数据隐私保护业务--GDPR 合规评估 IoT服务隐私保护-更着重运营层面的合规，管理行为的保障 1 4/18/2019 Services of D01 通用数据保护法案核心要求 个人数据的非必要使用 产品或服务尽可能少的 处理个人数据，并且不 能使用与声明功能无关 的个人数据 个人对数据的修改和移 动的权利 个人能够修改和移动个 人数据 个人对数据使用的知情 同意 （informed consent）个 人需要对数据处理知情， 并给出个人同意 个人对数据的删除权 个人有权删除、清除自 己所有的数据 通用数据保护法案核心要求 数据保护 厂商需要对个人数 据提供技术上和流 程上的保护 非必要设计和功能 厂商的产品和服务 不应当有非必要的 设计和功能 加密 法案建议厂商对个 人数据进行匿名化 和加密 隐私设计和设置 法案建议厂商在产 品和服务当中，出 厂设计与设置需要 保护用户的个人隐 私 3 4/18/2019 Services of D01 欧盟一般数据保护条例(GDPR)的要点概述 欧盟企业：  设于欧盟成员国的企业均受GDPR管辖。  设于欧盟以外的企业： 非欧盟成员国的公司只要满足下列两个条件之一，该公司就受到 GDPR的管辖： GDPR的监管机构“Supervisory authority”接受关于违法的投诉后，有权调查 可能的违法情形，并进行相应的处罚。其主要权力如下： 调查权 监管机构有权要求个人信息的“控制者”以及“处理者”提供任何所需资料； 1）为了向欧盟境内可识别的自然人提供商品和服务而收集、处理 （注）他们的信息； 监管机构有权通过信息保护审计的形式对“控制者”以及“处理者”展开调 查； 2）为了监控欧盟境内可识别的自然人的活动而收集、处理（注） 他们的信息。 监管机构有权进入“控制者”以及“处理者”的任何营业场所，调查其内的 任何数据处理设备。 处罚权 注：个人信息的“处理”包括：收集、存储、组织、修 改、恢复、使用、转移、传播、保护以及销毁等。 监管机构有权强制性执行暂时或永久性的限制性措施，例如：禁止个 人信息的处理； 监管机构有权强制性执行行政罚款 （最大处罚金额详情请参考后续章 节）….. 其他权力（授权、咨询等）….. 4 4/18/2019 Services of D01 欧盟一般数据保护条例(GDPR)的要点概述 (续) 若干GDPR技术规定，在企业合规过程中必须进行重点考虑但在合规落地过程中影响广泛的要点： • “被遗忘权（The right to be forgotten）” o • “可转移数据权（Right to data portability）” o • 企业在采用一个新的科技手段、新的服务或产品时，应该考虑到个人信息保护的问题，并落实相关的信息保护机制，以 确保新的服务和产品不会构成对个人信息的侵犯。 “记录数据的处理（Record of processing activities）” o 5 个人拥有向处理其个人信息的企业获取其个人信息，并将个人信息直接从该企业转移到其他企业的权利。 “产品设计环节的数据保护（Privacy by design and default）” o • 即个人数据删除权。个人可以随时要求掌握数据的企业删除数据，如果数据被传递给了任何第三方（或第三方网站）， 该第三方也应立即删除数据。 企业需对其个人信息的收集、处理、使用等过程保存完整的记录，以备查询。 4/18/2019 Services of D01 欧盟一般数据保护条例(GDPR)的要点概述 (续) • • • 赔偿责任 o 每个个人均拥有向GDPR监管机构提出投诉、并获得有效的法律补偿方法的权利。 o 由于违反GDPR相关规定而导致个人受到严重的或其他不同程度的损失，该个人有权向企业获取相关赔偿。如果个人信息的 处理涉及多家企业或组织。每家企业均有责任赔偿该个人的相关损失。 o 欧盟成员各国需制定其他处罚细则，惩处违反GDPR相关规定的行为。 最大处罚金额 o 根据所触犯条款的不同，GDPR设置了两个阶段的最大处罚金额。 o o 分别为：最大处罚金额1000万欧元或是企业全球年度收入的2%（选其中较高的数字）；以及最大处罚金额2000万欧元或是 企业全球年度收入的4%（选其中较高的数字） o 受到影响的个人资料的种类 违规的性质、严重程度和违规的持续时间 o 违规是故意的还是因疏忽而造成的 o 个人遭遇损害的程度 o 对个人身份信息的责任心和控制程度 o 为了减轻损害而采取的行动 o 违规是单个事件还是重复事件 o 由违规产生的财务预期或收益 对企业品牌的影响 o 6 除上述经济面的影响外，诉讼以及一系列媒体对事件的报道，有可能造成潜在的重大品牌受损。 4/18/2019 Services of D01 欧盟依据GDPR的罚款案例  葡萄牙一家医院因为病人数 据泄漏被罚款400,000€ 7 18.04.2019 Security Testing.  