第三届SCA智慧家居资讯保安大会上,德国国家资讯保安实验室的Markus Bartsch关于“智慧家居国际化必读”的演讲里面,包含了GDPR,也包含了未来的策略。结合法律专家的解读,在资讯保安领域,目前我们有哪些法律法规?从法律层面讲,如果一个企业或者一个品牌商不满足其中条件的话可能会面临哪些问题?
Markus Bartsch关于“智慧家居国际化必读”演讲的主要内容有哪些?
1
Markus Bartsch说:我们基于安全的考虑,为不同的公司提供物联网相关的服务,从一个小的部件到背后大的服务提供商,给智慧服务公司提供安全方面的保障和解决方案。在欧洲,我们看到了一些新的指令,一个是NIS,他主要是针对关键的基础设施;另是GDPR,是通用资料保护条例。和消费者相关的就是GDPR和网络安全法案,他们都是和物联网相关的。从智慧供应链,一直到智慧终端,与任何智慧城市相关的,都是包含在这些指令的监管范围内。
和我们最最相关的内容是,在GDPR当中,任何方应该主管的内容。比如说相关方在欧洲之外,但是在欧洲之内提供一些服务的话,他也是受GDPR监管。比如说中国的服务商,或者是中国的供应商,如果你想把产品出口到欧洲,你必须要做到这个GDPR的合规。
2
Markus Bartsch讲到两个概念,一个就是设计保证的资料保护,通过技术,我们要保证资料的安全,还有一个是预设安全。回到物联网概念,我们看到他其实可以分成三个部分来看。一部分就是在,装置本身、终端本身,物联网当中的装置,像智慧家居,电冰箱、电视机,还有洗衣机,他可以相互相连。
重点是,装置当中有哪些资料?他传输向服务端,是什么样的服务?服务提供商是谁?有没有任何的法律框架?GDPR来规定我们的资料使用,还有设计预设的保护是怎样的。
讲到设计的资料或者说是预设的资料保护,就要知道什么叫资料保护?首先要识别出隐私性,然后应用到一些新型的技术使用中。可以从外部的整体设计保护他的隐私——所有这样一些操作都是要预设的设定,是以一种资料保护为主的框架。也就是意味着说,当资料离开了装置,到智慧设施系统以后,你可以看到他可以自动行使保护,这是最佳的资料保护,他们是预设的操作。所以说,他是通过部署建立资料保护的友好环境。另外,如果你要对他进行检查的话,我们有两个方面可以去考虑的,第一个是智慧服务,另外一个是在装置里面的安全。
3
对于智慧服务,到现在,我们还没有这样一个和谐的机制在欧洲进行实。所以目前我们还没有这样的统一技术,所以我们只能使用到行业最佳的一些实践。比如说:由SCA联盟牵头推动制定的由全球32个国家共同使用的CC一般标准ISO15408。SCA联盟主要关注的领域是安全通讯和安全身份认证的领域,正在朝着国际化,智慧化,资讯化,身份化,整合化的方向发展。更多的资讯等您成为SCA联盟正式成员的时候您会更加的清楚。
有这样一个资料保护资讯管理系统ISMS,这个保护系统也称为DIMS系统,他是基于ISO 27001认证标准的,针对智慧服务,近期我们也要遵守他标准,去监管我们对于智慧服务的资料保护。
对于装置方面的安全,目前G001可能不适合了,因为它所针对的只是装置。对安全的支援是任何的资料保护设计原则的基础,在这个基础上,我们不仅仅是分析这个装置是不是满足GDPR的标准,另外我们要看他是不是满足新的《网络安全法案》,这个法案是欧洲新的安全法案。在欧洲,我们人身安全也有一个新的立法框架指令,叫NLF,他覆盖比如电梯的安全、电磁安全、辐射安全等等。
4
对于智慧服务,现在我们提议客户,要去满足GDPR的要求,去建立一个资料资讯保安管理的系统。基于ISO27001,有了这样的DIMS之后,就很有可能说服欧盟监管方,这样就不需要再去付额外的费用。对于IoT的装置,首先我们应该有遵循资料保护设计的原则。对于马上就要实施的《网络安全法案》来说,可能我们共同的标准,就是基于PP的共同的标准SIOGS,他是基于19个欧洲国家的共识。
结合法律专家解读:在资讯保安领域,目前我们有哪些法律法规,从法律层面来讲,如果一个企业或者一个品牌商不满足其中条件的话可能会面临哪些问题?下面是现场观众和现场上海市华诚律师事务所 高阶合伙人 华东政法大学 法学教授高富平的问答。
1
问题:
根据Markus Bartsch的演讲,如果GDPR已经做到了隐私宣告、资料加密和资料不出欧盟地区的3个措施外,还需要做哪些?
