一、背景2016年4月27日,欧洲议会通过了《一般数据保护条例》(GeneralDataProtectionRegulation,简称GDPR),该法律规定于2018年5月25日生效.该法规旨在加强对欧盟居民个人数据和隐私的保护,直接适用于欧盟成员国,取代了1995年颁布的《数据保护指令》。适用范围(地域+个人原则):只要公司成立在欧盟成员国必须保护欧盟成员国居民的个人隐私信息,这是属地原则。另外,即使公司不在欧盟成立,但涉及到欧盟居民个人隐私信息的访问成员国,必须遵守GDPR,这是人格原则违规者罚款:对于违反GDPR的行为,严重违规者的最高罚款为2000万欧元或集团的4%全球年营业额(以较高者为准);一般违规者的最高罚款为1000万欧元或该集团全球年营业额的2%(以较高者为准)。2.GDPR企业合规指南本指南从技术和管理两个方面描述了如何满足欧盟GDPR通用数据保护条例。它旨在提高企业在设计、编码、测试、部署和管理等各个方面的整体GDPR合规性。前后端软件开发、系统测试、系统运维、GDPR合规系统编写。一、GDPR技术合规指南(一)终端操作系统层自检项与云端的所有通信,尤其是OTA更新,均应使用加密协议,如HTTPS。另外,需要开启证书有效性检查,任意证书;最小化服务组件;尽量减少开放端口;禁止打开adb调试接口;终端进程需要非root操作;OTA更新包必须经过哈希验证(推荐sha256)和数字签名(RSA2048),防止被黑客劫持和篡改;需要root保护,不允许普通用户非法提升为root用户权限;不允许从U盘安装第三方应用,只能从应用商店下载安装应用;操作系统安全补丁定期更新,由云端发起,OTA更新或热补丁更新;恢复出厂设置后,需要彻底删除所有存储的个人信息;(2)终端APP底部自检项与云端的所有通信,尤其是账户相关的通信,必须使用TLS加密协议,如HTTPS。另外需要开启证书有效性校验,不能信任任意证书;APP获取操作系统的能力需要遵循最小化的原则,例如:如果您不需要位置信息、语音、拍照等,就不要开启该能力;遵循最小化原则,仅收集隐私协议中披露的个人数据;尽量不收集MAC地址、IMEI地址等硬件的全球唯一标识,如果一定要收集,需要在隐私协议中公开其用途,用户同意后可以收集,且必须加密或云后台匿名;确保密码、密钥或敏感信息不会输出到缓存和日志中;存储的个人敏感信息应加密;上传的数据建议进行哈希验证(推荐sha256)和数字签名(RSA2048)以确保完整性;存储的个人敏感信息必须设置最长存储时间,超过时间必须删除浏览隐私协议后才能显示同意按钮。在隐私协议中,应区分必须收集和不需要收集的两部分。对于不需要收集的部分,用户可以选择不同意收集。注册账户时,应提示用户阅读隐私协议。只有在浏览隐私协议后才会显示同意按钮。在隐私协议中,应当区分必须收集和不需要收集的两部分。对于不需要收集的部分,用户可以选择不同意收集;隐私协议和用户协议应分开显示,不能混在一起;应该能够注销用户帐户。用户选择退出后,会提示用户保存到云端所有与个人相关的信息将被完全删除或匿名化;应该有撤销同意隐私协议的功能,用户可以方便的撤销同意。撤回同意后,将不再收集隐私协议中提及的个人信息;应具备用户选择删除部分或全部个人数据的能力,如删除搜索记录、查看记录等,云端应将用户选择删除的数据完全删除或匿名化;用户应该可以通过自己的能力查看他们的个人数据,例如浏览他们的搜索记录、查看记录等;应允许用户控制是否启用基于个人画像的自动服务,如广告推送、节目推荐;应具有允许用户更改个人信息的能力,如昵称、电话号码、地址等;用户隐私数据的使用目的和范围应与用户隐私协议中显示的内容相同。不得收集和使用用户隐私协议中未提及的个人隐私数据。