數據安全國際動態(2021年第5期)
【政策監管】
1. 瑞士數據保護機構同意歐盟數據傳輸標準合同
8月27日,瑞士聯邦數據保護和信息委員會(FDPIC)宣布 承認 歐洲議會和理事會的第2016/679號條例 ,將歐盟于 2021年6月4日通過 新版標準合同條款( SCCs )作為本國個人數據傳輸到 無 足夠數據保護水平國家的基礎,但會根據本國《數據保護法》對 SCCs 進行必要的調整和修改。 此外,FDPIC表示舊版SCC仍可以簽訂到9月27日,并且在過渡期內使用至 2022年 底 。
2. 美國聯邦貿易委員會禁止間諜軟件商從事監控業務
9月1日,美國聯邦貿易委員會禁止間諜軟件商SpyFone從事監控業務,稱其通過隱藏設備非法收集和分享 用戶 通話記錄、 位置數據 及在線活動數據。由于缺乏 數據保護措施 ,SpyFone 軟件 使用者 易受到 黑客 攻擊 、身份 信息 泄露 以及 其他網絡威脅。除實施監控業務禁令之外, 美國 聯邦貿易委員會 還 要求 SpyFone刪除所有非法 收集 的數據 ,并告知不知情安裝該間諜軟件的用戶 。
3.挪威數據保護局更新個人數據出境轉移指南
9月3日,挪威數據保護局發布 個人數據出境轉移更新指南,要求所有向歐洲經濟區以外的國家和地區、國際組織轉移個人數據必須有合法依據, 且 必須通過其國家安全審查。在歐洲經濟區內,如果企業有處理依據,可跨國使用、發送和共享個人數據,因為各國共同遵守《通用數據保護條例(GDPR)》,默認個人數據受到同等保護。在歐洲經濟區以外國家和地區、國際組織(如聯合國、經合組織、世貿組織等)對個人數據處理有其他規定,因此挪威企業要將個人數據轉移到歐洲經濟區外必須有額外依據,確保轉移出去的個人數據繼續受到同樣的良好保護。
根據該指南,企業轉移個人數據前,必須進行評估,確保數據轉移基礎能否真正發揮作用,如果不能對計劃轉移的個人數據提供足夠好的保護,則必須采取額外保護措施;如果未采取額外措施,則認為數據轉移非法且必須停止轉移。此外,將個人數據轉移出歐洲經濟區外的規則,是對GDPR的補充,要求企業必須記錄轉移個人數據類型和對象。
4.法國數據監督機構發布“數據保護管理成熟度模型”
9月 9 日,法國 國家 信息與自由委員會(CNIL)發布“數據保護管理成熟度模型” , 將國際標準中定義的成熟度級別 應用于 數據保護管理, 描述了數據保護相關的 5個成熟度級別和8個典型場景, 旨在 幫助 組織評估其 數據保護管理的 成熟度水平, 以 為后續制定 、 改善相關管理措施 奠定基礎。此外,該模型 亦可為 一種分析工具,以幫助組織 評估其當前數據管理措施和目標 。
【行業研究】
5.亞馬遜公司發布遵守《歐盟數據傳輸要求指南》白皮書
9月7日,亞馬遜 公司 發布《遵守歐盟數據傳輸要求 指南 》白皮書,為 其 客戶遵守 歐盟《通用數據保護條例( GDPR )》 、SchremsⅡ裁決 以及 歐洲數據保護委員會 的 數據傳輸 其他 要求 提供 指導。白皮書 重點 介紹了亞馬遜 公司 在 技術、契約 、 組織三 個方面 保護客戶數據 的具體 措施,包括數據加密 、 數據記錄、對執法部門履行數據安全承諾以及盡量減少收集和保留 用戶 數據 等 。
6.世界經濟論壇發布處理數據關系白皮書
9月8日,世界經濟論壇發布《賦權數據社會:以人為本處理數據關系白皮書》。作為世界經濟論壇 的 通用計劃,該白皮書旨在闡明保護數據生產者利益的重要意義,并提出一種以人為本的系統 性 解決方案,以整合政治、經濟、環境、技術等最能影響人類生活的 因素 。白皮書主要內容包括:一是探討與數據相關的信任關系,并提出培養 此類 信任 關系的方法 ;二是介紹識別為人賦權的機會節點及方式;三是討論如何將信任關系和有針對性的干預應用于實際服務中;四是分享赫爾辛基在建設以人為本的藍圖方面的實踐經驗。
