一、法律和合规风险(Legal and compliance risks)
每当我们与敏感信息打交道时,我们会遇到一些法律和法规,这些法律和法规对我们存储、处理和传输这些信息的方式进行管理。
在处理敏感数据时,需要弄清楚的第一件事是哪些具体的法律和法规适用于我们。虽然这乍听起来很简单,但哪些司法管辖区有权监管数据的问题实际上相当复杂,合规风险会影响一个组织的风险态势。例如,某人在美国有一家公司,他们所有的业务都位于加利福尼亚州。在这种情况下,很明显,加利福尼亚州的法律适用于他们。但如果该公司有一个位于纽约的客户呢?纽约法律现在也适用吗?如果他们使用位于德克萨斯州的云供应商,德克萨斯州的法律是否适用于这些数据?如果该云供应商将数据外包给佛罗里达州的一个数据中心供应商,那又该遵守什么法律?当我们扩展到国际上时,这个问题变得更加复杂。欧盟表示,他们的《通用数据保护条例》(GDPR)适用于所有欧盟居民的个人信息,无论他们身在何处。
安全专业人员应该了解适用于其业务的不同国家、地区和州的法律。而有些法规来自于法律之外的其他来源。例如,支付卡行业数据安全标准(PCI DSS)是一个自我监管计划,适用于世界各地的信用卡交易。对PCI DSS的遵守是由提供进入支付卡系统的银行强制执行的。对于这些司法管辖问题,没有简单的答案。我们需要在律师的帮助下对这些有时相互冲突的法规进行梳理,并制定一个帮助我们评估法律风险的途径,以适合我们的运营环境。
二、数据隐私(Data privacy)
数据管理计划中的所有利益相关者都有责任在整个信息生命周期中保护他们所负责的个人信息的隐私。私人信息的两个最常见的元素是个人可识别信息(Personally identifiable information),或称PII,和受保护的健康信息(Protected health information),或称PHI。
普遍接受的隐私原则(Generally accepted privacy principles),或GAPP,是数据隐私的10个组成部分,可用于帮助组织设计他们自己的隐私计划:
- GAPP十项原则中的第一项是管理(Management)。该原则指出,处理私人信息的组织应该有政策、程序和治理结构来保护隐私。例如,该组织应明确定义数据所有者、数据管理人和数据保管人的角色;
- GAPP的第二个原则是通知(Notice)。任何由该组织维护的记录的主体都应该收到关于这一事实的通知,以及获得该组织遵循的隐私政策和程序。这通常是通过网站的协议条款和正式的隐私通知来实现的;
- GAPP的第三个原则是选择和同意(Choice and Consent)。组织应告知数据主体关于他们拥有的数据的选择,并获得这些人对收集、存储、使用和共享该信息的同意;
- GAPP的第四项原则是收集(Collection)。该组织应只为其隐私声明中声明了的目的收集个人信息;
- 第五项原则是使用、保留和处置(Use, Retention, and Disposal)。当组织收集个人信息时,它应该只将其用于申明的目的,而不是因为他们已经拥有数据而将其用于其他原因。此外,一旦不再需要用于所申明的目的,该组织应立即安全地处置这些数据;
- GAPP的第六项原则是访问(Access)。组织应向数据主体提供审查和更新其个人信息的能力;
- 第七条GAPP原则是围绕着向第三方披露(Disclosure to third parties) 的问题。组织只应与第三方共享信息,前提是,如果这种共享与隐私声明中显示的目的一致,并且他们有个人同意共享该信息;
- GAPP的第八项原则是安全(Security)。组织必须保护私人信息,防止未经授权的访问;
- 第九条GAPP原则是质量(Quality)。该组织应采取合理措施,确保他们维护的私人信息是准确、完整和相关的;
- 最后,第十条GAPP原则是监督和执行(Monitoring and Enforcement)。该组织应该有一个程序来监测其隐私政策的遵守情况,并提供一个争端解决机制。
这10条GAPP原则中的每一条都在制定全面的信息隐私计划中发挥着重要作用。数据所有者应确保他们所控制的每个个人信息要素都遵循这些原则。如果我们在寻找更详细的控制目标,国际标准化组织提供了ISO标准27018。这个标准提供了一个在公共云环境中保护个人身份信息的实践准则。制定和监测其隐私计划的组织应定期进行隐私影响评估,以确定其业务运营的隐私影响。
三、数据泄露(Data breaches)
数据泄露会给一个组织带来严重的后果。一个遭受数据泄露的组织可能会经历声誉上的损害、成为身份盗窃事件的来源、遭受罚款,或因盗窃而失去知识产权。由于这些原因,许多组织的安全政策要求立即将涉及敏感数据泄露的任何事件上报给高级管理层。
在发生已知或疑似数据泄露的事件中,信息安全专业人士有一系列法律和法规规定的责任。像美国的许多其他安全和隐私法规一样,数据泄露法是一个以不同方式适用的拼凑法规。一些规则适用于特定的行业,如医疗行业的HIPAA,信用卡行业的PCI DSS,以及上市公司的Sarbanes-Oxley法案。其他规则适用于特定的司法管辖区,如美国各州的数据泄露通知法,以及欧盟的一般数据保护条例。一般来说,当一个组织知道或怀疑它遭受了个人身份信息或PII的侵犯时,这些法律就适用。PII的通常包括社会安全号码、驾驶执照号码和银行账户号码,但也可能扩展到其他信息。
当一个组织怀疑有漏洞时,一些常见的要求包括通知受影响的个人,通知政府机构和向公众提供通知。组织通常还为数据泄露事件的受害者提供信用监测服务或其他补偿。作为一名安全专业人员,我们需要保持对开展业务的司法管辖区所适用的法律的了解。最后,我们需要记住加密是保护我们的组织免受数据泄露的一个简单方法。事实上,大多数违规通知法包括对加密数据的具体豁免。