一、背景

2016年4月27日,歐盟議會通過《一般數(shù)據(jù)保護(hù)條例》》(General Data Protection Regulation,簡稱GDPR),法律條例并已在2018年5月25日生效。該條例旨在加強(qiáng)對歐盟境內(nèi)居民的個(gè)人數(shù)據(jù)和隱私保護(hù)并直接適用于歐盟各成員國,其取代了1995年頒布的《數(shù)據(jù)保護(hù)指令》。

適用范圍(屬地+屬人原則):只要在歐盟成員國境內(nèi)設(shè)立的公司,必須保護(hù)歐盟成員國居民的個(gè)人隱私信息,此為屬地原則。此外,即使公司不在歐盟境內(nèi)設(shè)立,但有涉及接觸歐盟成員國居民的個(gè)人隱私信息,也必須遵守GDPR,此為屬人原則。

違規(guī)者罰金:違反GDPR的行為,嚴(yán)重違規(guī)者罰金上限為2000萬歐元或該集團(tuán)全球年?duì)I業(yè)額的4%(以兩者較高者為準(zhǔn));一般違規(guī)者罰金上限為1000萬歐元或該集團(tuán)全球年?duì)I業(yè)額的2%(以兩者較高者為準(zhǔn))。

?二、GDPR企業(yè)合規(guī)指南

本指南描述了如何從技術(shù)和管理兩個(gè)方向滿足歐盟GDPR通用數(shù)據(jù)保護(hù)條例,旨在設(shè)計(jì)、編碼、測試、部署,管理各個(gè)環(huán)節(jié)提高企業(yè)整體的GDPR合規(guī)性,適用于前端與后端的軟件開發(fā)、系統(tǒng)測試、系統(tǒng)運(yùn)維和GDPR合規(guī)制度編寫。? ??

1. GDPR技術(shù)合規(guī)性指南

1.1 ?終端操作系統(tǒng)層自檢項(xiàng)目

1)與云端的所有通信,特別是OTA更新,都應(yīng)采用加密協(xié)議,例如HTTPS,此外還需要啟用證書合法性檢查,不能信任任意證書;

2)最小化服務(wù)組件;

3)最下化開放的端口;

4)禁止開放adb調(diào)試接口;

5)終端進(jìn)程要求以非root運(yùn)行;

6)OTA更新包要進(jìn)行哈希校驗(yàn)(建議sha256)和數(shù)字簽名(RSA2048),防止被劫持篡改;

7)要求做好root防護(hù),不允許從普通用戶非法提升到root用戶權(quán)限;

8)要求不允許從U盤安裝第三方應(yīng)用,僅支持從應(yīng)用商店下載安裝應(yīng)用;

9)定期更新操作系統(tǒng)的安全補(bǔ)丁,由云端發(fā)起,隨OTA更新或進(jìn)行熱補(bǔ)丁更新;

10)恢復(fù)出廠設(shè)置后,所有存儲的個(gè)人信息需要被徹底刪除;

1.2 ?終端APP底層自檢項(xiàng)目

1)與云端的所有通信,特別是賬號相關(guān)的通信,都應(yīng)采用TLS加密協(xié)議,例如HTTPS,此外還需要啟用證書合法性檢查,不能信任任意證書;

2)APP獲取操作系統(tǒng)的能力需要遵循最小化原則,例如:如果不需要定位信息,語音,照相等就不要啟用該能力;

3)遵循最小化原則,只能收集隱私協(xié)議中公示的個(gè)人數(shù)據(jù);

4)盡量不要采集MAC地址,IMEI地址等硬件的全球唯一標(biāo)識,如果一定要采集,需要在隱私協(xié)議中公示其用途,用戶同意后方可采集,并且要在云端后臺進(jìn)行加密或匿名化處理;

5)確保密碼、密鑰或其敏感信息沒有在緩存和日志中輸出;

6)存儲的個(gè)人敏感信息應(yīng)加密處理;

7)上傳數(shù)據(jù)建議進(jìn)行哈希校驗(yàn)(建議sha256)和數(shù)字簽名(RSA2048),確保完整性;

8)存儲的個(gè)人敏感信息必須設(shè)置最大保存時(shí)間,超過時(shí)間必須刪除

1.3 ?終端APP人機(jī)交互層自檢項(xiàng)目

1)開機(jī)應(yīng)提示用戶閱讀隱私協(xié)議,隱私協(xié)議被瀏覽完才可以顯示同意按鈕,隱私協(xié)議中應(yīng)區(qū)分必須采集和不必須采集的兩個(gè)部分,不必須采集的部分用戶可以選擇不同意采集;

