>>返回主页
中国信息通信研究院云大所云计算部风险管理主管郭雪:《云服务商个人数据保护指南》

2018-08-14 11:50

1534223692356.jpg

  由我为大家对云服务商个人数据保护指南做介绍,首先在此非常感谢这个白皮书是由中国信通院牵头联合了腾讯、华为、京东、中东电信在内十家云服务商联合定制的指南,为什么要做这个指南?其实是跟全球的市场环境有非常大的关系,全球的环境可以看到,现在有90多个地区已经出台了相关的个人数据保护的法律法规,新加坡的13年的个人信息保护法,我国去年的网络安全法关注度非常高,里面有非常多个人数据的要求,像今年关注度非常高的GDPR对大家造成了非常大的影响。各国出台了数据保护个人信息保护的相关法律之后,对我国云服务商是有影响的,对云服务商来说如何开展个人业务和数据都是非常重要的工作。这里举了一个例子,就是关注度非常高的GDPR,为什么关注度这么高?一方面可能是它上面的要求非常严苛,同时它也有两千万的巨额罚单。除此之外它的影响范围非常广,这是它的重要原因,也就是说它能影响国内非常多的云服务商,我列了4个场景,如果过云服务在欧盟有分支机构,面向欧盟提供服务有一些注册信息,有些用户购买资源的信息都要遵循GDPR的要求,除此之外云上用户涉及到个人信息也要满足GDPR的要求。

  它的涉及面非常广,所以关注度非常高,这相当于一方面原因,各国都有一些个人数据保护的法律法规的要求。

  另一方面云上的数据安全确实得到了大家的关注,而且这两年数据安全比较多,去年亚马逊的事件,今年facebook的事件都是关注度非常高的,如何保护云数据安全都是大家关注的点。

  在这个背景之下由中国信通院牵头做云服务商个人数据保护指南,这个指南第一是梳理各个国家的保护要求,同时梳理保护原则,通过这个指南一方面提供云服务商个人数据保护能力,同时也是帮助云服务商顺利开展业务。

  这个指南最开始解决的问题是云上数据有哪些是最关键的,哪些是重点要保护的数据,云上数据分了四大类:

  1、云用户自己存储的数据。

  2、注册信息。

  3、衍生数据,登陆日志,这三大类在我们认为是上的个人数据。

  4、云服务商的信息,配置日志等等。也就是说前三大类是重点研究的云服务商的个人数据。

  各国的法律法规我们做了大概的梳理,各国的法律法规有哪些要求,我们列了中国、欧盟、新加坡、美国、加拿大、日本和韩国的,发现各国的法律法规要求有些共性的地方都会强调数据主体的权利,特别强调知情权、删除权、纠正权都会提多数据保护的义务,包括保护数据的完整性安全性,都提出了对数据跨境流动的要求,同时对数据泄露、披露做了要求,如何做泄露之后的披露。初次致用我们分析了各国法律的特殊要求,这个应该是大家关注度比较高的,每个国家的法律在数据保护方面有些特定的要求,对于我国来说比较熟,我国一方面很强调关键信息基础设施,强调重点行业数据如何保护。另一方面有几个具体的要求,包括网络日志要存储不少于6个月这样一个硬性的要求,同时有些场景要做真实信息的验证,这我国《网络安全法。

  GDPR为什么关注度这么高?由于覆盖面比较高同时要求严格,还有一些特殊要求包括泄露之后72小时要向监管机构报告,同时巨额罚单是这个事情可高达两千万。同时新加坡、日本和韩国它的法律监管要求也有一些特殊的要求,新加坡要求30天内做出响应,韩国也有500万韩元的罚款,为什么列了一些东南亚的法律的监管要求,可能也是跟国内云服务商出海,东南亚是重点的领域我们也比较关注东南亚的法律要求。

  全球的法律监管的要求,在国际和国内数据保护的标准上面,国内今年5月份出的个人信息安全规范关注度比较高,从个人数据周期的角度,数据收集、保存、使用、共享、转让、公开披露几个关键的环节做了规范的要求。中国信通院在去年也做了云服务商个人数据保护参考框架标准,梳理云服务商如何从技术角度保护云上的用户数据。国际上有27018和CISPIE也是关注度比较高的标准。

