术语表
GDPR 是什么 — 欧盟的个人数据保护规则与泄露时的通知义务
GDPR(欧盟通用数据保护条例)是保护欧盟境内个人数据的综合性法律。本文讲解它适用于谁、要求什么(数据最小化、同意、泄露通知义务、高额罚款),以及防御的基本功:只收集、只持有你真正需要的个人数据。
GDPR 是只要向欧盟用户提供服务就应当留意的个人数据保护法律。这里把要点,以及技术与运维上应掌握的防御基本功,以不涉及攻击手法的方式来梳理。
它要求什么
比起法律细节,更要抓住那些真正作为防御起作用的运维支柱。
不收集、不持有(数据最小化)
只收集、只保留目的所需的最小限度的个人数据。不持有的数据不会泄露——这是最强的防御。不再需要时就删除。
安全地保护(加密、访问控制)
把个人数据加密,并用授权收窄到「只有可以触碰的人」。把机密移到公开面之外(→ 不要把机密放进公开目录)。
能检测、能通知(72 小时规则)
迅速检测泄露,并持有能追踪影响的日志。准备好在约 72 小时内向监管当局通知的体制。没有检测机制,就无法履行义务。
别把『与我无关』当成安全的假设
只要向欧盟境内的人提供商品/服务、或监测其行为,无论商户位于何处,GDPR 都可能适用。如果你在向欧盟用户提供服务、或在处理其个人数据,『我们不是欧盟公司』并不能让它变得无关。务实的起点,是先盘点自己持有哪些个人数据、以及为何持有。
本站的观点:合规与防御指向同一个方向
GDPR 的要求,与本站日常倡导的防御指向同一个方向:最小化个人数据、加密它、用授权收窄、并能检测和记录泄露。这不仅是为了法律,本身就是减少事故的基本功。对小规模运营而言,把监管当作「对自己防御的一次复核」而非「额外的负担」,才是现实的应对姿态。
延伸阅读
- 基础:认证与授权的区别(按所有者收窄数据)/ 安全最低限度检查清单
- 术语:公钥密码 / PCI DSS(处理敏感数据的另一套标准)
- 相关:OWASP Top 10 / 安全的历史(年表)
出处
- 欧盟委员会 GDPR(官方): commission.europa.eu
FAQ
QGDPR 也会牵涉到欧盟以外的商户吗?
可能会。只要向欧盟境内的人提供商品或服务、或监测他们的行为,无论商户位于何处,GDPR 都可能适用。如果你在向欧盟用户提供服务、或在处理欧盟用户的个人数据,就可能在适用范围内——『我们不是欧盟公司』并不自动等于『与我无关』。
QGDPR 在技术上要抓住的要点是什么?
大致是:①取得合法依据(如同意)并明确目的;②只收集、只持有最小限度的数据(数据最小化);③用加密与访问控制安全地保护个人数据;④能够响应当事人的查阅、删除请求;⑤能够迅速检测泄露,并原则上在 72 小时内向监管当局通知。
Q一旦发生泄露该怎么办?
在 GDPR 下,一旦得知发生个人数据泄露,原则上必须在 72 小时内向监管当局通知(有时还需通知当事人)。正因如此,前提就是要能够『迅速检测』事故、并拥有能『追踪』影响范围的日志。若没有检测与记录的机制,连通知义务都无法履行。