2)注冊賬號時(shí),應(yīng)提示用戶閱讀隱私協(xié)議,隱私協(xié)議被瀏覽完才可以顯示同意按鈕,隱私協(xié)議中應(yīng)區(qū)分必須采集和不必須采集的兩個(gè)部分,不必須采集的部分用戶可以選擇不同意采集;

3)隱私協(xié)議和用戶協(xié)議應(yīng)分開顯示不能混在一起;

4)應(yīng)具備用戶賬號注銷能力,用戶選擇注銷后,提示用戶其在云端存儲的與個(gè)人相關(guān)的所有信息將被徹底刪除或采取匿名化處理;

5)應(yīng)具備撤銷對隱私協(xié)議同意的功能,用戶可以方便的撤回同意,同意撤回后,隱私協(xié)議中提及的個(gè)人信息將不再采集;

6)應(yīng)具備讓用戶自己選擇刪除部分或全部個(gè)人數(shù)據(jù)的能力,例如刪除其搜索記錄和觀看記錄,云端應(yīng)將其選擇刪除的數(shù)據(jù)做徹底刪除或匿名化處理;

7)應(yīng)具備讓用戶自己查看其個(gè)人數(shù)據(jù)的能力,例如瀏覽其搜索記錄,觀看記錄等;

8)應(yīng)具備讓用戶自己控制是否開啟根據(jù)其個(gè)人畫像提供的自動服務(wù),例如廣告推送,節(jié)目推薦;

9)應(yīng)具備讓用戶自己更改個(gè)人相關(guān)信息的能力,例如昵稱,電話,住址等;

10)對用戶隱私數(shù)據(jù)的使用目的和范圍,應(yīng)與用戶隱私條款展示的內(nèi)容相同,不得采集和使用用戶隱私協(xié)議中沒有提及的個(gè)人隱私數(shù)據(jù),如果有新功能需要采集個(gè)人隱私數(shù)據(jù),則需要同時(shí)更改隱私條款,并在功能更新后提示用戶重新閱讀隱私條款,并重新獲取用戶同意;

11)不得以用戶不同意隱私協(xié)議為理由,整體拒絕用戶對APP的使用,用戶不同意隱私協(xié)議的情況下,應(yīng)能提供不需要采集隱私數(shù)據(jù)就可以實(shí)現(xiàn)的功能

1.4 ?云端應(yīng)用程序?qū)幼詸z項(xiàng)目

1)存儲的應(yīng)用程序日志中的IP,MAC,IMEI信息應(yīng)進(jìn)行加密或者匿名化處理(例如IP匿名化可以隱藏掉最后一位);

2)存儲的用戶個(gè)人敏感信息應(yīng)進(jìn)行加密處理,建議采用AES256算法進(jìn)行加密,加密秘鑰要妥善保管不能被泄露;

3)存儲的用戶密碼應(yīng)進(jìn)行哈希處理,要求采用加隨機(jī)鹽的哈希方式進(jìn)行存儲,算法建議使用sha256,最好能做到哈希摘要與隨機(jī)鹽分庫存儲;

4)存儲的用戶個(gè)人敏感信息(基于大數(shù)據(jù)的個(gè)人畫像)需要有一定時(shí)間限制,不能無限制永久保存,到期后應(yīng)自動刪除,存儲保留時(shí)間應(yīng)該與隱私協(xié)議中描述的一致;

5)應(yīng)有能力證明用戶對隱私協(xié)議的同意情況;

6)建立終端漏洞補(bǔ)丁管理系統(tǒng),定期收集檢測安全漏洞,下發(fā)更新安全補(bǔ)丁;

7)下發(fā)數(shù)據(jù)建議進(jìn)行哈希校驗(yàn)(建議sha256)和數(shù)字簽名(RSA2048),確保完整性;