  在各国监管法律的要求之下,相关标准要求之下,云上的数据保护应该遵循哪些原则我们梳理了六大原则:

  1、合法性原则,在哪个国开展业务,满足当地的要求。

  2、目的限制的原则,如果涉及到数据的处理要满足数据限制。

  3、质量,要保证准确完整性。

  4、公开和知情原则要做数故披露。

  5、安全性原则。

  6、原则划分,要有安全划分。

  数据分了三大类,对于云服务商来说要分两种场景,第一种场景针对云上的云用户存储的业务数据,云服务商来说更多是以处理者的身份存在,它不涉及数据的收集,所以云服务商应该采用右边部分的保护措施,如果针对的个人数据是一些账户信息以及衍生数据,云服务商可能涉及到数据收集和处理,用左边的数据保护的措施。把整个数据保护措施做一个完整的介绍。

  第一种场景是云服务商会涉及到数据收集、存储、处理、销毁。也就是说云服务商作为数据库存存在应该怎么做?

  首先应该跨部门合作,安全尤其数据的保护问题不光涉及安全部门,包括法律部门、相关管理部门都应该组建完整的团队。

  第二要有标准化的隐私协议,个人信息安全规范里面也提到了隐私声明的范本,由云服务商和用户签订一个标准化的隐私声明,向用户声明要收集你的哪些信息做哪些处理,如果出现泄露应该什么时候通知,通知谁。

  第三要有个人数据的保护措施,包括适用采用制度+人员+制度的三大方面提升数据隐私能力,贯穿产品设计,提升数据安全的管理制度,建议设立专业数据保护人员,提升数据保护意识,在整个周期做数据保护工作,从收集开始要明确得到用户授权、包括传输、存储过程中保护整个数据的安全。

  第四块需要规范第三方合作,要签订一些规范的数据处理协议。第五方面是要开展相关的评估,通过第三方评估事前梳理一些数据的安全风险,这是整个云服务商作为数据控制者来说可以采取的措施。

  第二种场景是刚才在右边的架构图里,云服务商不涉及到整个数据生命周期的收集、采集、存储、云服务商仅仅着重数据处理者存在,仅做数据处理的话,云服务商应该如何做?

  1、在我们看来应该是签订标准化的数据处理协议,数据处理协议应该由云服务商和用户或与其他的数据处理者签署的数据处理协议,签订标准化的数据处理协议,包括内容有基础信息的披露、存储的保密性安全性,明确用户的权利,安全事件发生之后应该如何通知、监控和审计的要求、赔偿和保险的要求。

  2、数据处理的安全措施,安全措施绿色标记的是软的措施包括管理制度,设置专门的人、要有些保密义务。右边是硬的措施,物理安全、网络安全和传输安全。

  3、规范第三方合作,第三方合作涉及到其他的数据处理者,要保证整个数据处理供应链的安全,要签订涉及标准化的数据处理协议,与用户、与供应商与其他的数据处理者签订标准化的数据处理协议。4、可以为用户提供一些数据安全服务,帮助用户保障业务数据的安全,包括匿名、加密、备份、定期测试的服务;

  5、可以开展第三方评估。

  6,通过借助保险这种经济手段保障云上的数据安全,云上数据如果发生泄露丢失的案件,由保险公司直接给予经济赔偿也是云服务商可以选择的直接保护的措施。

  中国信通院可以说在数据保护方面有些积累,去年推出了云服务商个人数据保护能力参考框架,这个标准比较偏硬的技术方面的测试,有涉及近百条指标项目对云服务商进行标准化的测试,验证云服务商的能力。我们也开展云服务商数据处理协议参考框架,从一些文本的规范性、协议规范性、完整性上对云服务商做规范性的要求。这是中国信通院工作的积累。

  如果大家感兴趣二维码是电子版大家可以下载,在此特别感谢华为、京东、腾讯、阿里云、百度等企业对白皮书的大力支持。我的大概介绍就到这儿,刚才栗总介绍的云计算的白皮书大家关注度比较高,还有白皮书的二维码大家感兴趣的可以扫一下,今天说话白皮书和指南的电子版也会发出来,大家可以关注一下,我的介绍就是这样,谢谢大家!

0