一、背景

2016年4月27日，歐盟議會通過《一般數(shù)據(jù)保護條例》》(General Data Protection Regulation，簡稱GDPR),法律條例并已在2018年5月25日生效。該條例旨在加強對歐盟境內(nèi)居民的個人數(shù)據(jù)和隱私保護并直接適用于歐盟各成員國，其取代了1995年頒布的《數(shù)據(jù)保護指令》。

適用范圍(屬地+屬人原則)：只要在歐盟成員國境內(nèi)設(shè)立的公司，必須保護歐盟成員國居民的個人隱私信息，此為屬地原則。此外，即使公司不在歐盟境內(nèi)設(shè)立，但有涉及接觸歐盟成員國居民的個人隱私信息，也必須遵守GDPR，此為屬人原則。

違規(guī)者罰金：違反GDPR的行為，嚴重違規(guī)者罰金上限為2000萬歐元或該集團全球年營業(yè)額的4%(以兩者較高者為準);一般違規(guī)者罰金上限為1000萬歐元或該集團全球年營業(yè)額的2%(以兩者較高者為準)。

[[253831]]

二、GDPR企業(yè)合規(guī)指南

本指南描述了如何從技術(shù)和管理兩個方向滿足歐盟GDPR通用數(shù)據(jù)保護條例，旨在設(shè)計、編碼、測試、部署，管理各個環(huán)節(jié)提高企業(yè)整體的GDPR合規(guī)性，適用于前端與后端的軟件開發(fā)、系統(tǒng)測試、系統(tǒng)運維和GDPR合規(guī)制度編寫。

1. GDPR技術(shù)合規(guī)性指南

(1) 終端操作系統(tǒng)層自檢項目

• 與云端的所有通信，特別是OTA更新，都應(yīng)采用加密協(xié)議,例如HTTPS,此外還需要啟用證書合法性檢查，不能信任任意證書;
• 最小化服務(wù)組件;
• 最下化開放的端口;
• 禁止開放adb調(diào)試接口;
• 終端進程要求以非root運行;
• OTA更新包要進行哈希校驗(建議sha256)和數(shù)字簽名(RSA2048)，防止被劫持篡改;
• 要求做好root防護，不允許從普通用戶非法提升到root用戶權(quán)限;
• 要求不允許從U盤安裝第三方應(yīng)用，僅支持從應(yīng)用商店下載安裝應(yīng)用;
• 定期更新操作系統(tǒng)的安全補丁，由云端發(fā)起，隨OTA更新或進行熱補丁更新;
• 恢復(fù)出廠設(shè)置后，所有存儲的個人信息需要被徹底刪除;

(2) 終端APP底層自檢項目

• 與云端的所有通信，特別是賬號相關(guān)的通信，都應(yīng)采用TLS加密協(xié)議，例如HTTPS，此外還需要啟用證書合法性檢查，不能信任任意證書;
• APP獲取操作系統(tǒng)的能力需要遵循最小化原則，例如：如果不需要定位信息，語音，照相等就不要啟用該能力;
• 遵循最小化原則，只能收集隱私協(xié)議中公示的個人數(shù)據(jù);
• 盡量不要采集MAC地址，IMEI地址等硬件的全球唯一標識，如果一定要采集，需要在隱私協(xié)議中公示其用途，用戶同意后方可采集，并且要在云端后臺進行加密或匿名化處理;
• 確保密碼、密鑰或其敏感信息沒有在緩存和日志中輸出;
• 存儲的個人敏感信息應(yīng)加密處理;
• 上傳數(shù)據(jù)建議進行哈希校驗(建議sha256)和數(shù)字簽名(RSA2048)，確保完整性;
• 存儲的個人敏感信息必須設(shè)置最大保存時間，超過時間必須刪除

