在这一决定中,物联网作为新一代信息技术里面的重要一项被列为其中,成为国家首批加快培育的七个战略性新兴产业。这标志着物联网被列入国家发展战略,对中国物联网的发展具有里程碑的重要意义。
2011年3月16日《国家"十二五"规划纲要》
《刚要》提出要推动重点领域跨越发展,大力发展节能环保、新一代信息技术、新能源、新材料等战略性新兴产业。物联网是新一代信息技术的高度集成和综合运用,已被国务院作为战略性新兴产业上升为国家发展战略。
2011年4月6日《物联网发展专项资金管理暂行办法》(财政部)
根据办法,专项资金是由中央财政预算安排,用于支持物联网研发、应用和服务等方面的专项资金。专项资金的使用应当突出支持企业自主创新,体现以企业为主体、市场为导向、产学研用相结合的技术创新战略,鼓励和支持企业以产业联盟组织形式开展物联网研发及应用活动。专项资金由财政部、工业和信息化部各司其职,各负其责,共同管理。
2011年5月9日《工业和信息化部2011年标准化重点工作》(工信部)
文件提出将围绕"十二五"规划纲要和产业发展重点,加强标准战略研究,加快物联网、新能源汽车等重要领域标准制定和修订,为保持工业通信业平稳较快发展做好支撑。对于一些产业急需标准,今年将进一步加大标准制定力度。今年将围绕技术改造、自主创新、节能减排、淘汰落后、质量品牌、两化深度融合、培育发展战略性新兴产业等重点工作,组织制定标准3000项,发挥标准的引导和规范作用,满足产业发展的需求。
2012年2月14日:《"十二五"物联网发展规划》(工信部)
规划提出,到2015年,中国要在物联网核心技术研发与产业化、关键标准研究与制定、产业链条建立与完善、重大应用示范与推广等方面取得显著成效,初步形成创新驱动、应用牵引、协同发展、安全可控的物联网发展格局。
2012年8月17日:《无锡国家传感网创新示范区发展规划纲要(2012―2020年)》(工信部)
根据此《纲要》,中国将加大对示范区内物联网产业的财政支持力度,加强税收政策扶持;同时,推进物联网企业通过资本市场直接融资。到2015年,无锡示范区拥有一批具有自主知识产权的物联网核心技术,形成具有国际竞争力的产业集群,基本形成结构合理的物联网产业体系,实现一批重点领域的典型示范与推广应用,构建一支高素质人才队伍,促进物联网标准化工作。到2020年,无锡示范区的创新能力、产业规模、从业人员数量和影响力大幅提升,实现一大批自主创新成果产业化,成为具有一流创新能力的技术创新核心区;集聚和培育一批国内领先的物联网企业,成为具有国际竞争力的产业发展集聚区;建成一批具有重大推广价值的典型应用示范工程,成为具有较强影响力的应用示范先导区。
2013年2月5日:《国务院关于推进物联网有序健康发展的指导意见》(国务院办公厅)
《意见》提出,到2015年,我国要实现物联网在经济社会重要领域的规模示范应用,突破一批核心技术,培育一批创新型中小企业,打造较完善的物联网产业链,初步形成满足物联网规模应用和产业化需求的标准体系,并建立健全物联网安全测评、风险评估、安全防范、应急处置等机制。意见指出,将建立健全有利于物联网应用推广、创新激励、有序竞争的政策体系,抓紧推动制定完善信息安全与隐私保护等方面的法律法规。建立鼓励多元资本公平进入的市场准入机制。加快物联网相关标准、检测、认证等公共服务平台建设,完善支撑服务体系。加强知识产权保护,加快推进物联网相关专利布局,从而推动物联网健康有序的发展。
2013年3月4日:《国家重大科技基础设施建设中长期规划(2012-2030年)》(国务院办公厅)
《国家重大科技基础设施建设中长期规划》指出三网融合、云计算和物联网发展对现有互联网提出了巨大挑战,基于TCP/IP协议的互联网依靠增加带宽和渐进式改进已经无法满足未来发展的需求。建设未来网络试验设施,主要包括:原创性网络设备系统,资源监控管理系统,涵盖云计算服务、物联网应用、空间信息网络仿真、网络信息安全、高性能集成电路验证以及量子通信网络等开放式网络试验系统。该设施建成后,网络覆盖规模超过10个城市。
2013年9月17日:《物联网发展专项行动计划(2013-2015)》(国家发展改革委、工业和信息化部、科技部、教育部、国家标准委)
