人信息保護(hù)做好，是不是能夠贏得業(yè)務(wù)的發(fā)展空間，競爭對手做得不好，范圍就小。我們可以這么理解。

合規(guī)就是競爭力，對個人信息保護(hù)當(dāng)然就是競爭力。

合規(guī)即業(yè)務(wù)，個人信息保護(hù)做得好，可以幫助合作伙伴生態(tài)業(yè)務(wù)提升，做大業(yè)務(wù)。

最后可以換取平穩(wěn)的外部環(huán)境。

現(xiàn)在大公司特別擔(dān)心移動的影響，股票的影響，如果出現(xiàn)一些問題，F(xiàn)acebook這個事情就在眼前，用個人信息保護(hù)獲取自己發(fā)展的平穩(wěn)環(huán)境是非常重要的。我們真的要克服這種挑戰(zhàn)，抓住這些機(jī)遇還是需要有一套保護(hù)的現(xiàn)狀。

現(xiàn)狀。

國內(nèi)和國外的對比。

國內(nèi)網(wǎng)絡(luò)安全法有個要求，還有相應(yīng)的法規(guī)規(guī)章出臺，GDPR是很多人沒有提及的事兒，歐盟做個人信息保護(hù)不是從今年做GDPR，而是幾十年前就開始做了，只不過GDPR實施之后，原來的變成廢紙了。我們和歐盟專家交流時，他們說你們很奇怪，我們以前認(rèn)為應(yīng)該做的時候你們不重視，現(xiàn)在開始重視了，還不是沖著罰款嘛。可見罰款也很重要，可以讓我們重視這個問題。GDPR是一部單行法覆蓋整個歐盟，事實上他是想GDPR所有歐盟體系內(nèi)的國家，用一部法規(guī)來促進(jìn)，因為各個國家之間保護(hù)的水平是一致的。所以，它流通起來更加方便。GDPR也覆蓋了公權(quán)力部門，所有企業(yè)、各行各業(yè)數(shù)據(jù)的要求都能覆蓋。它是基于Risk-based Approach風(fēng)險的，大企業(yè)、小企業(yè)做GDPR都是200多頁的文檔那么長，難道所有人都一樣的，小企業(yè)的壓力是不是非常大，他希望基于數(shù)據(jù)，自己選擇適當(dāng)?shù)拇胧┳鰯?shù)據(jù)保護(hù)。歐盟認(rèn)為，這種方式適合創(chuàng)新和技術(shù)中立的。能不能達(dá)到這樣的效果，我們還有待觀察。

GDPR關(guān)注點。

前段時間對于GDPR的關(guān)注，我對GDPR的要點進(jìn)行了梳理。

適用范圍，GDPR究竟會產(chǎn)生多大的效果。首先，GDPR有可能會管轄到非歐盟企業(yè)，或者其他國家運營的企業(yè)，歐盟境內(nèi)設(shè)有分支機(jī)構(gòu)沒得說，你會被他管。如果在歐盟境內(nèi)不設(shè)分支機(jī)構(gòu)他也能管到，只要對歐盟境內(nèi)數(shù)據(jù)主體進(jìn)行所謂的監(jiān)禁，也就是說對他進(jìn)行處理，比如社交平臺有個英文版或法文版、德文版，給歐盟的用戶進(jìn)行注冊，即便你企業(yè)是在中國也受GDPR的管轄。

我們有個做設(shè)備的廠商，他把設(shè)備軟件嵌入到一款別的產(chǎn)品里，但這款產(chǎn)品正好賣到歐盟，做這個產(chǎn)品的供應(yīng)商自己也有可能納入到監(jiān)管范圍。大家總覺得自己被管住似的，實際從理論原則上來講，歐盟是希望達(dá)到這樣的效果，畢竟誰也劃清不了這個界限，所以，他用兜底式條款來把這個影響范圍擴(kuò)大。是不是執(zhí)法的時候都會執(zhí)法，在非歐盟境內(nèi)的企業(yè)家怎么執(zhí)法有待觀察，如果他管起來之后，你要進(jìn)入歐盟這幾個億所謂高質(zhì)量消費群體市場會變得困難。

