数据安全 刻不容缓 ——数据安全与隐私保护合规评估培训 2018年9月 风险咨询高级经理 张楠驰 目录 Page 2 1. 数据安全环境与背景 3 2. 个人隐私保护法规框架 9 3. 数据安全管理通用原则 19 4. 评估方法与实践 30 1 数据安全环境与背景 Page 3 大数据正在成为打造企业竞争优势的重要资源 利用大数据推动企业的每个数字化环节，实现可持续发展 企业的各个层面 战略、创新与增长 客户体验 供应链与营运 提升灵活性和创新 能力 企业所面临的挑战 调整运营模式， 适应数字化世界 收集来自不同接触 点和媒体渠道的情 报 流程、控制自动 化 识别不断加剧的隐私风 险和网络攻击并加以应 对 了解新技术带来 的广泛风险 评估数字化税务运 营模式的有效性 快速应对市场变 化 利用技术更好地 整合各职能 资料来源：高盛分析2016 传感器 企业内部知识转 化 平衡数字创新与 IT维护 加深客户关系， 洞察客户心理 预计2018年消费者移动支付 市场收入将达6260亿美元 重新进行企业规 划，适应数字化 时代 实现票据、文件数 字化 利用新技术提升 营运能力 $6260亿 构建多元化创新和 思维文化 全面实现系统数 字化 应对无边界的网络 格局 整合数字技术， 赋予员工更多权 力 打造数字信任和隐私安 全 整合前台应用程 序和后端系统 85% 移动 到2020年，85%的业务关系 的建立实现智能化 资料来源：高德纳2015 分析 人员和组织 应对企业转型带 来的风险 管理内部和第三方 供应商 物联网 财务、法务和税务 梳理数字生态系统 了解威胁与机遇 网络安全问题加 剧的催化剂 风险与网络安全 建立更加灵活的 数字供应网络 利用技术提升客户体验 Page 4 技术 应对法务与监 管要求 3D打印 99% 在具有加入网络可能性的设备中， 99%的设备目前处于未连接状态 云计算 36% 36%的企业无法识别复杂的网络攻击 资料来源：安永全球信息安全调查 资料来源：思科，Rob Soderbury 2017 社交 网络 81% 81%的高管认为数据是决策的核心依据 资料来源：安永《打造分析型企业，提升价 值创造能力》 人工智能 ?企业数据安全问题日益突出 2个 每时每刻，全世界有2个企业 因为信息安全问题而倒闭 《中国财富》 148美元 每条数据泄露的平均成本 《2018年Ponemon 数据泄露损 失研究》 Page 5 27.9% 386万美元 发生1万条数据泄露事件的可能性 《2018年Ponemon数据泄露损 失研究》 平均数据泄露成本 《2018年Ponemon 数据泄露损 失研究》 665,000美元 915亿 平均数据泄露恢复成本 《NetDeligence 2016 Cyber Claim Study 》 总体对中国经济损失约915亿元 《中国网民权益保护调查报告 （2016）》 我们身边充满威胁的数据安全环境 个人信息买卖已形成产业链 我国 1800件 300亿条 40个行业 4200人 390内鬼 近100黑客 Page 6 7.72亿 1月 10万户 北京顾某使用软件撞库盗号，并 出售账号和程序 3月 20亿条 江苏淮安“K8社工库”被捣毁， 查获大量公民信息 5月 1100万条 湖北宜昌非法获取并出售股民信 息、银行理财信息 5月 未知 湖南怀化5名罪犯通过购买和撞库， 后出售及刷单 来源: 6月 1200万条 四川广元35名罪犯，倒卖四川全 省学生及家长信息 3: 中国证券网报道 6月 1亿条 山东淄博打掉侵犯公民个人信息 的犯罪源头2个 6月 500万条 江苏徐州摧毁一条黑客和快递公 司内部员工黑产 6月 未知 山东威海5名银行员工非法出售账 户余额及流水 6月 7万条 内蒙古赤峰一团伙利用“快递单 号生成器”爬虫 8月 2200万条 福建泉州捣毁了买卖公民个人信 息的“浮云网” 84% 23万+ 915亿 网民个人身份信 每年发生的网络诈 因诈骗、个人信息 息被泄露 骗案，最严重的为 泄露等遭受的总体 1000元+ 60万+ 网民 网民各类权益侵害 1：CNNIC发布的《第35次中国互联网发展状况统计报告》 2: 中国互联网协会发布的《中国网民权益保护调查报告2015》 造成的平均经济损 失 4: 百度手机卫士监测数据 冒充银行 网站和个人电脑给 黑客控制 经济损失 1亿+ 伪基站 5: CNCERT, 网络安全信息与动态周报 6: 漏洞盒子统计 ¥500+ ¥200+ ¥0.01+ ¥100K 个人金融账户 个人信息账户 客户交易信息 1亿条Cookie 面洽 知识产权/战略/财务 数据来源：中国互联网协会《中国互联网发展报告2018》 客户数据泄漏已经成为影响公司业务运营的重大威胁 造成企业重大经济损失 2017年10月雅虎发布公告称，之前发 现的安全漏洞造成至少30亿用户的信 息被盗。大规模的网站信息遭窃的案 件，使得雅虎股价跌幅超过6%。 导致用户声誉受损 知名婚外情网站shleyMadison.com 遭到黑客攻击，近3700万用户数据和 公司信息被盗。