计划包含了顶层设计、标准制定、技术研发、应用推广、产业支撑、商业模式、安全保障、政府扶持、法律法规、人才培养10个专项行动计划。各个专项计划从各自角度,对2015年物联网行业将要达到的总体目标作出了规定。
2013年10月31日:发改委近日下发通知,要求各地组织开展2014-2016年国家物联网重大应用示范工程区域试点。
通知指出,支持各地结合经济社会发展实际需求,在工业、农业、节能环保、商贸流通、交通能源、公共安全、社会事业、城市管理、安全生产等领域,组织实施一批示范效果突出、产业带动性强、区域特色明显、推广潜力大的物联网重大应用示范工程区域试点项目,推动物联网产业有序健康发展。
2014年6月中旬:《工业和信息化部2014年物联网工作要点》(工信部)
通知指出,2014年,物联网工作重点为:1、加强顶层设计和统筹协调:加强物联网工作统筹协调,加强对地方和行业物联网发展的指导。2、突破核心关键技术:推进传感器及芯片技术、传输、信息处理技术研发,推进传感器及芯片技术、传输、信息处理技术研发,开展物联网技术典型应用与验证示范,构建科学合理的标准体系。3、开展重点领域应用示范:构建科学合理的标准体系,开展农业、商贸流通、节能环保、安全生产等重域和交通、能源、水利等重要基础设施领域应用示范,推进公共安全、医疗卫生、城市管理、民生服务领域应用示范,依托无锡国家传感网创新示范区开展应用示范,推动电信运营等企业开展物联网应用服务。4、促进产业协调发展:培育和挟持物联网骨干企业,引导和促进中小企业发展,引导和促进中小企业发展,培育物联网产业聚集区,建设和完善公共服务平台,组织商业模式研究创新和推广。5、推进安全保障体系建设:建立健全物联网安全保障体系,建立健全物联网安全保障体系。6、营造良好发展环境:加强各部门工作衔接,加强各部门工作衔接,完善产业发展政策,加大财税和金融支持力度,加快完善法律法规,加强专业人才培养。
2014年7月:《关于印发10个物联网发展专项行动计划的通知》(发改高技〔2013〕1718号)要求
国家发展改革委、工业和信息化部、科技部、教育部、国家标准委联合物联网发展部际联席会议相关成员单位制定了10个物联网发展专项行动计划,请根据各行动计划的指导思想、总体目标、重点任务、分工与进度、保障措施等,尽快细化本地区的具体措施,加强沟通协调,务实推进相关工作。
前言:
整理本文的原因有三:
1、 网上很多关于GDPR的文章并不全面,甚至有误
2、 以此机会在公司内部开展关于GDPR的专项培训
3、 青莲云的部分客户业务在未来会受到GDPR的影响
之后,我们计划编写一系列相关文章,更多的是站在企业角度来思考法案对物联网行业的影响以及应对措施,一来希望与同行企业可以就GDPR进行更多的互动讨论;二来也是希望传播国际法案对于安全和隐私的态度,共同提高物联网安全意识。
以下您将了解到:
1、 什么是GDPR(重要)
2、 GDPR的发展历程
3、 GDPR的关键术语定义(重要)
4、 GDPR会影响哪些企业(重要)
5、 GDPR不适用于哪些情况
6、 GDPR约束了哪些数据(重要)
7、 GDPR中数据主体的权利(重要)
8、 GDPR中处理个人数据的基本原则(重要)
9、 GDPR中对合法处理数据的定义
10、 GDPR中针对儿童数据的处理规定
11、 GDPR中数据控制者与数据处理者的义务(重要)
12、 GDPR中针对特别类型个人数据的处理规定
13、 GDPR中关于数据主体被遗忘权的规定(重要)
14、 GDPR中关于数据主体可携带权的规定(重要)
15、 GDPR中关于个人数据泄露通知的规定(重要)
16、 GDPR中关于设立数据保护官的规定
17、 GDPR关于执法和处罚的规定(非常重要)
18、 总结
什么是GDPR
2016年4月14日,欧洲议会投票通过了商讨四年的《一般数据保护法案》(General Data Protection Regulation (GDPR)),新法案由11章共99条组成,该法案将于2018年5月25日正式生效,将取代现有的《数据保护指示》(Data Protection Directive 95/46/EC),统一欧盟成员国关于数据保护的法律法规。