GDPR強調(diào)合法性事由，不再是以領(lǐng)域為基礎(chǔ)的，他列出6種情況，這和現(xiàn)在國內(nèi)法律里強調(diào)的統(tǒng)計數(shù)據(jù)的差別。

數(shù)據(jù)保護(hù)關(guān)聯(lián)概念，強調(diào)一些數(shù)據(jù)保護(hù)方案，應(yīng)該設(shè)立一個數(shù)據(jù)相關(guān)的保護(hù)官員。

數(shù)據(jù)主體，這是他們提出的，大家比較關(guān)心的問題，因為很多的權(quán)利很難實現(xiàn)，包括美國的巨頭也很頭疼怎么實現(xiàn)。《網(wǎng)絡(luò)安全法》實際強調(diào)公正，但公正具體的內(nèi)容還是有點不一樣。訪問知情這實際也是有的，它還是非常全面的權(quán)利，但有些權(quán)利實施起來非常困難，最后對歐盟數(shù)據(jù)化團(tuán)隊提出一個機(jī)制，并不單單提出是個安全評估，它提出來比較多，各種方式你可以做個選擇。

全球角度來看，個人信息報有什么特點。

歐盟? 統(tǒng)一獨立立法，數(shù)據(jù)保護(hù)委員會，DPA監(jiān)管。

美國，分散立法，有行業(yè)自律規(guī)則，美國人在未成年人保護(hù)，醫(yī)療領(lǐng)域有個人信息保護(hù)的規(guī)定，但沒有統(tǒng)一的規(guī)定。想通過訴訟方式推動企業(yè)重視這個事兒。

其他國家，日本、澳大利亞、馬來西亞、新加坡、加拿大都有個人信息保護(hù)相關(guān)立法，我們國家消保局也有單獨的規(guī)定，其他國家更和歐盟有點類似。

中國，在個人信息保護(hù)領(lǐng)域目前沒有單獨的立法，就是個人信息保護(hù)法，當(dāng)然現(xiàn)在也在提案這個法。我們之前很多法律法規(guī)之前很多都提到個人信息保護(hù)，特別是《網(wǎng)絡(luò)安全法》有一個章節(jié)一大部分提出個人信息保護(hù)，實際是提出個人信息保護(hù)的要求，法律體現(xiàn)的，并不是說沒有。我們希望通過一些引導(dǎo)提升的行動來促進(jìn)大家把個人信息保護(hù)的工作做好。

我國個人信息保護(hù)框架，人大2012年有個規(guī)定，2015年刑法修正案，去年兩高司法解釋都對個人信息保護(hù)做出了相應(yīng)的修訂。《網(wǎng)絡(luò)安全法》是重中之重，對個人信息，所有法律里集大成者。2017年國家標(biāo)準(zhǔn)實施，這實際也是對指導(dǎo)個人信息保護(hù)提升是非常有幫助的。我國的法規(guī)是偏向框架和原則性的，操作實施要落地的話還是需要標(biāo)準(zhǔn)側(cè)的指導(dǎo)，還有待于細(xì)則的出臺。

最近也有一些特別有意思的事兒，《英國金融時報》說中國意外成為亞洲數(shù)據(jù)保護(hù)領(lǐng)先者，他們提出這樣的觀點，我也挺意外的，因為很少有外媒這么評價中國的數(shù)據(jù)保護(hù)，它實際指出了我們制訂了更為詳細(xì)的個人信息保護(hù)規(guī)范，它把個人信息保護(hù)落地內(nèi)容做了詳細(xì)指導(dǎo)，適用主管、監(jiān)管部門的一些監(jiān)督管理評估，包括對一些機(jī)構(gòu)和企業(yè)進(jìn)行實踐。

去年有個四部委的評審，發(fā)布了個人信息保護(hù)倡議書，包括簽署儀式，事實上在寫這個條款的時候，我們法律法規(guī)里并沒有講條款應(yīng)該寫哪些，這就需要指導(dǎo)實踐和標(biāo)準(zhǔn)來指導(dǎo)，這也算是適用于主管監(jiān)管部門的一次印證。