8)”云端https服務(wù)需要導(dǎo)入RSA2048位證書,TLS協(xié)議建議配置為使用TLS1.2和1.3,禁止使用SSL1.0,SSL2.0,SSL3.0和TLS1.0,安全協(xié)議簇配置配置建議如下:

a.建議秘鑰交換算法配置為ECDHE,禁止使用PSK。

b.建議數(shù)字簽名算法配置為RSA。

c.建議對稱加密算法配置為使用AES256-GSM,禁止使用DES,RC4。

d.建議哈希算法配置為使用SHA256或更高位數(shù),禁止使用MD5和SHA1。

1.5 ?云端系統(tǒng)環(huán)境層自檢項(xiàng)目

1)需要部署防火墻,基于ip/端口進(jìn)行訪問控制,遵循最小化訪問原則只開放必須的IP和端口,遵循最大化控制原則限定訪問來源IP,并要定期核查端口是否還在使用,及時(shí)刪除過期規(guī)則;

2)需要部署WEB應(yīng)用防火墻,對http/https協(xié)議的載荷進(jìn)行安全檢查,并定期更新攻擊檢測規(guī)則;

3)需要部署入侵檢測系統(tǒng),至少包含主機(jī)入侵檢測和網(wǎng)絡(luò)入侵檢測的其中一種,建議同時(shí)具備;

4)遠(yuǎn)程接入數(shù)據(jù)中心,至少應(yīng)該滿足“通過VPN接入”或“限定訪問來源IP”中的其中一種,建議同時(shí)具備;

5)遠(yuǎn)程接入數(shù)據(jù)中心,身份驗(yàn)證要支持雙因素,除了密碼驗(yàn)證以外還應(yīng)該同時(shí)被另一種驗(yàn)證方式確認(rèn)通過后方可判定訪問者身份驗(yàn)證成功;

6)遠(yuǎn)程接入數(shù)據(jù)中心,要求只能連接跳板機(jī),只有跳板機(jī)具備訪問其他主機(jī)操作系統(tǒng)的能力,各業(yè)務(wù)主機(jī)之間不允許互相登錄跳轉(zhuǎn);

7)運(yùn)維賬號不能混用,要求一人一號,且所有操作動作要求被記錄并留存至少三個(gè)月,需要被記錄的操作包括公有云賬號的運(yùn)維動作記錄和業(yè)務(wù)操作系統(tǒng)上的運(yùn)維命令記錄;

8)數(shù)據(jù)庫要求開啟審計(jì)能力,對所有數(shù)據(jù)庫操作進(jìn)行記錄并保留至少三個(gè)月;

9)數(shù)據(jù)中心內(nèi)部要求根據(jù)業(yè)務(wù)劃分安全域,各業(yè)務(wù)安全域之間互訪需要遵循最小化原則;

10)操作系統(tǒng),數(shù)據(jù)庫,中間件需要進(jìn)行安全加固;

11)需要部署安全漏洞檢查系統(tǒng),定期對云端系統(tǒng)的漏洞進(jìn)行檢查,并部署安全補(bǔ)丁進(jìn)行修復(fù);

12)需要具備數(shù)據(jù)備份系統(tǒng),定期對數(shù)據(jù)進(jìn)行備份,并驗(yàn)證備份集的可恢復(fù)性,確保在數(shù)據(jù)丟失或被破壞時(shí)可以恢復(fù)成功;

13)數(shù)據(jù)的備份文件要加密保存;

14)如果運(yùn)營客戶是歐盟或其他海外用戶,云端數(shù)據(jù)中心建議部署在美國或歐盟境內(nèi),避免跨境數(shù)據(jù)傳輸?shù)陌踩L(fēng)險(xiǎn)

2. GDPR管理合規(guī)性指南

2.1 ?基本要求自檢項(xiàng)目

1)要求明確公司在角色上是屬于數(shù)據(jù)控制者還是數(shù)據(jù)處理者或者是共同數(shù)據(jù)控制者,并在相關(guān)管理文件中明確該角色和角色權(quán)責(zé);

2)基于在歐盟區(qū)的業(yè)務(wù)范圍,建議在相關(guān)制度或規(guī)范中明確關(guān)于個(gè)人信息的處理和服務(wù)范圍,包括在哪些國家收集哪些個(gè)人信息、收集個(gè)人信息的目的及使用方式;

3)應(yīng)當(dāng)明確在歐盟區(qū)的業(yè)務(wù)范圍內(nèi)的當(dāng)?shù)乇O(jiān)管機(jī)構(gòu)、聯(lián)系方式及溝通機(jī)制,并將其寫入相關(guān)制度和規(guī)范中;

