网络保护

网络安全法律法规(十三)数据保护

作者:聚福 发表于:2024-12-08

数据保护法是从一般隐私法的基础上发展起来的。然而,这种概括可能有点误导,因为数据保护法已经发展到解决现代数据处理技术产生的一些相关问题,而这些技术在传统上可能不被定义为“隐私”。

网络安全从业人员对数据保护非常感兴趣,因为它包括许多与数据安全相关的义务。本节将主要关注与安全相关的环境中反复出现的问题。然而,数据保护法并不是一个涵盖网络安全各个方面的通用法规体系。重点仍然是在数据处理背景下为支持个人权利而采取的具体原则。

网络安全法律法规(十三)数据保护

数据保护法主要是从欧洲立法倡议发展而来的。欧盟法律通过各种机制在世界各地发挥了巨大作用,包括寻求欧盟“充分性决定”的国家,这些国家允许个人数据出口,以及对非欧盟居民数据处理者施加的私法合同要求。随着欧盟现在明确要求对世界任何地方与欧盟数据主体相关的个人数据处理活动拥有规定管辖权,这种国际影响将继续扩大(见第2.2.3节的讨论)。

欧盟定义数据保护义务的基本法律有条例2016/679–GDPR(适用于大多数人的欧盟范围的条例)和指令2016/680(成员国在国内法中对国家犯罪的调查或起诉所规定的义务)。本节主要讨论GDPR规定的义务。一个国家从事与犯罪调查或起诉有关的行为的从业人员必须了解适用于指令2016/680所述活动的修改后的义务,该指令已转换为成员国法律。

网络安全法律法规(十三)数据保护


欧盟数据保护法的首要目的是保护数据主体的利益(GDPR第1条;序言1、2、4、75、78等)。76数据保护法通过监管控制器和处理器在处理包含个人数据的数据时的行为来实现这一点。任何此类处理活动都会激活数据保护法的应用。本节将考虑这些每一个术语中。


4.1.1 数据主体、个人数据(和 PII)

在《数据保护法》中,“个人数据”和“数据主体”同时定义:

个人数据是指与已识别或可识别自然人(“数据主体”)有关的任何信息;可识别自然人是指可直接或间接识别的自然人,尤其是通过参考标识符,如姓名、识别号、位置数据、在线标识符或特定于身体、生理、遗传、心理、经济、,该自然人的文化或社会身份(GDPR,第4(1)条)。

数据主体只有自然人,而不是法人。GDPR不适用于已故自然人的个人数据,但如果成员国愿意,可以单独采取此类保护措施(GDPR在序言27中)。

由于数据主体的定义延伸至被识别或可识别的人,因此即使数据不包含识别数据主体的明显信息,数据也可以包含个人数据。任何人只要能够通过分析数据或应用任何人已知的附加信息来识别数据主体就足够了,即使控制或处理数据的人不知道和无法获取这些附加信息。化名数据仍然是个人数据(GDPR在第26次陈述会上)。

欧盟法院认为,带有IP地址号码的服务器日志包含个人数据,因为第三方(电信服务提供商)仍然可以将静态或动态IP号码与个人客户场所匹配,并从那里匹配到活人。这使得一些服务器日志条目与数据主题“相关”。服务器日志持有者无权访问IP号码分配或客户身份数据这一事实与此无关。

随着去匿名化和类似分析技术提高了从没有明显个人标识符的数据中识别活人的能力,维护真正没有个人数据的数据集变得越来越困难。

“个人数据”一词在实践中经常与“个人身份信息”(PII)混淆。之所以出现这种混淆,是因为“PII”一词在网络安全中无处不在,而且其定义也存在重大差异。

ISO/IEC 29100:2011第4.4节和NIST SP-800-122第2.1节给出了PII的定义和详细讨论。尽管ISO和NIST对PII的定义是否与个人数据的法律定义相一致存在争议,但这两项技术标准都明确认定,不包含明显个人标识符的数据仍可能构成PII。

使事情进一步复杂化的是,“个人识别信息”一词在美国联邦法律法规中使用,要么没有法定定义,要么有专门针对个人使用案例的定义。在这一特定背景下,一些美国法院狭义地将这一短语解释为只包括明显的个人识别码。

因此,一些美国法院认为,MAC代码和IP号码等数据不属于“个人识别信息”的含义,因为该短语在一些美国法规中使用。如上所述,这些相同的标识符通常构成欧洲法中定义的“个人数据”。

无论人们如何定义个人信息基础设施,欧洲数据保护法对“个人数据”都有明确而宽泛的定义。正是这种对个人数据(而非PII)的定义触发了欧洲数据保护法的应用。


4.1.2 处理


在《数据保护法》中,术语处理定义为:

对个人数据或个人数据集执行的任何操作或一组操作,无论是否通过自动方式执行,例如收集、记录、组织、结构化、存储、改编或更改、检索、咨询、使用、通过传输、传播或以其他方式公开,对齐或组合、限制、擦除或销毁(GDPR第4(2)条)。


4.1.3 控制器和处理器

在《数据保护法》中,控制器一词的定义如下:

单独或与他人共同决定个人数据处理目的和方式的自然人或法人、公共当局、机构或其他机构;如果此类处理的目的和方式由欧盟或成员国法律确定,则欧盟或成员国法律可规定控制人或其提名的具体标准(GDPR,第4(7)条)。

在《数据保护法》中,处理器一词的定义如下:

代表控制人处理个人数据的自然人或法人、公共当局、机构或其他机构(GDPR,第4(8)条)。


这些定义明确了控制器和处理器之间的关系。控制器决定;处理器执行。在数据保护法的历史上,许多政策制定者最初认为,保护个人权利的最有效方式是将监管重点放在操作和维护计算机设备(处理器)的人身上。重点是机器。然而,随着个人电脑革命改变了我们与电脑的社会关系,政策制定者开始意识到,重点应该转向能够指挥和控制机器使用方式的人——控制器。


在这两人之间,指令95/46往往给控制员带来最沉重的监管负担。处理者被告知,他们的义务主要包括遵循管制员提供的指示。将主要合规责任交给数据控制者有很多正当理由,尤其是因为他们通常能够与相关数据主体沟通和管理关系。


随着云服务变得无处不在,尤其是SaaS,这种监管差异开始瓦解。典型的SaaS提供商可能会花费大量的时间和精力来设计他们的系统和用户界面,然后在服务级别协议中以“要么接受,要么放弃”的方式向控制客户展示该系统的操作特性。作为一个技术问题,SaaS提供商可能渴望证明他们只是以处理器的能力行事,而他们的客户是以控制器的身份行事——这将评估合规性的负担转移到了单个控制器身上。在GDPR中对数据保护法的修订中,政策制定者的回应是普遍增加了处理者的监管责任。GDPR下的合规责任现在由控制者和处理者更平均地分担,尽管他们的责任取决于各自的能力领域。

版权声明

本文系作者发表,未经许可,不得转载