此外,GDPR新规是在28个欧盟成员国统一实施生效的,这将使28个欧盟及欧洲经济共同体成员国的隐私保护法更具有一致性和现代性。
GDPR作为一套用来保护欧盟公民个人隐私和数据的新法规,其颁布意味着欧盟对个人信息的保护及监管达到了前所未有的高度,堪称史上最严格的数据保护法案
GDPR的发展历程
(来自网络)
GDPR的关键术语定义
个人数据:是指任何指向一个已识别或可识别的自然人(数据主体)的信息。该可识别的自然人能够被直接或间接地识别,尤其是通过参照诸如姓名、身份z号、定位数据、在线身份识别这列标识,或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份的要素。
处理:是指针对个人数据或个人数据集合的任何一个或一系列 *** 作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他利用、排列、组合、限制、删除或销毁,无论此 *** 作是否采用自动化手段。
匿名化:是一种使个人数据在不使用额外信息的情况下不指向特定数据主体对待个人数据的处理方式。该处理方式将个人数据与其他额外信息分别存储,并且使个人数据因技术和组织手段而无法指向一个可识别和已识别的自然人。
数据控制者:能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。
数据处理者:是指为数据控制者处理个人数据的自然人、法人、公共机构、行政机关或其他非法人组织。
数据接受者:只是接收到被传递的个人数据的主体,无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。政府因在欧盟或其成员国法律框架内特定调查接收到的个人数据,不得视为“数据接受者”。
个人数据外泄:是指个人数据在传输、存储或进行其他处理时的由安全问题引发的个人数据被意外或非法破坏、损失、变更、未经授权披露或访问。
GDPR会影响哪些企业
欧盟GDPR法案具有域外效应。也就是说,GDPR赋予了欧盟在个人信息安全方面的域外管辖权。
主要受影响的企业为以下四类:
l 设立在欧盟境内的企业(控制者、处理者)
l 未在欧盟境内设立,但向欧盟境内的数据主体(自然人)提供产品和服务的企业(控制者、处理者)
l 未在欧盟境内设立,但涉及监控欧盟境内数据主体(自然人)行为的企业(控制者、处理者)
l 未在欧盟境内设立,但在欧洲成员国法律适用的地方设立的企业(控制者、处理者)
总结来说,GDPR不仅适用于位于欧盟境内的企业组织机构,也适用于位于欧盟以外的企业组织机构,无论机构所在地位于哪里,只要其向欧盟数据主体提供产品、服务或者监控相关行为,或处理和持有居住在欧盟境内的数据主体的个人数据,都将受到GDPR法案的监管。
GDPR法案同样适用于“数据控制者”和“数据处理者”。如果是数据处理者涉案,数据控制者也无法免除责任,GDPR规定控制者需要承担更多的责任,以确保和数据处理者之间的合同能够严格遵守GDPR的规定。
GDPR不适用于哪些情况
GDPR更多的是监管企业对数据的使用行为。以下4个方面的数据使用情况不适用于GDPR:
l 为了预防、调查、侦查或起诉刑事犯罪,主管当局为执行刑事处罚目的而产生的数据处理行为
l 基于国家安全目的而产生的数据处理行为
l 自然人在纯粹的个人或家庭活动中产生的数据处理行为
l 欧盟法律规定范围之外的活动过程中产生的数据处理行为
GDPR约束了哪些数据
个人数据:
可以通过某个标识直接或间接识别某一自然人的信息。
不管是采用自动化手段还是人工进行归类的数据,包括按时间顺序排列的包含个人数据的记录集合。
已经被匿名化的个人数据,取决于用已有标识来识别特定个体的困难程度。
敏感个人数据:
也被称为“特殊种类的个人数据”。
包括揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员的个人数据。
包括遗传数据和经过处理可以唯一识别个体的生物特征数据。
不包括涉及刑事定罪和罪行的个人数据,但该类数据的处理和保存有特殊要求。
