0x1本周话题TOP2
话题1:咨询一个问题,企业A从企业B获取信息来做营销,信息为个人的社保信息,如果能得到企业B的授权,请问这个是合法的吗?B有没有权利授权?
A1:很简单,核心2个问题:1)企业B提供的个人信息是否合法?2)隐私政策中是否有相关说明会将合法收集的个人信息用作营销用途。这个事情应该法务出来说话。
A2:我认为要看企业B的性质。如果是有牌照、牌照业务范围内(比如征信机构),合规;有牌照、不在业务范围内,不合规。没牌照,得到个人授权,合规;没牌照,没得到个人授权,不合规。
A3:企业B就是与政府合作的政务服务软件。
Q:个人社保信息是个人敏感信息,用户是否授权给B企业可给第三方使用?
A4:这个显然处理个人信息了,B要证明已获得用户授权,数据保护法里的全流程A还是要判断。听上去没得到用户授权。
A5:企业A和企业B要签数据处理协议,企业B在收集要合法。
A6:社保信息属于金融账户信息,需要数据主体单独同意,最好还做过数据安全影响评估;企业B还得告知数据主体(个人)他给出了这份信息。
《中华人民共和国个人信息保护法》第二十八条:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
A7:嗯是的,企业B要符合个人信息保护法,都要跟用户说清楚,包含数据的第三方共享情况,及转移等。B企业有没资质用于此类商业活动?
Q:有资质。所以就算企业B授权给A,A也要判断能不能用吗?如果违法了,AB一起受罚?
A8:如果是政府的话,目前是个灰色地带,我们这边已经讨论过很多次了。政府收集信息都是不用征集用户讨论的,尤其是社保、教育这些行业的政府,啥数据都有。
Q:此刻社保信息数据所有权是归B企业还是个人,是不是涉及所有权的问题?
A9:那企业B就是数据处理者,政府是数据控制者,应该和数据控制者谈啊。
A10:做ZF的生意,是不会跟企业谈的,尤其是落到合同里的职责啥的。
A11:个人看法,从实际的角度看,这种给zf服务的企业如果有关系,不会被监管查,即使未授权A也可以用,风险较低;如果企业B是一般的没有背景的企业,如果以后被监管或是ga发现违规“贩卖”个人信息,企业B把买数据的企业名单提供出来,企业A肯定跟着牵连。
Q:如果可以确定B在手机信息的时候,就有相关声明,比如可以用于与其他企业共享,用于营销之类的,是不是就可以了?还需不需要再次授权,用户单独同意呢?
A12:应该不需要,但是两个企业之前还是需要签数据处理协议,B在隐私政策中写清楚到底共享给谁了,类似双清单。其他企业要列明清单的,清单里没有,还是要重新授权。
A13:企业A要求企业B证明:1)数据来源合法;2)使用场景获得用户同意,万一以后出事,企业A也能自举证已经“尽职尽责”了,具体操作法务给意见,看协议内容怎么写,盖双方章还是只是B的,法务在法律风险规避方面比我们在行。
Q:隐私政策里写了不会共享您的数据,但不排除与信赖的合作伙伴共享。没有清单。
A14:让法务判断,企业A和B的业务合作行为是否属于“信赖的合作伙伴共享”,安全的没必要背这锅。
A15:那还是共享了,按目前的监管力度是不行的,这样写是打擦边球,得有具体得清单,不过金融行业监管力度怎么样,不太清楚。
A16:不是授权问题。是确认B企业数据的是否是合法来源,合法就可以使用。关于原数据主体是谁A企业无需关系,也无法确认。
A17:B的数据来源是合法的。
A18参考之前的大数据分析,没查的时候,你觉得没事啊,查的时候,就进去了。尤其这个,现在已经不是蛮荒时代了,说知法犯法都不为过。好多大数据公司的数据都不是合法来源。一批大数据公司都消失了。数据要交换,产生价值,没有问题,但要遵守法律,典型案例:
A19:第三方信息共享清单
A20:有个上海数据交易所:https://www.chinadep.com/dataProducts,如果能走这个渠道应该算合规了吧
A21:各地数据交易所的主要用途之一就是这个,合规背书吧。但感觉也是一事一议的,估计交易的管理成本不低。
A22:某行是某集团的子公司,与其他兄弟子公司之间,不允许互相访问对方客户的个人信息。所以,为了达到共享,在各兄弟公司的app上做了客户授权条款,客户勾选同意了,就可以在各兄弟公司之间共享该客户的信息,没勾选的客户不能。默认是不勾选的,不然有误导客户之嫌。
A23:有个条款参考,阿里分享的
Q:我想问:不论公司AB如何交易,我作为个人数据的所有者,是否能从中收益,就算是我点了同意,你卖了我的数据,这收入是不是应该给我发一点?