(3) 終端APP人機交互層自檢項目

• 開機應(yīng)提示用戶閱讀隱私協(xié)議，隱私協(xié)議被瀏覽完才可以顯示同意按鈕，隱私協(xié)議中應(yīng)區(qū)分必須采集和不必須采集的兩個部分，不必須采集的部分用戶可以選擇不同意采集;
• 注冊賬號時，應(yīng)提示用戶閱讀隱私協(xié)議，隱私協(xié)議被瀏覽完才可以顯示同意按鈕，隱私協(xié)議中應(yīng)區(qū)分必須采集和不必須采集的兩個部分，不必須采集的部分用戶可以選擇不同意采集;
• 隱私協(xié)議和用戶協(xié)議應(yīng)分開顯示不能混在一起;
• 應(yīng)具備用戶賬號注銷能力，用戶選擇注銷后，提示用戶其在云端存儲的與個人相關(guān)的所有信息將被徹底刪除或采取匿名化處理;
• 應(yīng)具備撤銷對隱私協(xié)議同意的功能，用戶可以方便的撤回同意，同意撤回后，隱私協(xié)議中提及的個人信息將不再采集;
• 應(yīng)具備讓用戶自己選擇刪除部分或全部個人數(shù)據(jù)的能力，例如刪除其搜索記錄和觀看記錄，云端應(yīng)將其選擇刪除的數(shù)據(jù)做徹底刪除或匿名化處理;
• 應(yīng)具備讓用戶自己查看其個人數(shù)據(jù)的能力，例如瀏覽其搜索記錄，觀看記錄等;
• 應(yīng)具備讓用戶自己控制是否開啟根據(jù)其個人畫像提供的自動服務(wù)，例如廣告推送，節(jié)目推薦;
• 應(yīng)具備讓用戶自己更改個人相關(guān)信息的能力，例如昵稱，電話，住址等;
• 對用戶隱私數(shù)據(jù)的使用目的和范圍，應(yīng)與用戶隱私條款展示的內(nèi)容相同，不得采集和使用用戶隱私協(xié)議中沒有提及的個人隱私數(shù)據(jù)，如果有新功能需要采集個人隱私數(shù)據(jù)，則需要同時更改隱私條款，并在功能更新后提示用戶重新閱讀隱私條款，并重新獲取用戶同意;
• 不得以用戶不同意隱私協(xié)議為理由，整體拒絕用戶對APP的使用，用戶不同意隱私協(xié)議的情況下，應(yīng)能提供不需要采集隱私數(shù)據(jù)就可以實現(xiàn)的功能

(4) 云端應(yīng)用程序?qū)幼詸z項目

• 存儲的應(yīng)用程序日志中的IP,MAC,IMEI信息應(yīng)進行加密或者匿名化處理(例如IP匿名化可以隱藏掉最后一位);
• 存儲的用戶個人敏感信息應(yīng)進行加密處理，建議采用AES256算法進行加密，加密秘鑰要妥善保管不能被泄露;
• 存儲的用戶密碼應(yīng)進行哈希處理，要求采用加隨機鹽的哈希方式進行存儲，算法建議使用sha256,最好能做到哈希摘要與隨機鹽分庫存儲;
• 存儲的用戶個人敏感信息(基于大數(shù)據(jù)的個人畫像)需要有一定時間限制，不能無限制永久保存，到期后應(yīng)自動刪除，存儲保留時間應(yīng)該與隱私協(xié)議中描述的一致;
• 應(yīng)有能力證明用戶對隱私協(xié)議的同意情況;
• 建立終端漏洞補丁管理系統(tǒng)，定期收集檢測安全漏洞，下發(fā)更新安全補丁;
• 下發(fā)數(shù)據(jù)建議進行哈希校驗(建議sha256)和數(shù)字簽名(RSA2048)，確保完整性;

”云端https服務(wù)需要導(dǎo)入RSA2048位證書，TLS協(xié)議建議配置為使用TLS1.2和1.3，禁止使用SSL1.0,SSL2.0,SSL3.0和TLS1.0，安全協(xié)議簇配置配置建議如下：