7.美國網絡安全公司發布數據庫安全漏洞報告
9月14日, 美國 網絡安全公司Imperva發布數據庫安全漏洞報告 。 該報告研究時間長達 五年,結 論 顯示全球46%的本地數據庫 存在 安全漏洞, 大多為 高危漏洞。報告 對各國 數據庫安全 情況進行了 排 名 ,法國、澳大利亞、新加坡、英國和中國 位列前五 。報告 提出 企業應采取三大措施提高 自身 數據安全能力 , 一 是 實時監測數據位置并部署工具監測數據庫異常活動;二 是 優先考慮高 危 漏洞和敏感數據;三 是 明 確 數字化轉型風險, 并 制定安全戰略保護數據。
【產業動態】
8.蘋果推遲其兒童安全相關隱私計劃
9月3日,蘋果公司宣布推遲掃描iCloud賬戶“兒童性虐待材料”計劃, 將 延長 收集 社會 反饋 意見的 時間 ,更好地 改進 兒童保護相關 功能。按照原計劃, 此項 兒童 保護 功能將作為iOS 15、iPadOS 15和macOS Monterey 的 更新部分 ,將 于今年底發布。此前,該 計劃 曾 受到隱私倡導者的強烈抵制和批評,包括美國公民自由聯盟在內近100個政權組織 均 呼吁蘋果放棄推出該計劃。
9.谷歌為安卓系統提供新的私人計算服務
9月12日,谷歌公司推出私人計算服務, 用于將 安卓 設備操作系統 和 應用程序 進行 隔離,以提高 用戶 隱私安全。谷歌 公司 稱, 該服務 提高了 用戶 的 透明度, 能使 用戶了解哪些應用 程序 正在訪問其數據,以便用戶對應用 程序 訪問 個人 信息 的權限 作 出 判斷與 決定。同時 , 私人計算 服務 的功能不能直接訪問網絡,進一步保障 了用 戶隱私安全 。
【安全事件】
10.聯合國披露內部數據泄露事件
9月9日,聯合國 披露其內部網絡曾于今年4月遭到入侵,但 攻擊者的身份和動機均未知 。 報告該事件的安全公司Resecurity稱,攻擊者可能使用 在 暗網 上 泄露的聯合國員工賬戶 和密碼 , 從而獲得聯合國內部網絡的訪問權。除了 竊取大量用于攻擊聯合國組織的內部數據 外, 攻擊者 曾 試圖 查找 關于聯合國計算機網絡架構設計的更多信息, 以 備后續攻擊, 或將 信息出售給其他 黑客組織 。
11.南非司法部網絡系統遭黑客攻擊陷入癱瘓
9月 10 日,南非司法部 披露 其網絡系統遭黑客攻擊,導致所有信息系統被加密,內部員工和公眾 均 無法使用 , 其簽發授權書、保釋服務、電子郵件和部門網站瀏覽等功能受到影響 。南非司法部稱, 目前 沒有跡象表明數據已泄露,其 信息技術 團隊正在努力修復系統 , 已啟動人工服務以確保法庭如期開庭,并為需要死亡證明的家屬提供相關文件。
12.巴黎醫院140萬人個人數據被竊取
9月16日,巴黎公立醫 院表示,黑客竊取了其信息系統約140萬人個人數據,包括就醫人員姓名、社會保險號碼、聯系方式、核酸檢測結果,以及相關醫護人員的姓名和聯系方式。 這些數據主要來源于2020年年中在巴黎參加的新冠病毒核酸檢測活動。 巴黎公立醫院表示,此次攻擊主要針對安全文件共享服務,該服務能使醫院在內外部安全存儲和共享文件。 目前,該醫院已將該事件上報法國數據監督機構(CNIL),并向巴黎司法當局提出了申訴。
13.英國泄露在阿富汗譯員的數據
9月21日,英國國防部 因其 發送電子郵件 , 導致250多名為英國軍隊工作的阿富汗口譯員個人數據泄露 。 該郵件 由 英國負責阿富汗地區安置和援助政策(ARAP)小組 發往 阿富汗口譯員, 包含口 譯員電子地址、姓名 、 個人資料圖像等信息 。據悉,英國國防部已暫停 相關 官員職務,并對 此次 數據泄露 事件 展開調查 。 此外, 受影響的口譯員正尋求 幫助 從阿富汗遷往英國。