規(guī)范出來以后，包括收集、保護(hù)個人信息之外，對一些成員的具體要求。我對標(biāo)準(zhǔn)進(jìn)行補充，盡可能讓所有條款都變成最有用的條款，如果有一些不是特別重要的，我們盡可能去簡化，來提出個人信息保護(hù)的要求。在硬件管理上，我們提出了一些事件處置報告高知以及明確責(zé)任部門與人員，安全影響評估，適宜的數(shù)據(jù)安全能力，防止泄露、毀損和丟失，人員管理與培訓(xùn)，內(nèi)部安全審計，都是發(fā)生持續(xù)的更新，以問題為導(dǎo)向來設(shè)置相關(guān)的要求。今年我們也把標(biāo)準(zhǔn)推廣作為年度標(biāo)準(zhǔn)推廣宣傳的重點工作，能在法律部門、金融、交通、互聯(lián)網(wǎng)、汽車等等行業(yè)已經(jīng)做過溝通宣貫，大家對這個標(biāo)準(zhǔn)的關(guān)注度也是非常高。

數(shù)據(jù)的合規(guī)。

中興事件可以看出合規(guī)這個問題的分量。

看國外最近發(fā)生的事，實際它產(chǎn)生這么大的影響力，但原因是非常簡單的，他從那兒共享的數(shù)據(jù)被濫用問題，實際是合規(guī)問題。第二是2018RSA大會創(chuàng)新沙盒里拿到了冠軍，它的技術(shù)是非常簡單的，但他提出一個問題，就是合規(guī)問題，就因為這個問題它變成第一名，可見國際社會對數(shù)據(jù)保護(hù)的重視。第三，現(xiàn)在已經(jīng)有一些歐洲團(tuán)體起訴美國Google、Twitter等公司，現(xiàn)在據(jù)說他們要求的法定數(shù)額是80億歐元。最近也發(fā)生了，企業(yè)和市場之間實際也有一個博弈，比如蘋果的Safari阻止了Facebook追蹤用戶的點贊，在他的瀏覽功能是以合規(guī)的問題遏制競爭對手，但總是站在合規(guī)的角度做的這件事情。

國內(nèi)也不平靜，去年的菜鳥順豐事件，今年的大數(shù)據(jù)殺熟，滴滴順風(fēng)車。滴滴順風(fēng)車對個人標(biāo)簽不能刪改，這本來就不符合《網(wǎng)絡(luò)安全法》要求更正個人信息。我們發(fā)現(xiàn)，個人信息保護(hù)問題不單單是原來個人信息泄露問題，近年來發(fā)生的事情都和泄露沒有問題，菜鳥和順豐就是業(yè)務(wù)合作中的爭議，大數(shù)據(jù)殺熟更許多關(guān)系，滴滴順風(fēng)車和數(shù)據(jù)安全也沒有太大關(guān)系，只是個標(biāo)簽問題。

對于風(fēng)險與合規(guī)角度，一個企業(yè)首先面臨的是違規(guī)的代價，二是直接的業(yè)務(wù)損失，三是名譽損失，四是內(nèi)部企業(yè)文化損失，這是企業(yè)個人信息保護(hù)所面臨的風(fēng)險。讓企業(yè)評估是不是有這樣的風(fēng)險，個人信息保護(hù)究竟應(yīng)該怎么做，尤其是在新技術(shù)、新業(yè)務(wù)，新業(yè)態(tài)的時候，法律法規(guī)并沒有教他怎么做，也不可能馬上出臺這個規(guī)定，他需要評估這樣的規(guī)定。現(xiàn)在我們正在設(shè)計一套個人信息安全影響評估方法，這也可以通過國家標(biāo)準(zhǔn)隨時體現(xiàn)。這是國際標(biāo)準(zhǔn)的PRE方法中的一種轉(zhuǎn)化，我們就需要評估個人信息處理對這四個方面的影響，影響個人自主決定權(quán)，比如你不能注銷，這是一種對個人注冊流動權(quán)的侵犯；滴滴順風(fēng)車的標(biāo)簽，體不能修改也是對個人權(quán)利的侵犯，你需要評估對他新業(yè)務(wù)的影響。大數(shù)據(jù)殺熟，也會影響差別性待遇，我們需要去評估現(xiàn)在這種業(yè)務(wù)模式會不會引發(fā)差別性待遇；名譽受損或精神壓力，事實上這四個只有這一個是傳統(tǒng)所謂隱私要考慮的內(nèi)容，因為滴滴順風(fēng)車的壓力，很多人說這個信息泄露之后對我個人名譽有影響，這是傳統(tǒng)隱私的概念。但是影響自主決定權(quán)和以前所談到的隱私本身沒有太大的關(guān)系，個人財產(chǎn)受損是一種附帶的影響結(jié)果。我們通過這幾個方面來確定新技術(shù)、新業(yè)務(wù)對個人的影響到底有多大，這是非常值得思考的。