• 建議秘鑰交換算法配置為ECDHE,禁止使用PSK。
• 建議數(shù)字簽名算法配置為RSA。
• 建議對稱加密算法配置為使用AES256-GSM,禁止使用DES,RC4。
• 建議哈希算法配置為使用SHA256或更高位數(shù)，禁止使用MD5和SHA1。

(5) 云端系統(tǒng)環(huán)境層自檢項目

• 需要部署防火墻，基于ip/端口進行訪問控制，遵循最小化訪問原則只開放必須的IP和端口，遵循最大化控制原則限定訪問來源IP，并要定期核查端口是否還在使用，及時刪除過期規(guī)則;
• 需要部署WEB應(yīng)用防火墻，對http/https協(xié)議的載荷進行安全檢查，并定期更新攻擊檢測規(guī)則;
• 需要部署入侵檢測系統(tǒng)，至少包含主機入侵檢測和網(wǎng)絡(luò)入侵檢測的其中一種，建議同時具備;
• 遠程接入數(shù)據(jù)中心，至少應(yīng)該滿足“通過VPN接入”或“限定訪問來源IP”中的其中一種，建議同時具備;
• 遠程接入數(shù)據(jù)中心，身份驗證要支持雙因素，除了密碼驗證以外還應(yīng)該同時被另一種驗證方式確認通過后方可判定訪問者身份驗證成功;
• 遠程接入數(shù)據(jù)中心，要求只能連接跳板機，只有跳板機具備訪問其他主機操作系統(tǒng)的能力，各業(yè)務(wù)主機之間不允許互相登錄跳轉(zhuǎn);
• 運維賬號不能混用，要求一人一號，且所有操作動作要求被記錄并留存至少三個月,需要被記錄的操作包括公有云賬號的運維動作記錄和業(yè)務(wù)操作系統(tǒng)上的運維命令記錄;
• 數(shù)據(jù)庫要求開啟審計能力，對所有數(shù)據(jù)庫操作進行記錄并保留至少三個月;
• 數(shù)據(jù)中心內(nèi)部要求根據(jù)業(yè)務(wù)劃分安全域，各業(yè)務(wù)安全域之間互訪需要遵循最小化原則;
• 操作系統(tǒng)，數(shù)據(jù)庫，中間件需要進行安全加固;
• 需要部署安全漏洞檢查系統(tǒng)，定期對云端系統(tǒng)的漏洞進行檢查，并部署安全補丁進行修復(fù);
• 需要具備數(shù)據(jù)備份系統(tǒng)，定期對數(shù)據(jù)進行備份，并驗證備份集的可恢復(fù)性，確保在數(shù)據(jù)丟失或被破壞時可以恢復(fù)成功;
• 數(shù)據(jù)的備份文件要加密保存;
• 如果運營客戶是歐盟或其他海外用戶，云端數(shù)據(jù)中心建議部署在美國或歐盟境內(nèi)，避免跨境數(shù)據(jù)傳輸?shù)陌踩L(fēng)險

2. GDPR管理合規(guī)性指南

(1) 基本要求自檢項目

• 要求明確公司在角色上是屬于數(shù)據(jù)控制者還是數(shù)據(jù)處理者或者是共同數(shù)據(jù)控制者，并在相關(guān)管理文件中明確該角色和角色權(quán)責(zé);
• 基于在歐盟區(qū)的業(yè)務(wù)范圍，建議在相關(guān)制度或規(guī)范中明確關(guān)于個人信息的處理和服務(wù)范圍，包括在哪些國家收集哪些個人信息、收集個人信息的目的及使用方式;
• 應(yīng)當明確在歐盟區(qū)的業(yè)務(wù)范圍內(nèi)的當?shù)乇O(jiān)管機構(gòu)、聯(lián)系方式及溝通機制，并將其寫入相關(guān)制度和規(guī)范中;
• 應(yīng)指定數(shù)據(jù)保護專員，并將其職責(zé)寫入相關(guān)制度和規(guī)范中;
• 應(yīng)明確向監(jiān)管機構(gòu)報告?zhèn)€人數(shù)據(jù)泄露的義務(wù)，并將其寫入相關(guān)制度和規(guī)范中;
• 應(yīng)明確向數(shù)據(jù)主體告知數(shù)據(jù)泄漏的義務(wù)，并將其寫入相關(guān)制度和規(guī)范中;
• 應(yīng)對數(shù)據(jù)處理活動進行記錄留存，并將其寫入相關(guān)制度和規(guī)范中;
• 應(yīng)將不允許跨境數(shù)據(jù)傳輸寫到相關(guān)制度和規(guī)范中