GDPR中数据主体的权利(第三章)
l 知情权
l 访问权
l 反对权
l 可携带权
l 纠正权
l 删除权/被遗忘权
l 限制处理权
l 免受数据画像影响
GDPR中处理个人数据的基本原则
l 合法、正当、透明
l 处理数据的目的是有限的
l 仅处理为达到目的的最少数据
l 确保数据准确、及时更新
l 存储数据的期限不得长于为达到目的所需要的时间
l 采取技术和管理措施以保护数据的安全
l 数据控制者有责任并应能够证明做到了以上几点
GDPR中对合法处理数据的定义
至少满足一下中的某一项,处理数据才是合法的
l 数据主体同意为了特定目的处理其数据
l 处理数据是为了签订或履行合同的需要
l 处理数据是为了遵守法定义务的需要
l 处理数据是为了保护数据主体或其他自然人的至关重要的利益
l 处理数据是为了公共利益或形式政府授受的权力
l 处理数据是为了追求数据控制者的合理利益,但不得损害数据主体的利益
GDPR中针对儿童数据的处理规定
处理16岁以下儿童的个人数据,必须获得该儿童父母或监护人的同意或授权。各成员国可以对上述年龄进行调整,但是不得低于13岁
GDPR中数据控制者与数据处理者的义务
设置DPO(数据保护官)
文档化管理
数据保护影响评估
事先咨询机制
数据泄露报告机制
安全保障措施
遵守数据跨境转移规则
GDPR中针对特别类型个人数据的处理规定
禁止收集处理反映个人种族或民族起源、政治观点、宗教和哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。但在例外的情况下也可以收集加工以上数据,如已获得个人的明示同意,或数据控制者因处理劳动关系、社会保险之需要并在法律允许的范围内且已采取了适当的保护手段等。
GDPR中关于数据主体被遗忘权的规定(重要)
当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可以随时要求收集其数据的企业或个人删除其个人数据。
如果该数据被传递给了任何第三方(或第三方网站),数据控制者应通知该第三方删除该数据。
GDPR中关于数据主体可携带权的规定(重要)
数据主体可向数据控制者索要其数据,也可将其个人数据转移至另一个数据控制者。
GDPR中关于个人数据泄露通知的规定(重要)
数据控制者应在72小时之内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时,数据控制者必须毫不延误的通知数据主体,以便数据主体及时采取措施。
GDPR中关于设立数据保护官的规定
为确保数据保护合规并处理数据保护相关事务,数据控制者和数据处理者需设置数据保护官(DPO)。
控制者和处理者应当对数据保护官不下达任何指令,DPO不能因为执行任务的原因被解雇或者受到刑事处罚。
数据保护官直接向最高管理者报告工作。
根据联盟法律或者成员国法律规定,数据保护官应当对其执行任务的内容进行保密。
数据保护官也可以执行其他任务,履行其他职责。
GDPR关于执法和处罚的规定(非常重要)
不遵守信的数据隐私法规的后果就是会受到严厉的制裁和巨额的罚款。
GDPR的处罚并不是像网上传的那样直接就罚全球营收的4%。而是有两个等级的征收行政性罚款的规定:
对于一般性的违法,罚款上限是1000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的2%(两者中取数额大者);
对于严重的违法,罚款上限是2000万欧元,或者在承诺的情况下,最高为上一个财政年度全球全年营业收入的4%(两者中取数额大者);
判罚的严重程度是基于以下因素:
l 违规的性质、严重程度和违规的持续时间
l 违规是故意的还是因疏忽造成的
l 对个人身份信息的责任心和控制程度
l 违规是单个事件还是重复事件
l 受到影响的个人资料的种类范围
l 数据主体遭遇的损害程度
l 为了减轻损害而采取的行动
l 由违规产生的财务预期或收益
GDPR核心旨在保护隐私数据,并通过法案约束来建立企业和公民之间的信任关系,违反GDPR的代价远不止财务层面,还将给企业声誉造成极大破坏,并且导致企业和消费者之间产生信任危机