如有新功能需要收集个人隐私数据,需同时更改隐私条款,并提示用户在功能更新后重新阅读隐私条款,重新获取用户同意;不得以用户不同意隐私协议、用户不同意隐私政策为由拒绝用户使用APP。在协议的情况下,应能提供无需收集隐私数据即可实现的功能(4)云应用层自检项目中存储的应用日志中的IP、MAC、IMEI信息应加密或匿名化(例如IP匿名化可以隐藏最后一位数字);对存储的用户个人敏感信息进行加密,建议使用AES256算法进行加密,并妥善保管加密密钥,以防泄露;存储的用户密码要进行哈希处理,需要使用随机加盐的哈希方法进行存储。该算法推荐使用sha256。最好在数据库中存储哈希摘要和随机盐;存储的用户个人敏感信息(基于大数据的个人画像)需要有一定的时限。不能无限期永久保存,到期后应自动删除,保存时间应与隐私协议所述一致;应能证明用户同意隐私协议;建立终端漏洞补丁管理制度,定期收集和检测安全漏洞,发布更新的安全补丁;下发数据推荐哈希校验(推荐sha256)和数字签名(RSA2048),保证完整性;"云https服务需要导入RSA2048位证书,TLS协议建议配置使用TLS1.2和1.3,禁止使用SSL1.0、SSL2.0、SSL3.0和TLS1.0。安全协议集群配置配置建议如下:建议密钥交换算法配置为ECDHE,禁止使用PSK。建议将数字签名算法配置为RSA。建议配置对称加密算法使用AES256-GSM,禁止使用DES和RC4。哈希算法建议配置为SHA256或更高位数,禁用MD5和SHA1。(5)云系统环境层自检项目需要部署防火墙,基于ip/port进行访问控制,遵循最小化访问原则只??开放必要的IP和端口,遵循最大化控制原则对限制访问源IP,定期检查端口是否还在使用,及时删除过期规则;需要部署WEB应用防火墙,对http/https协议负载进行安全检查,定期更新攻击检测规则;需要部署入侵检测系统,至少包括主机入侵检测和网络入侵检测其中之一,建议同时具备;远程访问数据中心,至少满足“通过VPN访问”或“受限访问源IP”中的一项,建议同时具备;对于远程访问数据中心,必须支持身份验证双因素,除了密码验证外,还需要同时通过另一种验证方式进行确认,才能确定访问者身份验证成功;远程访问数据中心只需要连接到跳板机,只有跳板机才有访问其他主机操作系统的能力,各个业务主机不允许互相登录跳转;运维账号不能混用,要求一人一个账号,所有操作必须记录并至少保存三个月。需要记录的操作包括公有云账号的操作。业务操作系统上的维护动作记录和运维命令记录;数据库要求开启审计能力,所有数据库操作均有记录并至少保存三个月;数据中心内部需求按业务划分安全域,各业务安全域相互关联。需要遵循最低限度访问原则;操作系统、数据库和中间件需要进行安全加固;需要部署安全漏洞检测系统,定期检测云系统的漏洞并部署安全补丁进行修复;数据备份系统需要定期对数据进行备份,并验证备份集的可恢复性,以确保在数据丢失或损坏时能够成功恢复;数据备份文件应加密保存;若运营客户为欧盟或其他海外用户,云数据中心建议部署在美国或欧盟境内,规避数据跨境传输安全风险2.GDPR管理合规指引(一)基本要求自查项目要求明确企业在角色方面是数据控制者、数据处理者还是联合数据控制者,并在相关管理文件中明确角色及角色职责;根据在欧盟的业务范围,建议在相关制度或法规中明确个人信息的处理和服务范围,包括哪些国家收集哪些个人信息、收集个人信息的目的和用途;在欧盟业务范围内的当地监管机构、联系方式和沟通机制应明确并写入相关文件制度和规范;应任命一名数据保护官,并将其职责写入相关制度和规范;主体应告知数据泄露的义务,并写入相关制度和规范;应保留数据处理活动的记录,并将其写入相关制度和规范;不应允许跨境数据传输到相关系统和规范。