(2) 基本原則自檢項目

• 合法、公平和透明性原則：合法地、公平地并且以公開透明的方式對數(shù)據(jù)主體的個人數(shù)據(jù)進行處理。針對該原則的應(yīng)對要寫入相關(guān)制度和規(guī)范中。
• 目的限制原則：基于具體、明確、合法的目的收集個人數(shù)據(jù)，且隨后不得以與該目的相違背的方式進行處理。針對該原則的應(yīng)對要寫入相關(guān)制度和規(guī)范中。
• 最小范圍原則：數(shù)據(jù)應(yīng)是充足的、相關(guān)的并且限于數(shù)據(jù)處理目的最小必要范圍。針對該原則的應(yīng)對要寫入相關(guān)制度和規(guī)范中。
• 準確性原則：數(shù)據(jù)應(yīng)是準確的，且若有必要應(yīng)保持適時更新，采取一切合理措施確保與數(shù)據(jù)處理目的相悖的錯誤數(shù)據(jù)被及時清除或更正。針對該原則的應(yīng)對要寫入相關(guān)制度和規(guī)范中。
• 存儲限制原則：以可識別數(shù)據(jù)主體身份的形式存儲的數(shù)據(jù)的存儲時間不能長于實現(xiàn)個人數(shù)據(jù)處理目的所必需的時間。針對該原則的應(yīng)對要寫入相關(guān)制度和規(guī)范中。
• 完整和保密原則：數(shù)據(jù)處理應(yīng)當以確保個人數(shù)據(jù)的適當安全性的方式進行，包括采取適當?shù)募夹g(shù)或組織措施以保護數(shù)據(jù)免遭未經(jīng)授權(quán)或非法的處理以及意外的丟失、銷毀或破壞。針對該原則的應(yīng)對要寫入相關(guān)制度和規(guī)范中。
• 兒童信息處理原則：只有對年齡不小于16周歲的兒童的個人數(shù)據(jù)進行的處理行為才是合法的。對年齡不滿16周歲的兒童，處理行為只有或至少在獲取了該兒童的監(jiān)護人的同意或授權(quán)時才是合法的。針對該原則的應(yīng)對要寫入相關(guān)制度和規(guī)范中。