总结
由于青莲云所在的物联网行业也处于GDPR法案的约束之中,故此整理出法案中的重点思想与业界分享。GDPR此次改革以保护公民的基本权利为理念,在提高个人数据保护标准的同时,也会增加企业的合规成本。法案的背后是对隐私和安全的需求,法案生效后会成为国际数据隐私保护标准。
对于物联网行业的相关企业(硬件、软件、制造、数据分析等)来说,从此刻开始提升物联网安全意识,关注数据安全和用户隐私安全,积极的采取相应的整改或强化措施刻不容缓。青莲云安全团队也将在不断提升自身安全攻防能力和安全合规意识的同时,与客户企业建立长期持续的安全咨询合作关系,共同建设安全、自主、可信的物联网安全新业态。
等保的全称是信息安全等级保护测评,是经公安部认证的具有资质的测评机构,依据国家信息安全等级保护规范规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
等保内容包括什么
1、安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全;
2、安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理。
等保评分
等保20测评结果是百分制的,企业得分为70分即为合格。根据得分高低,结论评价分为优、良、中、差四个等级,评价越高说明企业网络安全建设工作做的越好。
根据网络安全法和等级保护标准的具体要求,域之盾整理出系列安全清单,想要了解等保测评的可以着重看一下。
一、上网行为管理
需要具备上网人员管理、上网浏览管理、上网外发管理、上网应用管理、上网流量管理、上网行为分析、上网隐私保护、风险集中告警等8项功能。
需要对主流即时通讯软件外发内容的关键字识别、记录、阻断等3项 *** 作。
二、主机安全审计
需要支持重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要事件审计。
需要支持记录事件的日期、事件、类型、主体标识等
三、运维审计
需要具备资源授权、运维监控、运维 *** 作审计、审计报表、违规 *** 作实时报警与阻断、会话审计与回放等功能
四、数据库审计
需要具备数据库审计 *** 作记录的查询、保护、备份、分析、审计、实时监控、风险预警和 *** 作过程回放等功能。
五、网络安全审计
需要对网络系统的网络设备运行状况、网络流量、用户行为进行日志记录。
六、网络防火墙
需要具备访问控制、入侵防御、病毒防御、应用识别、WEB防护、负载均衡、流量监控等9项功能。
七、数据库防火墙
需要具备数据库审计、数据库访问控制、数据库访问检查域过滤、数据库服务发现、敏感数据发现、数据库状态和性能监控等功能。
域之盾软件助力等保测评
域之盾软件可以提供包括上述功能在内的所有功能。包括上网行为审计、主机安全审计、运维审计、数据库审计、网络安全审计、网络防火墙等在内的200多项功能,域之盾软件都可以实现。
我国法律保护公民隐私权的有关规定如下:
根据《中华人民共和国宪法》规定:
第三十八条 中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。
第三十九条 中华人民共和国公民的住宅不受侵犯。禁止非法搜查或者非法侵入公民的住宅。
第四十条
中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。
根据《中华人民共和国刑法》规定:
第二百四十五条 非法搜查他人身体、住宅,或者非法侵入他人住宅的,处三年以下有期徒刑或者拘役。 司法工作人员滥用职权,犯前款罪的,从重处罚。
第二百四十六条 以暴力或者其他方法公然侮辱他人或者捏造事实诽谤他人,情节严重的,处三年以下有期徒刑、拘役、管制或者剥夺政治权利。
前款罪,告诉的才处理,但是严重危害社会秩序和国家利益的除外。 通过信息网络实施第一款规定的行为,被害人向人民法院告诉,但提供证据确有困难的,人民法院可以要求公安机关提供协助。
第二百五十二条 隐匿、毁弃或者非法开拆他人信件,侵犯公民通信自由权利,情节严重的,处一年以下有期徒刑或者拘役。
