隐私数据类型与企业保护责任
过去十余年,人工智能 (AI)、大数据技术经历前所未有的发展。这些技术趋势持续深入地影响着个人数字化生存状态与企业数字化转型的步伐。公开数据显示,现今全球一年半产生的信息量已经超过过去人类的信息的总和。
数据大规模应用。数据滥用、恶意使用如影相随,对于隐私安全底线的不断试探与侵袭,使得数据保护挑战陡然增大,隐私数据安全开始成为新时代的全球性焦虑。仅 2018 年上半年,全球范围内就产生了大小规模不同的近千次泄露事件,高达 45 亿条信息被泄露或窃取。其中,与隐私密切相关的医疗、社交媒体数据占据了 8 成以上。同年 5 月 25 日,史上最严厉、覆盖范围最广的欧盟通用数据保护条例 (GDPR) 开始实施。引发全球隐私保护领域的变革加剧并愈演愈烈。2018 年开始被广泛认为是“隐私保护元年”。区域性、国际性的数据与隐私保护监管热潮逐步兴起并进一步深化。这些对于个人与商业客户隐私保护要求与企业保护责任产生新的深远影响。
1 个人与商业隐私数据
隐私 (Privacy) 在全球范围内已经被作为一种典型的自然权利需求。但其定义在不同国家或地区语境下来会有所区别,主要体现在数据类型与范围。个人与组织相关私密信息依法受到保护,不应受到非法侵扰、知悉、收集、利用和公开,但隐私的保密性缺少统一边界。欧盟《通用数据保护条例》(GDPR)、《加州消费者隐私法案》、《中华人民共和国网络安全法》在识别隐私数据泄漏方面体现的总体原则与重要特性是,个人或企业是否愿意披露和分享,以及泄露或披露是否会对社会、经济、甚至是情感上造成负面影响。
- 公民个人隐私
公民个人隐私是个人数据中的一部分。全球普遍被定义为可识别信息 (Personally Identifiable Information,PII),指直接通过该数据或者结合该数据与其他的信息,可以识别出自然人的信息。与一般信息不同,个人隐私与其他个人数据相比具有“个人信息”(PI) 的属性。不同国家和地区的法律法规定义的个人隐私标准会有所不同,但是共同的原则旨在进一步细化、确定并适应尽可能多的国家和地区的法规要求与文化差异。
以 GDPR 为代表的国际性新型数据保护条例,其本质是个人隐私数据权保护法案。GDPR 通过明确法律条款(第 4 条“个人数据”)定义了敏感个人数据,包括姓名、身份证号、位置数据、网上标识,或者与该自然人的身体、生理、遗传、心理、经济、文化或社会身份有关的一个或多个因素。
在中国,从 2017 年 6 月 1 日正式施行的首部《中华人民共和国网络安全法》,从法律高度首次明确了网络运营商对于数据保护的主体责任与义务。年底正式出台的国家信息安全标准《信息安全技术个人信息安全规范》,进一步明确敏感信息为“泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。” 并在前者的基础上,将银行账号、通信记录、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等明确纳入个人敏感信息界定标准。
Gartner 则进一步提供按照一般个人信息与敏感信息的类型并按内容类别提供了详细的典型数据类型或元素示例,见下表:1
图 2. 一般和敏感个人信息
备注:以粗体显示和带星号的类别均属于“敏感个人信息”。
资料来源:Gartner(2019 年 2 月)
1资料来源:Gartner 研究简报 G00381902,Jie Zhang、Sandy Shen,2019 年 2 月 8 日
- 商业隐私(机密)
商业隐私 (Business Privacy) 经常与商业机密 (Business Secret) 相关联,从而区别于个人隐私。商业隐私在一般个人隐私定义的范围上扩展了业务相关的附加属性,例如从个人身份证号(适用于中国)或社会保障号码(SSN,适用于美国等国家)到业务识别码(客户编号、员工 ID、业务可识别信息等);商业隐私或秘密的数据类型更为复杂。各国均有适应性的商业客户敏感信息保护法律或监管措施。商业隐私通常指不为公众所知悉、能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息。按照所处区域行业特征以及企业市场职能划分,通用型敏感信息可以进一步细分为更多类型。