數(shù)據(jù)合規(guī)時代。

現(xiàn)在處于數(shù)據(jù)時代，有人說數(shù)據(jù)就是黃金，數(shù)據(jù)就是石油；也有人說我們的算法就是算歷，就是效率，我們云計算中心是數(shù)據(jù)時代的引擎。合規(guī)到底是數(shù)據(jù)時代的什么？比如一輛車在高速公路上跑，如果油庫里有再多的油，包括引擎有多么先進(jìn)，它都決定不了你能跑多遠(yuǎn)，決定你跑多遠(yuǎn)的是你車上裝的油箱有多大。這和合規(guī)能力是一個道理，如果合規(guī)能力比較高，符合這個時代的發(fā)展，符合我國法律政策的要求，那就可能跑得更遠(yuǎn)。當(dāng)然，可以改裝一下，加幾個油箱，如果碰法律的紅線，你是跑得遠(yuǎn)跑得快了，但也觸犯了相關(guān)法律法規(guī)的要求。這是個數(shù)據(jù)的時代，也是數(shù)據(jù)合規(guī)的時代。今年開始，很有可能是所謂數(shù)據(jù)合規(guī)元年的概念。

以合規(guī)保障業(yè)務(wù)可持續(xù)發(fā)展，合規(guī)技術(shù)方向里，在數(shù)據(jù)服務(wù)里應(yīng)該做什么？簡單來說是6個關(guān)鍵詞，你要知道有哪些數(shù)據(jù)，從哪兒來的，如果沒有做到，后面所有的都站不住腳。

安全風(fēng)險可控，可能（數(shù)據(jù)）來源是合法的，但保護(hù)得不好，安全風(fēng)險不可控，那也是徒勞的。

發(fā)生了問題，問題有時候是難以避免的，發(fā)生問題之后要可追溯到，管理體系是要可以迭代，新技術(shù)、新業(yè)務(wù)發(fā)展的體系也是要發(fā)展。

可預(yù)警，我們需要新的預(yù)警技術(shù)，來監(jiān)測你數(shù)據(jù)流動過程中的風(fēng)險。我們數(shù)據(jù)庫可能不流動，現(xiàn)在倡導(dǎo)數(shù)據(jù)流動，這就需要運營，你可以試試，你的合規(guī)能力需要能展示，你做得再好別人不知道，監(jiān)管方也不知道，那對接起來是很不利的，我們需要從這幾個方向考慮數(shù)據(jù)合規(guī)問題。

最近幾年，大家很關(guān)心個人信息保護(hù)，仔細(xì)問了一圈發(fā)現(xiàn)，真正在個人信息保護(hù)有所動作的人還比較少，只是在關(guān)注和討論，我們希望看到更多的企業(yè)學(xué)習(xí)借鑒做這件事兒，同時也關(guān)心自己周圍的這些企業(yè)做了沒有，都說安全是一個木桶的原理；合規(guī)也是一樣，如果一個企業(yè)掉隊，監(jiān)管、執(zhí)法對掉隊肯定是被處罰的對象，歐盟并沒有說一定要做到什么樣，也沒有給出這條線，他實際就是在觀察哪個企業(yè)不符合現(xiàn)在大的趨勢。這是一個合規(guī)的策略。

最后，也希望各個企業(yè)真正重視個人信息保護(hù)，在個人信息保護(hù)上真正有所動作。GDPR之后，國外有一些更新，做出比較好的改善，我們也希望企業(yè)能改善個人信息保護(hù)，對個人信息進(jìn)行更多的保障。