第二百五十三条 邮政工作人员私自开拆或者隐匿、毁弃邮件、电报的,处二年以下有期徒刑或者拘役。 犯前款罪而窃取财物的,依照本法第二百六十四条的规定定罪从重处罚。
第二百五十三条之一 违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。 单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
根据《中华人民共和国民法通则》规定:
第一百条 公民享有肖像权,未经本人同意,不得以营利为目的使用公民的肖像。
第一百零一条 公民、法人享有名誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。
根据《中华人民共和国侵权责任法》规定:
第二条 本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。
扩展资料:
尊重公民隐私权是信息时代的底线
互联网的数据时代已经到来,特别是以大数据、物联网、云计算和人工智能为背景的工业40产业革命中,数据信息逐渐取代用户活跃度和流量,成为核心的价值取向和互联网平台竞争的主要资源。
在网络公司的数据白热化竞争中,公民数据信息安全大有被“物化”的趋势。一些知名网站通过网民协议中的“霸王条款”,采用变相强占、冒用大数据等非法交易方式,严重侵害了用户的隐私权和国家安全。
数据权作为一种新型人格权源自隐私权,是公民民事权利的重要客体,其所有权当然属于公民自己而非网站。
我国《网络安全法》重申了公民数据信息权的自我控制权,既包括知情权、选择权、退出权,也包括网站对公民数据信息的安全保障义务、告知义务、预警义务和更改义务等。
实践中,一些网站以网民协议为幌子,将对公民合法权益至关重要的隐私协议“隐藏”在纷繁复杂的格式条款中,以“瞒天过海”的方式骗取用户信任。这种表面明示、实则强取豪夺公民数据的行为俨然成为“商业惯例”。
公民在信息不对称的背景下,成为数据被攫取掠夺的对象,大量隐私信息被非法窃取、交易和买卖。
针对此类情况,最高人民法院、最高人民检察院在今年6月1日正式实施的《关于办理侵害公民个人信息刑事案件适用法律若干问题的解释》中明确了侵害公民隐私犯罪行为的具体标准和类型,将公民个人信息安全置于法律保护的最高位阶,在刑事法律上对侵害公民数据权的行为标清了底线。
不过,两高司法解释的重点在于打击侵害公民个人信息的“明偷”“明抢”,对于滥用格式条款非法“获取”用户授权,侵害公民隐私权的“暗偷”“暗抢”行为影响却不大。
这是因为,隐私权作为民事权利,用户也有自我处分的权利,一旦网站搬出已经获得用户授权的“隐私条款”作为抗辩理由,刑事法律就很难认定其为犯罪行为。
因此,最近中央网信办、工信部、公安部和国家标准委四部门对十款市面上主要应用的网络服务隐私条款,依据《网络安全法》等相关法律法规进行了评审,督促这些网络平台整改,从根源上保障了公民数据权始终掌握在用户自己手中。
必须强调的是,个人信息与大数据性质并不相同,所适用的法律也不尽相同。按照我国《网络安全法》第76条的规定,个人信息是指以电子或者其他方式记录的、能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。
个人信息的性质属于公民隐私权范畴,非法搜集、使用或交易都将承担包括刑事、民事和行政在内的法律责任。大数据信息是直接或间接都无法识别到自然人特定身份的数据信息,在法律性质上属于知识产权范畴。
大数据作为知识产权,独立于公民个人隐私权,是数据信息时代的重要产品,产权人当然可以依法进行交易和使用。
现实中,一些网站有意混淆大数据与个人信息的界限,将个人信息打包,或者经过非法手段简单“脱敏”后,冒以大数据的名义进行交易使用,这就是典型侵害公民个人信息的违法犯罪行为。
从技术角度讲,个人信息确实有可能转化成大数据,但必须经过“脱敏化”处理,即通过法定标准和程序,将用户可识别信息进行“不可逆”性去除。
实践中“脱敏” *** 作存在两大问题,一是缺乏统一法定标准,大数据中残存可识别信息成分;二是存在数据“可逆”的可能,这两点需要政府有关部门尽快出台相关标准和程序。
