数据安全国际动态(2021年第5期)
【政策监管】
1. 瑞士数据保护机构同意欧盟数据传输标准合同
8月27日,瑞士联邦数据保护和信息委员会(FDPIC)宣布 承认 欧洲议会和理事会的第2016/679号条例 ,将欧盟于 2021年6月4日通过 新版标准合同条款( SCCs )作为本国个人数据传输到 无 足够数据保护水平国家的基础,但会根据本国《数据保护法》对 SCCs 进行必要的调整和修改。 此外,FDPIC表示旧版SCC仍可以签订到9月27日,并且在过渡期内使用至 2022年 底 。
2. 美国联邦贸易委员会禁止间谍软件商从事监控业务
9月1日,美国联邦贸易委员会禁止间谍软件商SpyFone从事监控业务,称其通过隐藏设备非法收集和分享 用户 通话记录、 位置数据 及在线活动数据。由于缺乏 数据保护措施 ,SpyFone 软件 使用者 易受到 黑客 攻击 、身份 信息 泄露 以及 其他网络威胁。除实施监控业务禁令之外, 美国 联邦贸易委员会 还 要求 SpyFone删除所有非法 收集 的数据 ,并告知不知情安装该间谍软件的用户 。
3.挪威数据保护局更新个人数据出境转移指南
9月3日,挪威数据保护局发布 个人数据出境转移更新指南,要求所有向欧洲经济区以外的国家和地区、国际组织转移个人数据必须有合法依据, 且 必须通过其国家安全审查。在欧洲经济区内,如果企业有处理依据,可跨国使用、发送和共享个人数据,因为各国共同遵守《通用数据保护条例(GDPR)》,默认个人数据受到同等保护。在欧洲经济区以外国家和地区、国际组织(如联合国、经合组织、世贸组织等)对个人数据处理有其他规定,因此挪威企业要将个人数据转移到欧洲经济区外必须有额外依据,确保转移出去的个人数据继续受到同样的良好保护。
根据该指南,企业转移个人数据前,必须进行评估,确保数据转移基础能否真正发挥作用,如果不能对计划转移的个人数据提供足够好的保护,则必须采取额外保护措施;如果未采取额外措施,则认为数据转移非法且必须停止转移。此外,将个人数据转移出欧洲经济区外的规则,是对GDPR的补充,要求企业必须记录转移个人数据类型和对象。
4.法国数据监督机构发布“数据保护管理成熟度模型”
9月 9 日,法国 国家 信息与自由委员会(CNIL)发布“数据保护管理成熟度模型” , 将国际标准中定义的成熟度级别 应用于 数据保护管理, 描述了数据保护相关的 5个成熟度级别和8个典型场景, 旨在 帮助 组织评估其 数据保护管理的 成熟度水平, 以 为后续制定 、 改善相关管理措施 奠定基础。此外,该模型 亦可为 一种分析工具,以帮助组织 评估其当前数据管理措施和目标 。
【行业研究】
5.亚马逊公司发布遵守《欧盟数据传输要求指南》白皮书
9月7日,亚马逊 公司 发布《遵守欧盟数据传输要求 指南 》白皮书,为 其 客户遵守 欧盟《通用数据保护条例( GDPR )》 、SchremsⅡ裁决 以及 欧洲数据保护委员会 的 数据传输 其他 要求 提供 指导。白皮书 重点 介绍了亚马逊 公司 在 技术、契约 、 组织三 个方面 保护客户数据 的具体 措施,包括数据加密 、 数据记录、对执法部门履行数据安全承诺以及尽量减少收集和保留 用户 数据 等 。
6.世界经济论坛发布处理数据关系白皮书
9月8日,世界经济论坛发布《赋权数据社会:以人为本处理数据关系白皮书》。作为世界经济论坛 的 通用计划,该白皮书旨在阐明保护数据生产者利益的重要意义,并提出一种以人为本的系统 性 解决方案,以整合政治、经济、环境、技术等最能影响人类生活的 因素 。白皮书主要内容包括:一是探讨与数据相关的信任关系,并提出培养 此类 信任 关系的方法 ;二是介绍识别为人赋权的机会节点及方式;三是讨论如何将信任关系和有针对性的干预应用于实际服务中;四是分享赫尔辛基在建设以人为本的蓝图方面的实践经验。
