Powertime共享课堂 | 隐私和数据安全

隐私保护基础

一、隐私的定义和相关术语

《中华人民共和国民法典》中的“隐私”和“个人信息”的定义

隐私

第一千零三十二条  自然人享有隐私权

任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。

隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。

个人信息

第一千零三十四条  自然人的个人信息受法律保护

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。

国际版标准 ISO/IEC 29100 中的和术语

个人可识别信息 (Personally identifiable information 简称PII) 

(a)可用以识别与该信息有关的PII主体，或(b)有可能直接或间接链接到PII主体的任何信息。

敏感PII (sensitive PII)

个人可识别信息（PII）的分类中，有些本身就是敏感的，如与PII主体最私密领域有关，或对PII主体可能有重大冲击。

隐私权相关方 (Privacy Stakeholder)

与个人可识别信息﹙PII﹚处理有关的决策或行动，可影响或受影响、或感知自身受影响的自然人或法人、公共部门、机构或任何其他团体。

• PII 主体 (PII principal)

与个人可识别信息﹙PII﹚相关的自然人。

• PII 控制者 (PII controller)

除自然人因个人目的使用数据外，决定处理个人可识别信息﹙PII﹚目的或方式的隐私权相关方﹙或隐私权相关方们﹚。

• PII 处理者 (PII processor)

代表并根据PII控制者指示处理个人可识别信息﹙PII﹚的隐私权相关方。

• 第三方 (third party)

个人可识别信息﹙PII﹚主体以外的隐私权相关者，PII控制者与PII处理者，以及经授权在PII控制者或PII处理者直接授权下处理数据的自然人。

隐私控制措施 (Privacy controls)

降低处理隐私风险可能性或其后果的方法。

• 隐私偏好 (Privacy preferences)

由PII主体所做的，特定目的下应如何处理PII所作的特定选择。

• 匿名化 (anonymization)

个人可识别信息﹙PII﹚不可逆地转换的过程，使PII主体不再被PII控制者单独或与任何其他方合作识别。

• 同意 (consent)

个人可识别信息﹙PII﹚主体自由给予的，具体的和知情的对其PII处理的认同。

• 事前同意 (opt-in)

要求个人可识别信息﹙PII﹚主体在为特定目的处理其PII之前，采取措施以明确表示、事先同意的过程或策略的方式。

二、隐私保护国际标准体系

ISO/IEC JTC1/SC27

ISO/IEC JTC1/SC27/WG5

三、隐私保护框架

ISO/IEC 29100

四、隐私信息管理体系

隐私信息管理体系（27701）是27001和27002的扩展

以下为27701的内容框架

如何将27701与27001和27002结合使用

①按原样应用安全标准。引用标准原文，仅将术语“信息安全”用“信息安全与隐私”代替。 如“信息安全风险评估”- “信息安全与隐私风险评估”

②安全标准的补充。将标准原文与附加的隐私特定要求或实施指南一起使用。

③完善安全标准。用特定的隐私要求或实施指南完善原标准。

五、我国个人信息保护

中华人民共和国民法典  - 2020.5.28

第一千零三十五条、第一千零三十七条、第一千零三十八条、第一千零三十九条

中华人民共和国网络安全法  - 2016.11.7

第四十一条、第四十二条、第四十三条、第四十四条、第四十五条、

GB/T35273-2020个人信息安全规范

GB/T37964-2019个人信息去标识化指南

APP违法违规收集使用个人信息行为认定方法

数据安全基础

一、数据安全的概念

《数据安全法（草案）》征求意见稿

数据安全，是指通过采取必要措施，保障数据得到有效保护和合法利用，并持续处于安全状态的能力。

二、数据安全法规

中华人民共和国网络安全法  - 2016.11.7

数据安全法（草案）（征求意见稿） – 2020.7.3

数据安全管理办法（征求意见稿）- 2019.5.28

个人信息和重要数据出境安全评估办法（征求意见稿）- 2017.4.11

三、数据安全标准

截止2020年6月30日，全国信安标委已经发布的与数据安全有关的标准

GB/T 37988-2019 数据安全能力成熟度模型

GB/T 37973-2019 大数据安全管理指南

GB/T 37932-2019 数据交易服务安全要求

GB/T 37025-2018 物联网数据传输安全技术要求

GB/T 35274-2017 大数据服务安全能力要求

GB/T 34977-2017 移动智能终端数据存储安全技术要求与测试评价方法

GB/T 31500-2015 存储介质数据恢复服务要求

GB/T 29766-2013 网站数据恢复产品技术要求与测试评价方法

GB/T 29765-2013 数据备份与恢复产品技术要求与测试评价方法

小结

隐私保护更多是一个法律问题，与网络安全比较其历史更久远。随着信息和通信技术（ICT）的迅速发展和广泛应用，隐私保护问题日益突出。处理好隐私保护和个人信息数据应用的平衡关系，是隐私保护的重点； 企业网络安全全局视图看，数据安全应是其工作的一部分。并且在此基础上，企业应当充分考虑法规要求和参考技术标准指南；遵守和采用法律法规标准最佳实践要求；建立与维护控制风险审计三道防线机制。