从实践角度讲,互联网时代的数据权相比隐私权而言,更加突出用户对自己数据的“控制权”。除了用户知情权等伦理性权利之外,我国《网络安全法》还特别明确了用户对自己数据的“自我决定权”。
该法第43条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
删除权和更正权是公民隐私权在互联网数据领域的延伸发展,与知情权和选择权结合在一起,形成了信息时代公民数据权利的法律底线。
参考资料来源:人民网-尊重公民隐私权是信息时代的底线
数据是国家基础性战略资源,是数字经济的基石,对生产、流通、分配和消费产生深远影响。2020年,《数据安全法(征求意见稿)》[也正式发布,将数据安全纳入国家安全观,更体现了数据安全日趋重要的发展趋势。数据是工业互联网的“血液”,加强工业互联网数据安全防护对于工业互联网的健康发展至关重要。
2 国内外对于数据安全防护的工作进展
面对日益严峻的数据安全威胁,世界主要国家持续加强数据安全立法和监管。据统计,全球已有120多个国家和地区制定了专门的数据安全和个人信息保护相关法律法规及标准。从国际标准组织和欧美国家在数据安全所做的工作来看,国际电信联盟电信标准局(ITU-T)制定了《大数据服务安全指南》、《移动互联网服务中大数据分析的安全需求与框架》、《大数据基础设施及平台的安全指南》、《电信大数据生命周期管理安全指南》等多项标准。
从国内已制定的数据安全相关标准来看,主要有《信息安全技术 大数据安全管理指南》、《信息安全技术 健康医疗数据安全指南》、《信息安全技术 大数据服务安全能力要求》、《信息安全技术 数据安全能力成熟度模型》等。《信息安全技术 大数据安全管理指南》为大数据安全管理提供指导,提出了大数据安全管理基本原则、基本概念和大数据安全风险管理过程,明确了大数据安全管理角色与责任。《信息安全技术 数据安全能力成熟度模型》提出了对组织机构的数据安全能力成熟度的分级评估方法,用来衡量组织机构的数据安全能力,促进组织机构了解并提升自身的数据安全水平。《信息安全技术 健康医疗数据安全指南》提出了健康医疗领域的信息安全框架,并给出健康医疗信息控制者在保护健康医疗信息时可采取的管理和技术措施。《信息安全技术 大数据服务安全能力要求》、《信息安全技术 数据交易服务安全要求》分别针对大数据服务、数据交易的情景提出了安全要求。2020年,由国家工业信息安全发展研究中心牵头申报的《工业互联网数据安全防护指南》被列为全国信息安全标准化技术委员会(TC260)标准重点研究项目。
3 工业互联网数据安全防护难点
随着云计算、物联网、移动通信等新一代信息技术的广泛应用,泛在互联、平台汇聚、智能发展等制造业新特征日益凸显。工业互联网数据常态化呈现规模化产生、海量集中、频繁流动交互等特点,工业互联网数据已成为提升企业生产力、竞争力、创新力的关键要素,保障工业互联网数据安全的重要性愈发突出。工业互联网数据具有很高的商业价值,关系企业的生产经营,一旦遭到泄露或篡改,将可能影响生产经营安全、国计民生甚至国家安全。然而,工业企业类型多样,工业互联网数据更是海量多态,给数据安全防护带来了困难和挑战。
(1)传输阶段监测溯源难。工业互联网场景涉及云计算、大数据、人工智能等多种技术的应用,且工业互联网数据在工厂外流动更加复杂多元。大流量、虚拟化等环境下难以有效捕捉追溯敏感数据和安全威胁;
(2)存储阶段分类分级难。存储阶段极易形成数据的汇聚,需要根据数据的类别和等级采用划分区域、设置访问权限、加密存储等多种手段。然而工业互联网数据形态多样、格式复杂,使得数据分类分级管理与防护难度大;
(3)使用阶段可信共享难。对工业互联网数据进行分析利用是发展工业互联网数据作为生产要素的重要途径,然而数据权责难定、安全可信赋能难等阻碍数据有序安全共享。
4 工业互联网数据安全防护的解决方法