4)應(yīng)指定數(shù)據(jù)保護(hù)專員,并將其職責(zé)寫入相關(guān)制度和規(guī)范中;

5)應(yīng)明確向監(jiān)管機(jī)構(gòu)報(bào)告?zhèn)€人數(shù)據(jù)泄露的義務(wù),并將其寫入相關(guān)制度和規(guī)范中;

6)應(yīng)明確向數(shù)據(jù)主體告知數(shù)據(jù)泄漏的義務(wù),并將其寫入相關(guān)制度和規(guī)范中;

7)應(yīng)對數(shù)據(jù)處理活動進(jìn)行記錄留存,并將其寫入相關(guān)制度和規(guī)范中;

8)應(yīng)將不允許跨境數(shù)據(jù)傳輸寫到相關(guān)制度和規(guī)范中

2.2 ?基本原則自檢項(xiàng)目

1)合法、公平和透明性原則

合法地、公平地并且以公開透明的方式對數(shù)據(jù)主體的個(gè)人數(shù)據(jù)進(jìn)行處理。針對該原則的應(yīng)對要寫入相關(guān)制度和規(guī)范中。

2)目的限制原則

基于具體、明確、合法的目的收集個(gè)人數(shù)據(jù),且隨后不得以與該目的相違背的方式進(jìn)行處理。針對該原則的應(yīng)對要寫入相關(guān)制度和規(guī)范中。

3)最小范圍原則

數(shù)據(jù)應(yīng)是充足的、相關(guān)的并且限于數(shù)據(jù)處理目的最小必要范圍。針對該原則的應(yīng)對要寫入相關(guān)制度和規(guī)范中。

4)準(zhǔn)確性原則

數(shù)據(jù)應(yīng)是準(zhǔn)確的,且若有必要應(yīng)保持適時(shí)更新,采取一切合理措施確保與數(shù)據(jù)處理目的相悖的錯誤數(shù)據(jù)被及時(shí)清除或更正。針對該原則的應(yīng)對要寫入相關(guān)制度和規(guī)范中。

5)存儲限制原則

以可識別數(shù)據(jù)主體身份的形式存儲的數(shù)據(jù)的存儲時(shí)間不能長于實(shí)現(xiàn)個(gè)人數(shù)據(jù)處理目的所必需的時(shí)間。針對該原則的應(yīng)對要寫入相關(guān)制度和規(guī)范中。

6)完整和保密原則

數(shù)據(jù)處理應(yīng)當(dāng)以確保個(gè)人數(shù)據(jù)的適當(dāng)安全性的方式進(jìn)行,包括采取適當(dāng)?shù)募夹g(shù)或組織措施以保護(hù)數(shù)據(jù)免遭未經(jīng)授權(quán)或非法的處理以及意外的丟失、銷毀或破壞。針對該原則的應(yīng)對要寫入相關(guān)制度和規(guī)范中。

7)兒童信息處理原則

只有對年齡不小于16周歲的兒童的個(gè)人數(shù)據(jù)進(jìn)行的處理行為才是合法的。對年齡不滿16周歲的兒童,處理行為只有或至少在獲取了該兒童的監(jiān)護(hù)人的同意或授權(quán)時(shí)才是合法的。針對該原則的應(yīng)對要寫入相關(guān)制度和規(guī)范中。

2.3??數(shù)據(jù)主體的權(quán)利自檢項(xiàng)目

1)訪問權(quán)

數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者處獲得有關(guān)他或她的個(gè)人數(shù)據(jù)是否被處理的確認(rèn)結(jié)果。針對該權(quán)利的應(yīng)對要寫在相關(guān)制度和規(guī)范中。

2)更正權(quán)

數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者立即更正與其有關(guān)的錯誤的個(gè)人數(shù)據(jù)。針對該權(quán)利的應(yīng)對要寫在相關(guān)制度和規(guī)范中。

3)清除權(quán)(被遺忘權(quán))

數(shù)據(jù)主體有權(quán)請求數(shù)據(jù)控制者立即清除與其相關(guān)的個(gè)人數(shù)據(jù),同時(shí)數(shù)據(jù)控制者有義務(wù)立即清除相關(guān)個(gè)人數(shù)據(jù)。針對該權(quán)利的應(yīng)對要寫在相關(guān)制度和規(guī)范中。

4)限制處理權(quán)