| 类型/行业 | 商业隐私/商业机密示例 |
|---|---|
商业基础数据 - 用户信息 |
客户/员工信息(身份证、手机号、家庭/办公地址、银行卡) |
商业基础数据 - 财务经营 |
客户订单、合同信息、财务报表、经营分析、投资预算 |
商业基础数据 - 人力资源 |
人员简历、薪酬福利、股权结构、岗位职级、绩效评估 |
行业 - 科技研发 |
源代码、产品设计/开发过程文档、测试用例、研发缺陷与风险评估报告 |
行业 - 制造业 |
设计图纸/CAD、工艺流程、BOM、ERP 数据、VIN 码(汽车) |
行业 - 金融 |
银行卡/信用卡、卡 CVV 码、账户信息、交易明细、经营分析、战略规划、投资研究报告、收益报告、金融资产信息 |
行业 - 商业/零售 |
销售订单数据、供应链 SCM、配送物流、价格信息、CRM |
2 隐私数据泄露的途径分析
个人或商业客户数据因数据使用场景与途径不同。存在多种数据泄露风险与暴露面。按照风险的来源而言,主要可以大致分为以下几类:
- 移动 APP 应用或终端及互联网 Web 应用访问导致个人隐私泄露。
- 数据拥有者、使用者操作不当经由企业内部或办公环境泄露的隐私或机密。
- 安全意识薄弱。
- 遭受恶意攻击。
- 遭到劫持等。
上述任何风险都可能通过企业内部或公共环境造成隐私泄露或机密暴露。数据泄露与数据的流通传输、应用访问、用户体验、大数据分析通常紧密相关。一些应用场景一定程度依赖于用户隐私数据。彻底杜绝任何形式的隐私数据泄露通常难以实现,但是了解隐私数据泄露途径与根本原因能够进一步降低泄露风险。
- 移动 APP 应用隐私泄露
伴随着全球智能终端与移动 APP 广泛普及,目前手机 APP 目前已经当前新型移动网络隐私泄露最主要途径。据中国消费者协会最近发布的《APP 个人信息泄露情况调查报告》显示,受访者中曾因个人信息泄露而被骚扰或侵害的人数占比超过 85%。移动终端/手机因为其个人贴身设备并具备强大功能,能够较其他途径具备更大隐私威胁。大量 APP 通过滥用授权许可、恶意代码植入或篡改、山寨知名 APP 等手段,获取终端设备存储的大量个人与商业相关数据,包括通讯记录、联系人信息、GPS 位置信息、业务数据、支付类敏感信息。这些应用会导致隐私泄露甚至进一步可能遭受财产损失。
- 个人终端及互联网应用隐私泄露
当用户终端设备接入互联网访问 Web 站点或从互联网进行上传、下载时,由于缺少良好的使用习惯、足够的安全意识与技术防护能力,可能被恶意劫持、植入恶意代码、网络钓鱼。这会导致隐私泄露。即便是一般的非恶意应用,因为其技术管理不善、系统漏洞遭受攻击或缺乏完善隐私保护策略与支持计划,用户上传的数据、提交的用户信息、交易记录等隐私数据被曝光、售卖、滥用。这也会导致隐私泄露。
- 内部办公环境隐私泄露
企业办公环境与普通个人用户的使用环境较大区别。在内部办公基础设施与应用环境下,还会涉及大量企业内部 APP 应用、业务经营、开发运维等系统。因上述移动 APP 或终端互联网访问导致的数据泄露事件,不仅导致一般个人隐私泄露,更重要的是企业的客户数据、员工数据、经营数据、源代码、设计图纸等商业秘密、知识产权被泄露或窃取。商业隐私数据泄漏对员工个人或企业组织都有可能造成巨大的损失甚至监管风险与法律责任。
企业内部办公场景下,主要的导致隐私泄露的威胁与途径如下:
| 用户场景 | 隐私泄露风险与途径 |
|---|---|
互联网访问 |
访问不安全、不受信任的 Web 站点 |
邮件外发 |
薄弱的安全意识或不良工作习惯,将客户隐私或商业机密数据通过公司内部邮件外发至第三方 |
不恰当的企业内部 APP 使用 (Android/iOS) |
企业内部 APP 存储、传输未进行安全控制以及通过截屏或共享途径导致敏感数据泄露 |
办公终端 (Windows / Mac) |
访问内部业务系统,下载、存储客户隐私敏感数据 |
- 云应用与 SaaS 服务隐私泄露