澳洲酒吧因为违法监控被罚 款40,000€  德国一家社交APP因为使用  法国一家电商因为泄漏用户 明文传输被罚款40,000€ 购买记录被罚款400,000€ GDPR的合规不是单纯的配置硬件，或者是法律条文的匹配等技术问题 客户常见问题：  安防设备的性能不足  软件缺乏更新，漏洞或过时的系统平台  GDPR合规设计功能缺失，不完善的代码使用  不同安全要求的网段划分不完善  管理制度不完善 而是一个综合持续的管理改善问题。 8 4/18/2019 Services of D01 如何应对挑战？ — 选择TUV莱茵的隐私保护咨询服务。我们与众不同之处: 丰富的数据隐私保护经验，最 先接触GDPR修订的认证机构 TUV莱茵是德国专业的技术认证组织机构， 提供IOT物联网隐私保护认证的专业服务 的组织，具有欧盟工业4.0下的IOT物联网 安全认证资质，是最先接触GDPR修订的 技术认证机构 9 LEGAL DISCLAIMER This document remains the property of TÜV Rheinland. It is supplied in confidence solely for information purposes for the recipient. Neither this document nor any information or data contained therein may be used for any other purposes, or duplicated or disclosed in whole or in part, to any third party, without the prior written authorization by TÜV Rheinland. This document is not complete without a verbal explanation (presentation) of the content. TÜV Rheinland AG 我们应对挑战的思路 我们会从管理，技术，运行三个方面对整体的GDPR合规水平进行合规评估。 01 管理 02 技术 03 运行 综合价值  管理咨询(Consulting)  战略，目标，架构，体系，风险管理  ISO 27001, FIPS140-2，ISO9001  运营类(Operation) 资源，绩效，流程，制度，考核，培训 11 4/18/2019  技术类(Technical) • 物理层，网络层，系统层，应用层 成本，改进，对标（GDPR，NIST, ITSM，ITIL， 产品，开发，渗透，漏扫，权限，加解密，APP COBIT），监控，测评，等保，网络安全法 测试认证，IoT安全认证 Services of D01 管理体系重点—制度体系（管理主线） 2 1 定义 3 风险评估 4 体系建设 认证 为了使信息安全管理体系文件的完备性、安全性、可控性，可维护性能统一规范管理，制定三级文档管理体系。 《集团信息安全准则》 《集团信息安全组织管理办法》 《集团信息安全管理策略》 《集团文档管理规范》 一级文件 二级文件 三级文件 《集团IT资产管理制度》 《集团业务连续性应急响应规定》 《集团介质安全管理规定》 《集团信息保密管理办法》 《集团安全事件处理规定》 《集团网络安全管理规定》 《集团访问控制规定》 ……三级文件 12 技术体系的建设基础渗透测试--（技术主线） 渗透测试 13 4/18/2019 Services of D01 运行体系主线建设方法 （运行主线） 2 1 定义 3 风险评估 4 体系建设 认证 以ISMS为基础，结合多个世界公认的管理标准要求，结合隐私保护要求，在组织的质量管理方法和标准内结合 质量管理的思想，配合客户提供的流程和测评的最佳实践经验结合形成隐私保护矩阵。 ISO/IEC 27001 / ISO/IEC 20000:2005 ISO 9000 BS7799 BS7799-1 BS7799-2 Federal Information Security Management NIST SP800 – 53 FIPS 140-2 ZSEIC FOR GER ITSEC ISO/IEC 15408 14 4/18/2019 Services of D01 "Protected Privacy Service" Examination GAP Analysis Requirements 5 Requirements This section outlines the main requirements of the service, the underpinning processes and necessary hardware. The data protection requirements are also enumerated. The description focuses solely on the key aspects. The aspects for examination are detailed in the Inspection Catalogue. For this purpos