(3) 數(shù)據(jù)主體的權(quán)利自檢項目

• 訪問權(quán)：數(shù)據(jù)主體有權(quán)從數(shù)據(jù)控制者處獲得有關(guān)他或她的個人數(shù)據(jù)是否被處理的確認結(jié)果。針對該權(quán)利的應(yīng)對要寫在相關(guān)制度和規(guī)范中。
• 更正權(quán)：數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者立即更正與其有關(guān)的錯誤的個人數(shù)據(jù)。針對該權(quán)利的應(yīng)對要寫在相關(guān)制度和規(guī)范中。
• 清除權(quán)(被遺忘權(quán))：數(shù)據(jù)主體有權(quán)請求數(shù)據(jù)控制者立即清除與其相關(guān)的個人數(shù)據(jù)，同時數(shù)據(jù)控制者有義務(wù)立即清除相關(guān)個人數(shù)據(jù)。針對該權(quán)利的應(yīng)對要寫在相關(guān)制度和規(guī)范中。
• 限制處理權(quán)：數(shù)據(jù)主體有權(quán)限制數(shù)據(jù)控制者的處理行為。針對該權(quán)利的應(yīng)對要寫在相關(guān)制度和規(guī)范中。
• 持續(xù)控制權(quán)(可攜帶權(quán))：如果數(shù)據(jù)主體向某數(shù)據(jù)控制者提供與其有關(guān)的個人數(shù)據(jù)，那么該數(shù)據(jù)主體有權(quán)從該數(shù)據(jù)控制者處獲取結(jié)構(gòu)化、通用化和可機讀的上述數(shù)據(jù);同時，數(shù)據(jù)主體有權(quán)將這些數(shù)據(jù)轉(zhuǎn)移給其他數(shù)據(jù)控制者，原數(shù)據(jù)控制者不得進行阻礙。針對該權(quán)利的應(yīng)對要寫在相關(guān)制度和規(guī)范中。
• 拒絕權(quán)：數(shù)據(jù)主體有權(quán)基于其自身特殊情況隨時對其實施的涉及其個人數(shù)據(jù)的處理行為，其中包括識別分析行為。針對該權(quán)利的應(yīng)對要寫在相關(guān)制度和規(guī)范中。
• 自動化的個人自決權(quán)：數(shù)據(jù)主體有權(quán)不受僅基于自動化處理行為得出的決定的制約，以避免對個人產(chǎn)生法律影響或與之相類似的顯著影響，該自動化處理包括識別分析。針對該權(quán)利的應(yīng)對要寫在相關(guān)制度和規(guī)范中。
• 應(yīng)建立在進行更正/限制處理/刪除個人數(shù)據(jù)時，通知個人數(shù)據(jù)接收者的機制，以及在基于用戶的請求執(zhí)行相應(yīng)操作后，及時通知其他數(shù)據(jù)接收者同步處理用戶個人數(shù)據(jù)的機制。

(4) 個人信息事件處理自檢項目

• 應(yīng)建立建立對于終端用戶投訴個人信息相關(guān)問題的處理流程;
• 應(yīng)針對歐盟業(yè)務(wù)制定個人信息安全事件的協(xié)調(diào)處理流程、事件報告流程、事件分類分級、事件發(fā)生后與監(jiān)管機構(gòu)或數(shù)據(jù)控制者的對接流程、上報時間限制等處理機制。

3. 其他信息安全保護規(guī)范

• 需要有安全補丁的管理規(guī)定，明確發(fā)現(xiàn)安全漏洞后，安全補丁修復(fù)的流程;
• 應(yīng)該在公司相關(guān)制度和規(guī)定文件中明確使用個人數(shù)據(jù)的管理要求，尤其是對使用個人數(shù)據(jù)進行測試的情況加以控制，包括測試系統(tǒng)的訪問、申請使用測試數(shù)據(jù)的流程、數(shù)據(jù)使用后的銷毀與處置、使用記錄的保留等內(nèi)容;
• 應(yīng)保留操作系統(tǒng)和數(shù)據(jù)庫的操作記錄，包括操作時間、操作人、操作賬號、操作內(nèi)容等信息，并定期對操作記錄進行復(fù)核，保留復(fù)核記錄;
• 應(yīng)建立完善關(guān)于權(quán)限管理相關(guān)制度文件，應(yīng)明確賬號管理原則、賬號管理要求、賬號管理流程(申請、審批、變更、關(guān)閉)等內(nèi)容，在執(zhí)行層面通過建立權(quán)限清單和權(quán)限復(fù)核機制，控制訪問權(quán)限;
• 應(yīng)建立完善密碼安全相關(guān)的管理要求，例如完善密碼設(shè)置規(guī)則、密碼更改要求、密碼重置要求;
• 應(yīng)建立完善定期對開啟的端口及服務(wù)進行復(fù)核的管理要求，在發(fā)現(xiàn)未關(guān)閉的端口及服務(wù)后，須及時通知運維人員予以管理;
• 應(yīng)建立數(shù)據(jù)備份恢復(fù)相關(guān)的管理規(guī)定