數(shù)據(jù)主體有權(quán)限制數(shù)據(jù)控制者的處理行為。針對該權(quán)利的應(yīng)對要寫在相關(guān)制度和規(guī)范中。

5)持續(xù)控制權(quán)(可攜帶權(quán))

如果數(shù)據(jù)主體向某數(shù)據(jù)控制者提供與其有關(guān)的個(gè)人數(shù)據(jù),那么該數(shù)據(jù)主體有權(quán)從該數(shù)據(jù)控制者處獲取結(jié)構(gòu)化、通用化和可機(jī)讀的上述數(shù)據(jù);同時(shí),數(shù)據(jù)主體有權(quán)將這些數(shù)據(jù)轉(zhuǎn)移給其他數(shù)據(jù)控制者,原數(shù)據(jù)控制者不得進(jìn)行阻礙。針對該權(quán)利的應(yīng)對要寫在相關(guān)制度和規(guī)范中。

6)拒絕權(quán)

數(shù)據(jù)主體有權(quán)基于其自身特殊情況隨時(shí)對其實(shí)施的涉及其個(gè)人數(shù)據(jù)的處理行為,其中包括識別分析行為。針對該權(quán)利的應(yīng)對要寫在相關(guān)制度和規(guī)范中。

7)自動化的個(gè)人自決權(quán)

數(shù)據(jù)主體有權(quán)不受僅基于自動化處理行為得出的決定的制約,以避免對個(gè)人產(chǎn)生法律影響或與之相類似的顯著影響,該自動化處理包括識別分析。針對該權(quán)利的應(yīng)對要寫在相關(guān)制度和規(guī)范中。

8)應(yīng)建立在進(jìn)行更正/限制處理/刪除個(gè)人數(shù)據(jù)時(shí),通知個(gè)人數(shù)據(jù)接收者的機(jī)制,以及在基于用戶的請求執(zhí)行相應(yīng)操作后,及時(shí)通知其他數(shù)據(jù)接收者同步處理用戶個(gè)人數(shù)據(jù)的機(jī)制。

2.4??個(gè)人信息事件處理自檢項(xiàng)目

1)應(yīng)建立建立對于終端用戶投訴個(gè)人信息相關(guān)問題的處理流程;

2)應(yīng)針對歐盟業(yè)務(wù)制定個(gè)人信息安全事件的協(xié)調(diào)處理流程、事件報(bào)告流程、事件分類分級、事件發(fā)生后與監(jiān)管機(jī)構(gòu)或數(shù)據(jù)控制者的對接流程、上報(bào)時(shí)間限制等處理機(jī)制。

3.? ?其他信息安全保護(hù)規(guī)范

1)需要有安全補(bǔ)丁的管理規(guī)定,明確發(fā)現(xiàn)安全漏洞后,安全補(bǔ)丁修復(fù)的流程;

2)應(yīng)該在公司相關(guān)制度和規(guī)定文件中明確使用個(gè)人數(shù)據(jù)的管理要求,尤其是對使用個(gè)人數(shù)據(jù)進(jìn)行測試的情況加以控制,包括測試系統(tǒng)的訪問、申請使用測試數(shù)據(jù)的流程、數(shù)據(jù)使用后的銷毀與處置、使用記錄的保留等內(nèi)容;

3)應(yīng)保留操作系統(tǒng)和數(shù)據(jù)庫的操作記錄,包括操作時(shí)間、操作人、操作賬號、操作內(nèi)容等信息,并定期對操作記錄進(jìn)行復(fù)核,保留復(fù)核記錄;

4)應(yīng)建立完善關(guān)于權(quán)限管理相關(guān)制度文件,應(yīng)明確賬號管理原則、賬號管理要求、賬號管理流程(申請、審批、變更、關(guān)閉)等內(nèi)容,在執(zhí)行層面通過建立權(quán)限清單和權(quán)限復(fù)核機(jī)制,控制訪問權(quán)限;

5)應(yīng)建立完善密碼安全相關(guān)的管理要求,例如完善密碼設(shè)置規(guī)則、密碼更改要求、密碼重置要求;

6)應(yīng)建立完善定期對開啟的端口及服務(wù)進(jìn)行復(fù)核的管理要求,在發(fā)現(xiàn)未關(guān)閉的端口及服務(wù)后,須及時(shí)通知運(yùn)維人員予以管理;

7)應(yīng)建立數(shù)據(jù)備份恢復(fù)相關(guān)的管理規(guī)定

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/