规范中(二)自查项目基本原则合法性、公平性、透明性原则:数据主体的个人数据以合法、公平、公开透明的方式处理。对这一原则的回应应写入相关制度和规定。目的限制原则:个人数据是为特定、明确和合法的目的而收集的,随后不得以与该目的不相容的方式进行处理。对这一原则的回应应写入相关制度和规范。最小范围原则:数据应充分、相关并限制在数据处理目的所需的最小范围内。对这一原则的回应应写入相关制度和规范。准确性原则:数据应准确无误,必要时应及时更新,并采取一切合理措施确保及时删除或更正违背数据处理目的的错误数据。对这一原则的回应应写入相关制度和规范。存储限制原则:以能够识别数据主体的形式存储的数据,其存储时间不得超过实现个人数据处理目的所需的时间。对这一原则的回应应写入相关制度和规范。完整性和保密原则:数据处理应以确保个人数据适当安全的方式进行,包括采取适当的技术或组织措施来保护数据免遭未经授权或非法处理以及意外丢失、破坏或破坏。对这一原则的回应应写入相关制度和规范。儿童信息处理原则:只有处理16岁以下儿童的个人数据才是合法的。对于16岁以下的儿童,处理仅是合法的,或者至少在儿童监护人的同意或授权下。对这一原则的回应应写入相关制度和规范。(3)数据主体的权利自查项目访问权:数据主体有权就其个人数据是否已被处理获得数据控制者的确认。对此权利的回应应写入相关制度和规范。更正权:数据主体有权要求数据控制者立即更正与其相关的错误个人数据。对此权利的回应应写入相关制度和规范。删除权(被遗忘权):数据主体有权要求数据控制者立即删除与其相关的个人数据,数据控制者有义务立即删除相关个人数据。对此权利的回应应写入相关制度和规范。限制处理权:数据主体有权限制数据控制者的处理。对此权利的回应应写入相关制度和规范。持续控制权(righttoportability):如果数据主体向数据控制者提供与其相关的个人数据,则数据主体有权从数据控制者处以结构化、通用化和机器可读的方式获取上述数据形式;同时,数据主体有权将这些数据转移给其他数据控制者,原数据控制者不得阻挠。对此权利的回应应写入相关制度和规范。拒绝权:数据主体有权根据自身特殊情况随时处理涉及其个人数据的行为,包括识别、分析行为。对此权利的回应应写入相关制度和规范。自动的个人自决权:数据主体有权不受仅基于自动处理(包括分析)的决定的约束,以避免对个人产生法律或类似的重大影响。对此权利的回应应写入相关制度和规范。应当建立机制,在更正/限制处理/删除个人数据时通知个人数据接收方,并及时通知其他数据接收方根据用户请求进行相应操作后同步处理用户的个人数据。(四)个人信息事件处理自查项目应当建立终端用户投诉个人信息相关问题的处理流程;应制定个人信息安全事件协调流程、事件报告程序、事件分类分级、事件发生后等。与监管机构或数据控制者的对接程序、报告时限等处理机制。3.其他信息安全保护规范需要有安全补丁管理规定,明确发现安全漏洞后的安全补丁修复流程;个人数据使用的管理要求应在公司的相关制度和规定中明确,特别是对个人数据使用测试的情况进行控制,包括访问测试系统,申请使用测试的过程数据、数据使用后的销毁和处置、使用记录的留存等;应保存操作系统和数据库的操作记录,包括操作时间、操作人员、操作账号、操作内容等信息,并定期对操作记录进行审核,并保存审核记录;应建立健全与权限管理相关的制度文件,明确账户管理原则、账户管理要求、账户管理流程(申请、审批、变更、关闭)等内容,在执行层面,通过建立权限列表和权限审核机制;建立健全与密码安全相关的管理要求,如建立密码设置规则、密码修改要求、密码重置要求等;完善开放端口和服务定期审核管理要求。发现未关闭的端口和服务后,要及时通知运维人员进行管理;应建立与数据备份和恢复相关的管理制度
