x

【跨境传输系统】如何建立有助于保护隐私的跨境传输系统

cioctocdo
8 July 2023
SEO Title
How to Establish Cross-Border Transfer Systems that Help Protect Privacy

网络安全、隐私和数据流将是今年在日本举行的七国集团会议的关键议题。在这种背景下,自去年《个人信息保护法》修正案引入修订后的数据泄露报告和跨境数据流动规则以来,已经过去了一年。与此同时,亚太地区的发展在许多国家引入了数据本地化义务。在这些变化中,重要的是要记住,保护隐私需要强大的网络安全。

去年(2022年),修订后的APPI开始生效。修正案包括(i)更严格的跨境转移规则,(ii)在个人信息遭到重大侵犯时向当局和数据主体报告的义务,(iii)扩大要求披露的权利,(iv)假名信息,以及(v)加强处罚等条款。随着全球个人对隐私的认识和敏感性不断提高,影响隐私的网络攻击不断增加,以及由于云技术等现代信息技术的稳步部署,跨境数据使用的增加,APPI进行了修订。最重要的新义务之一是要求组织报告数据泄露,激励组织采取更复杂的安全措施。

随着亚太地区国家对隐私保护的需求不断增加,近年来隐私法的制定和修订加快,包括2019年泰国《个人数据保护法》的颁布、2021年中国《个人信息保护法》和《数据安全法》的制定,以及2022年颁布的《印度尼西亚个人数据保护法》。此外,印度和越南正在讨论《个人数据保护法案》。

与此同时,与保护个人数据的力度加大形成对比的是,新出现的数据本地化提案可能会使数据保护的优先事项错位。例如,2022年10月生效的关于《越南网络安全法》的第53号法令以及韩国和印度尼西亚关于公共系统的法规规定了在国内存储某些数据的义务。尽管它们在很大程度上仍然允许跨境数据流动,但任何类型的数据本地化要求实际上都可能限制网络安全最佳实践的使用,而全球对这些最佳实践的共识越来越强烈。

2023年,世界上最大的经济体或多或少就什么是数据的“适当”或“合理”安全达成了一致。常见的网络安全技术和实践出现在ENISA“最先进”指南、美国关于改善国家网络安全的行政命令以及纽约州金融服务部根据APPI安全要求制定的最新指南中(第23条,通用指南3-4-2,10)。

鉴于这一共识,日本前首相安倍晋三在2019年1月举行的世界经济论坛年会(达沃斯会议)上提出的“数据自由流动与信任”(DFFT)概念也得到了积极的推动。本月晚些时候,日本将主办七国集团,预计DFFT将成为首要和中心。

DFFT的概念意味着促进有助于解决商业和社会问题的数据的国际自由流动,同时确保对隐私、安全和知识产权的信任。其目标是建立一个全球数字环境,使数据能够跨越国际边界移动,同时确保数据在跨越边界时得到所需的监督和保护。经济合作与发展组织(经合组织)最近发布了《经合组织关于政府获取私营部门实体持有的个人数据的宣言》,来自30多个经合组织成员国的官员通过了一项协议,在出于国家安全和执法原因获取个人数据时保护隐私。经合组织澄清了执法和安全机构如何使用DFFT的概念访问个人数据。

在CrowdStrike,我们认为反思整体数据保护的重要性。考虑到当今的隐私和安全对话往往是孤立的,政策制定者和政府机构不仅可以通过加强隐私权和提高对个人数据处理者的要求来改善隐私,还可以通过促进信任这一关键因素来促进数据共享和通过国际条约进行跨境数据传输。

大规模数据共享和跨境数据传输对最先进的网络安全至关重要,因为更多的(大)数据使我们能够发现更微弱的信号。CrowdStrike®安全云每天定期处理来自端点传感器的数万亿个事件。这使CrowdStrike能够利用人工智能(AI)来抵御新出现的威胁,而不是依赖传统的防病毒(AV)签名或病毒定义文件等传统技术来识别和阻止恶意软件。几十年前的传统AV预防方法意味着必须首先发现新的恶意软件变体,然后必须为其创建签名,最后,必须将该签名部署到端点。这个过程在恶意软件的初始使用和阻止它的签名可用性之间打开了一个时间间隔。这一间隔使攻击者有足够的时间成功发起攻击或窃取他们以后可以使用的凭据。但更重要的是,目前大多数攻击都没有使用恶意软件。根据《CrowdStrike 2023全球威胁报告》,CrowdStrikeIntelligence在2022年检测到的71%的攻击是无恶意软件的。

为了更好地保护隐私,至关重要的是促进确保全球运营网络安全团队访问安全数据的政策,并鼓励采用最佳实践来保护数据不受侵犯,而不是优先考虑数据本地化等看似武断的隐私代理。如今,现代IT基础设施、网络安全和隐私合规计划都依赖于全球数据流。引入增强安全性并为数据传输提供确定性的框架是实现全面数据保护的一个重要因素。

其他资源

标签