7.美国网络安全公司发布数据库安全漏洞报告
9月14日, 美国 网络安全公司Imperva发布数据库安全漏洞报告 。 该报告研究时间长达 五年,结 论 显示全球46%的本地数据库 存在 安全漏洞, 大多为 高危漏洞。报告 对各国 数据库安全 情况进行了 排 名 ,法国、澳大利亚、新加坡、英国和中国 位列前五 。报告 提出 企业应采取三大措施提高 自身 数据安全能力 , 一 是 实时监测数据位置并部署工具监测数据库异常活动;二 是 优先考虑高 危 漏洞和敏感数据;三 是 明 确 数字化转型风险, 并 制定安全战略保护数据。
【产业动态】
8.苹果推迟其儿童安全相关隐私计划
9月3日,苹果公司宣布推迟扫描iCloud账户“儿童性虐待材料”计划, 将 延长 收集 社会 反馈 意见的 时间 ,更好地 改进 儿童保护相关 功能。按照原计划, 此项 儿童 保护 功能将作为iOS 15、iPadOS 15和macOS Monterey 的 更新部分 ,将 于今年底发布。此前,该 计划 曾 受到隐私倡导者的强烈抵制和批评,包括美国公民自由联盟在内近100个政权组织 均 呼吁苹果放弃推出该计划。
9.谷歌为安卓系统提供新的私人计算服务
9月12日,谷歌公司推出私人计算服务, 用于将 安卓 设备操作系统 和 应用程序 进行 隔离,以提高 用户 隐私安全。谷歌 公司 称, 该服务 提高了 用户 的 透明度, 能使 用户了解哪些应用 程序 正在访问其数据,以便用户对应用 程序 访问 个人 信息 的权限 作 出 判断与 决定。同时 , 私人计算 服务 的功能不能直接访问网络,进一步保障 了用 户隐私安全 。
【安全事件】
10.联合国披露内部数据泄露事件
9月9日,联合国 披露其内部网络曾于今年4月遭到入侵,但 攻击者的身份和动机均未知 。 报告该事件的安全公司Resecurity称,攻击者可能使用 在 暗网 上 泄露的联合国员工账户 和密码 , 从而获得联合国内部网络的访问权。除了 窃取大量用于攻击联合国组织的内部数据 外, 攻击者 曾 试图 查找 关于联合国计算机网络架构设计的更多信息, 以 备后续攻击, 或将 信息出售给其他 黑客组织 。
11.南非司法部网络系统遭黑客攻击陷入瘫痪
9月 10 日,南非司法部 披露 其网络系统遭黑客攻击,导致所有信息系统被加密,内部员工和公众 均 无法使用 , 其签发授权书、保释服务、电子邮件和部门网站浏览等功能受到影响 。南非司法部称, 目前 没有迹象表明数据已泄露,其 信息技术 团队正在努力修复系统 , 已启动人工服务以确保法庭如期开庭,并为需要死亡证明的家属提供相关文件。
12.巴黎医院140万人个人数据被窃取
9月16日,巴黎公立医 院表示,黑客窃取了其信息系统约140万人个人数据,包括就医人员姓名、社会保险号码、联系方式、核酸检测结果,以及相关医护人员的姓名和联系方式。 这些数据主要来源于2020年年中在巴黎参加的新冠病毒核酸检测活动。 巴黎公立医院表示,此次攻击主要针对安全文件共享服务,该服务能使医院在内外部安全存储和共享文件。 目前,该医院已将该事件上报法国数据监督机构(CNIL),并向巴黎司法当局提出了申诉。
13.英国泄露在阿富汗译员的数据
9月21日,英国国防部 因其 发送电子邮件 , 导致250多名为英国军队工作的阿富汗口译员个人数据泄露 。 该邮件 由 英国负责阿富汗地区安置和援助政策(ARAP)小组 发往 阿富汗口译员, 包含口 译员电子地址、姓名 、 个人资料图像等信息 。据悉,英国国防部已暂停 相关 官员职务,并对 此次 数据泄露 事件 展开调查 。 此外, 受影响的口译员正寻求 帮助 从阿富汗迁往英国。