根据工业互联网数据安全防护需求,天锐绿盾数据安全一体化,能够给出相应的解决方案,在工业数据传输阶段和使用阶段可以使用天锐绿盾DLP数据泄露防护系统,通过智能内容识别的的技术如关键字和关键字对的检测,ocr图像的识别、文件属性的检测、向量机分类检测等方式来捕捉传输阶段的敏感数据从而保证工业互联的传输安全,在数据使用阶段可以使用天锐绿盘为解决企业文档管理分散的问题,系统采用集中存储的模式,将分散存储在各部门、各分公司用户计算机上的重要数据集中存储到统一平台上,实现对工业数据文档的统一管理,同时降低文档管理成本。系统建立了完善的权限控制机制,保证不同用户基于不同权限访问和使用文档,有效保障了文档加密的安全性。多种检索模式,支持全文关键词检索、高级检索、扩展属性搜索等高效毫秒级检索方式,有效帮助用户精确的从海量文档中快速定位所需文档。文档在协作完成过程中,会产生不同的版本。系统支持自动保存文档的历史版本,当用户需要恢复旧版本时,可一键下载。 为了实现海量数据的集中存储,系统采用分布式存储服务,以便企业未来可按需进行存储性能扩展。
在数字经济时代,企业纷纷加快数字化转型,工业互联网快速发展,给后疫情时代带来新的经济增长活力。数据是工业互联网的“血液”,数据安全对于工业互联网发展至关重要。在设备安全、系统安全之上加强工业互联网数据安全防护,是我们天锐绿盾应尽的责任和义务。
物联网一般都具有唯一性,其实像近几年出现的一些东西,像二维码都具有唯一性,还有射频识别,这些都确保了信息的安全性,这些都涉及到物联网频射方面的技术。另外,举个例子,在里你会看到一些片段,一些密码什么的会通过扫描你的眼睛,识别指纹这些的属于物联网。我是物联网专业的学生,回答有不满意的地方请见谅。1)安全隐私如射频识别技术被用于物联网系统时,RFID标签被嵌入任何物品中,比如人们的日常生活用品中,而用品的拥有者不一定能觉察,从而导致用品的拥有者不受控制地被扫描、定位和追踪,这不仅涉及到技术问题,而且还将涉及到法律问题。
2)智能感知节点的自身安全问题
即物联网机器/感知节点的本地安全问题。由于物联网的应用可以取代人来完成一些复杂、危险和机械的工作,所以物联网机器/感知节点多数部署在无人监控的场景中。那么攻击者就可以轻易地接触到这些设备,从而对它们造成破坏,甚至通过本地 *** 作更换机器的软硬件。
3)假冒攻击
由于智能传感终端、RFID电子标签相对于传统TCP/IP网络而言是“裸露”在攻击者的眼皮底下的,再加上传输平台是在一定范围内“暴露”在空中的,“窜扰”在传感网络领域显得非常频繁、并且容易。所以,传感器网络中的假冒攻击是一种主动攻击形式,它极大地威胁着传感器节点间的协同工作。
4)数据驱动攻击
数据驱动攻击是通过向某个程序或应用发送数据,以产生非预期结果的攻击,通常为攻击者提供访问目标系统的权限。数据驱动攻击分为缓冲区溢出攻击、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击等。通常向传感网络中的汇聚节点实施缓冲区溢出攻击是非常容易的。
5)恶意代码攻击
恶意程序在无线网络环境和传感网络环境中有无穷多的入口。一旦入侵成功,之后通过网络传播就变得非常容易。它的传播性、隐蔽性、破坏性等相比TCP/IP网络而言更加难以防范,如类似于蠕虫这样的恶意代码,本身又不需要寄生文件,在这样的环境中检测和清除这样的恶意代码将很困难。
6)拒绝服务
这种攻击方式多数会发生在感知层安全与核心网络的衔接之处。由于物联网中节点数量庞大,且以集群方式存在,因此在数据传播时,大量节点的数据传输需求会导致网络拥塞,产生拒绝服务攻击。
7)物联网的业务安全
由于物联网节点无人值守,并且有可能是动态的,所以如何对物联网设备进行远程签约信息和业务信息配置就成了难题。另外,现有通信网络的安全架构都是从人与人之间的通信需求出发的,不一定适合以机器与机器之间的通信为需求的物联网络。使用现有的网络安全机制会割裂物联网机器间的逻辑关系。
8)传输层和应用层的安全隐患
在物联网络的传输层和应用层将面临现有TCP/IP网络的所有安全问题,同时还因为物联网在感知层所采集的数据格式多样,来自各种各样感知节点的数据是海量的、并且是多源异构数据,带来的网络安全问题将更加复杂
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)