至少已经有两人因隐 私曝光自杀。在此之前，这一事件还 引发了多起诈骗和勒索。 Page 7 企业受到合规性处罚 2017年11月Uber被爆出曾向黑客支付10万美元封 口费以隐瞒影响了5,700万个账户的数据泄露事件。 该事件引发各国政府关注，优步在英国甚至面临多 项处罚措施。菲律宾全国隐私委员会要求其遵守 《数据隐私法案》的正式泄漏通知程序。 引发企业管理层动荡 美国知名征信机构Equifax爆发的数据泄露事件导 致1.43亿用户信息被泄露。最终公司CEO兼董事长 Richard Smith引咎辞职。公司股价出现暴跌，跌 幅一度超过37%，并有继续下跌的风险。 数据安全与隐私保护的关系 There can be no privacy without security. Security alone does not assure privacy. 隐私安全是数据 安全的要素之一 数据安全是隐私 保护的驱动力 Page 8 2 个人隐私保护法规框架 Page 9 全球个人信息保护法律法规环境 从全球来看，大多数国家和地区已经颁布和施行了隐私保护法规： 加拿大 (PIPEDA, FOIPPA, PIPA) 欧盟 (EU General Data Protection Regulation ) 韩国 (Personal Information Protection Act) 日本 (Act on the Protection of Personal Information) 中国（中华人民共和国 网络安全法） 香港（个人资料(私隐)条例） 美国 (CCPA, GLBA, HIPPA, COPPA, Do Not Call, Safe Harbor Principles) 智利 (Law for the Protection of Private Life) 阿根廷 (Personal Data Protection Law, Confidentiality of Information Law) 澳门（个人资料保护法） 印度 (Personal Data Protection Bill) 南非 (Electronic Communications and Transactions Act) 新加坡（Personal Data Protection Act） 澳大利亚 (Australia Privacy Act - 1988 ) 以上信息截止2018年7月 Page 10 欧盟通用数据保护条例GDPR ► 《通用数据保护条例》General Data Protection Regulation (GDPR) 4% 全球收入 财务影响: 除了潜在的处罚外，企业还面临着合规不确定性导致 的内部不稳定带来的巨大成本。 非欧盟企业的责任 GDPR可应用到欧盟以外的数据处理活动，如 果数据处理的目的为： ► 产品提供给在欧盟的个人信息权利人或在欧 盟提供支持服务（例如：在线商店，IT服务 供应商，外包合作伙伴，处理欧盟内的个人 风险 信息权利人数据的处理者）；或 ► 《通用数据保护规范》 （GDPR）是一项综合性的 数据保护法，将于2018年5 月25日生效。本法适用于控 制或处理欧盟居民数据的任 何组织，无论其地理位置。 数据未绑定 业务影响: 企业收集和存储了大量数据，但对存储的数 据了解甚少，不知道它们是什么，存储在哪里，下一步 要做什么。 72 小时 响应时间: 事件响应的有效管理至关重要，企业必须确保其组织完全履 行合规义务。 Page 11 监控欧盟居民个人信息权利人的互联网活动 如数据画像（例如：监控购物行为） ► 作为“处理者”处理欧盟内个人信息权利人 的个人数据 例如，中国香港的企业实体向欧盟公民和/或在 欧盟的一个分支机构提供服务时，将会被要求 遵守通用数据保护条例，以及当地特定的法律 及数据保护法律。 欧盟通用数据保护条例GDPR GDPR的发展历程 通用数据保护条例(GDPR) 1995年数据保护指令（95/46 / EC） • • • • 国家法律的拼凑 欧盟各国的数据保护水平不同 执法选项非常有限 新技术的开发和数据传输的巨大 增长 • 欧盟的统一保护 • 增加欧盟公民对其个人数据的 控制权 • 法律的确定性和执法选择的改 善 时间线 2012 2012年1月欧洲委员 会 (EC) 提议撰写 GDPR Page 12 2013 2014 2014年3月 欧盟议会通过 一份中间版本 2015 2015年12月15日 GDPR条例正式被通过 2016 2017 2016年4月14日 欧盟议会正式批准发 布GDPR 2018 2018年5月25日 GDPR正式生效 欧盟通用数据保护条例GDPR GDPR条例内容 GDPR类型和关注点 为了更好地理解条例，GDPR合规要 求可以分为11个类型 10 99 414 Page 13 个章节 99款GDPR条例 十一大类型 Article 3, 5, 26, 27, 24, 30, 36-39, 44-49, 51-52, 57, 59-60, 62, 64-7