高富平:
刚才德国的专家已经讲到了GDPR,GDPR的确会深入到整个资料的应用所有的环节,因为未来的物联网,大多数情况下是和人有关,尤其是智慧家居。就GDPR的适用而言,最主要是管欧盟企业的,但是如果我们的中国服务能延伸到欧盟的话,也是适用的,所以这是一个适用的前提。
就这个问题来讲,其实GDPR贯彻的理念是什么呢?就是这个企业在做任何事情的时候,从你底层设计这个程式到你后来的运营,都要遵循他所讲到的很多规则,而不仅仅是一个隐私宣告、加密这些事情。
他的基本理念就是说,你这个业务的每一个环节都应当遵循GDPR的规则,主要分两个方面,第一个方面是资料主体有很多的权力。另一方面,资料控制者,也就是我们资料的使用人,要遵循很多的义务,包括你的资料隐私政策这一类的。他的基本理念就是你对任何一个资料的收集使用,都能够说清楚,这点非常重要。你资料下来了,你用于什么目的、干什么、是不是要同意等等,这么一个流程。你能够说清楚,对这个资料要负责,这是要贯穿到一个企业整个管理流程的事情,他不仅仅是简单的一个技术措施,或者说一个政策。所以假如你的企业要适用GDPR的时候,不简单是这么一些事情,他是一个把资料管理渗入到整个企业管理,也就是我们现在提的比较时髦的话——资料治理这么一件事。很企业已经在做这个事情,资料治理说白了,我觉得三件事情,他就是技术、管理和法律,为企业提供一套解决方案。
2
问题:
安全的问题。首先,实时采集资料这点是不是构成了侵犯隐私?第二,我们的相关标准和法律法规有没有对实时采集语音资料这块有相应的规定?或者说我的音箱如果做了这方面隐私保护的技术的话,有哪些标准是可以做相关的检测认证的。
高富平:
就音箱这样的事情来讲,智慧家居里有很多需要语言对话,他是运营的一个很重要的组成部分,使得电器也好,各种灯能够执行的时候,采集这个东西,我认为不属于侵犯隐私,或者说也不属于超范围收集。因为不管讲隐私也好、资料保护也好,最重要的是必要性。如果他是必要的时候,那么采集这个东西不属于,这一点算是我个人的判断。另外一个,采集下来的东西再使用,很可能就侵犯隐私。也就是说,你收集经用于商控,这个没有问题,做好安全不泄露就行。但是这个东西再使用,用来给做语音的去做,这不行,这个时候就可能要经过“我”的同意。大致的理解,我想国内也好、国外也好,基本规则就是这样,因为法律很多,我就不去讲了。
3
问题:
现在有个问题是什么,他们都在用这个,不是为了给你语音控制音乐的,他是在收集资料。现在已经做到什么?你昨天想听一首歌,但是没有搜到,今天开机的时候,它就会告诉你。
高富平:
这个时候就涉及到了资讯保安的事情了,假如你的声音控制用来做另外一个服务,有延伸的产品服务,就等于再应用。声音在个人资讯范畴里是一个高度识别性的东西,脸也差不多。脸、声音,还有其他的声特征,是属于资讯保安。我觉得这属于再利用,我觉得你还是需要“我”同意,他是遵循同意的规则,不一定是侵犯隐私的,尤其是中国人的狭义隐私。
第三届SCA智慧家居资讯保安大会演讲赞助商:英飞凌,会议互动经费赞助商:杭州雅观科技有限公司,更多会议详情还请关注“奥航智讯”官方微信公众平台。