随着云计算技术的发展,企业加快了上“云”的步伐,以优化服务交付模式、成本收益与弹性扩展能力。同时,越来越多的应用与服务“云化”并已逐步普及。在云服务的集中层次中,用户的安全控制能力与安全责任方面 IaaS 相对最高,SaaS 服务最低。此时云服务供应商 (CSP) 负责周边安全、监控、审计和应用数据安全性,而用户可能只具备管理订阅、使用服务的基本能力。
对于企业组织与最终用户:
使用或消费第三方云服务或 SaaS 应用,例如存储服务、CRM、财务系统时,客户隐私、商业敏感数据或文件存在泄露风险:
- 1.用户无法清晰了解与评估使用的第三方云服务的隐私保护策略、数据归属权、存在的风险等因素。从而导致数据失去保护、所有权控制或被第三方恶意使用或滥用导致泄密。
- 2.企业组织因缺少云安全管控能能力,无法跟踪审计、策略控制内部员工使用不符合 IT 或信息安全监管要求、不受控的第三方云服务,例如代码托管服务、网络存储/网盘、办公应用等。
对于云平台或云服务供应商 (CSP):
云服务可能因为缺少对于云服务中如存储、传输、使用租户隐私、机密数据时,缺乏数据文件风险与内容机密性防护手段,丧失对数据安全敏感型用户的吸引力与行业竞争力。例如无法感知与对象存储中是否包含病毒木马风险以及涉及隐私敏感、政治风险的内容。无法遵从隐私保护策略、违反用户服务水平协议 (SLA) 以及应对潜在的隐私、机密数据泄密事件带来的法律、监管、声誉方面的多重风险。
3 企业的隐私保护责任
个人用户加强安全防范意识,保护个人隐私数据。企业组织在隐私机密保护与商业服务运营中,作为网络运营商、数据拥有者、处理者,有更明确的隐私保护责任与要求。
- 建立企业隐私保护计划的组织流程
大多数隐私保护法律与监管合规性要求,包括欧盟《通用数据保护条例》、《中华人民共和国网络安全法》都明确要求数据所有者、处理者重要责任之一就是隐私数据分类保护原则与组织、技术、流程支撑体系。在企业隐私保护环境中,组织能够间接或直接决定谁可以访问特定的数据。其次,将隐私数据与使用策略形成正式的书面隐私保护策略并公开隐私策略声明。同时,企业隐私保护需要有组织结构与事件响应流程支撑,确保数据拥有者与处理者必须经过适当的隐私保护培训并定期审计检查,明确并履行企业授予的保护职责。定义可接受的隐私数据使用行为的边界以及当数据被以违规企业隐私策略的方式被意外或有意地处理访问、泄露时,企业组织如何支持响应隐私泄露事件处理流程。
- 企业隐私保护责任与政策
企业应遵循隐私保护计划组织流程,制定外部隐私声明与内部隐私保护政策 (Privacy Policy)。明确及公示企业隐私数据保护数据对象范围、责任主体、权利义务边界,确保保护责任得到落实并符合所有适用的法律、法规和监管策略要求。
GDPR 第 13 条规定,若企业收集与数据主体相关的数据时,其应当在隐私政策中列明特定项目,包括但不限于自身及数据保护官 (DPO) 的联系方式、数据处理目的及合法基础、数据接收者的类别、数据跨境的安保措施、存储期限、数据主体投诉权等。《信息安全技术个人信息安全规范》作为中国推荐性国家标准,为企业隐私政策制定提供了隐私政策参考规范模板。尽管不同国家、区域的新型数据隐私保护法律法规或行业标准存在一定区别,但整体上隐私政策包括了几个共同的要点:
- 企业如何收集和使用个人信息
- 可能涉及隐私的技术使用情况(例如个人账户、浏览器 Cookie、登录认证信息、搜索、历史记录、表单等)
- 数据如何被共享、转让、公开披露(如果有)
- 企业保护个人信息使用的技术防护措施
- 个人处理相关数据的权利(数据主体权利)
- 涉及数据跨境或全球范围传输时的处理流程
- 隐私政策的更新以及联系方式
4 结论与建议
我们已经进入隐私保护的强监管的新时期。隐私的保护已经不再仅是用户隐私意识提升的问题,而是隐私的拥有者与保护者、监管者都需要共同参与的社会共同实践。数据科技 (Data Technology) 的发展与隐私保护的冲突与讨论可能永远不会停止,但我们更好的理解隐私,才能够更好的保护隐私;更新对于新时期隐私的演进、隐私泄露途径及隐私保护责任的认识与理解,将会有助于个人适应全民隐私保护的时代趋势。隐私保护将成为企业数字化转型规划、关键数据资产保护体系建设不可或缺的组成部分。