A24:提供数据服务的场景比较多,但这个属于敏感信息,但需要符合以下要求,A获取B提供的社保信息用于营销:1.B获取此数据必须是合法正当的;1.双方必须签订数据处理协议,并明确敏感类数据用途;2.A获取B提供的数据使用之前,A需要展示数据主体的授权证明;大概如此了吧。
就是对于个人信息主体(就是自然人)而言,任何机构要获取数据都需要自然人的知情同意,无论是直接或者间接。其次就是B2B之间,任何涉及到处理个人信息的,理论上都需要有DPA(数据处理协议),但这点从实操来看管得不是特别严,主要是跨境数据处理一般一定要有DPA,但境内,就像企业之前似乎也没有专门的dpa。
A25:太对了,阿里那个例子,三方受益。客户用信用卡网购付款得到大打折。银行激活了快休眠的信用卡。阿里做成了生意。
A26:所以我理解,数据的流动与共享,一定是相关方利益共享和分配的事,比如我现在很饿,广告主给我10块钱,我允许每天给我打一个广告电话。而现在的数据交易所,只是交易双方的利益分配,而数据标识的个人却没得到收益,这是最大的问题。
A27:这怎么能是最大的问题呢。现在没有你参与,人家该交易交易,该流通流通,跟你半毛钱关系没有,凭啥要把你拉进来分一杯羹。淘宝和信用卡那个案例是很好,但是特例,大概也只有互联网、电商场景才有可能复制。
Q:但是个人如何知道他的信息被别人拿去获益了?
A28:不知道和没分配收益是两回事。
A29:美国有些州,个人可以把自己个人信息卖给企业。另外上海数据交易所貌似已经改为国家数据交易所了吧,应该会是大手笔。
第二十二条 支持在依法设立的数据交易机构开展数据交易活动。数据交易机构应当制定数据交易规则,对数据提供方的数据来源、交易双方的身份进行合规性审查,并留存审查和交易记录,建立交易异常行为风险预警机制,确保数据交易公平有序、安全可控、全程可追溯。
话题2:各位大佬,你们开发如果在自己的电脑上安装一些系统,或者中间件这类的,提供给他自己和其团队成员使用,这些机器或者这样的要求你们是怎么管理的?
A1:没暴露公网就从数据安全这抓,没啥重要数据就不管了。
A2:个人电脑不允许接入公司网络,自己电脑信息产权是个人的。
Q:这个自己的电脑是指公司分配给他们的电脑。开发装的中间件,数据库等系统缺乏管理和维护,开发一般不会记得去设置强密码,升级weblogic版本,等。这种维护和管理在我公司又没有办法强制禁止。。看看大家的想法是怎么样的?
A3:我也想问问,我们有团队这样搭测试环境,申请网络权限的时候才发现,平时真管不住,唉。
A4:所以你期望的方向是不禁用他们安装这种软件,但是保持安全的配置是么。
A5:没法禁用,你跟他扯安全,他跟你扯开发需要。但是确实是想保持安全的配置,又不能投入大量的资源当服务器管理,COST完全不同嘛。
A6:不允许,终端禁止安装服务器类软件。
Q:禁止安装是开发机器不具备权限还是政策上不允许?
A7:通过桌管实施终端软件准入,桌管软件开白名单模式,不在白名单的软件无法安装。
A8:要求办公电脑下班后断电。
A9:哈哈,这个不行,没有意义,开发可以远程唤醒。就如上面同学所说的一样,非银行企业,无施行这种强制措施。我已经有了初步想法,但就是想看看大家有没有一个更优秀的解决方案。
A10:安全产品来银行落地,绝对能给你抓bug、优化功能颗粒度。桌管或者edr把端口通过微隔离封了,本地爱装啥就装啥呗。
A11:关键是端口哈,我们也想过使用这一块,但是端口不知道啊,或者商业软件使用的是哪个端口啊。
A12:膈应。我把incoming的端口全锁了(除了SMB,RDP)。出的不用管,进的全锁了。
A13:管控软件隔断普通内网机器之间通讯就行了。不用纠结什么端口。服务器、打印服务器这类白名单放行互访。
A14:是不是可以从先从管理方向辨别,然后再技术方面进行管控,首先明确开发装的中间件,数据库等,这些就叫测试主机,凡是有装类似的软件都划到测试区,测试区就用测试区的管理办法。比如进行隔离等,有了制度要求并清晰辨别后,一旦发现安装了,直接权限管控起来就有理有据了。
A15:都是个人pc的软件了,你用弱口令进去帮他改成强密码。也别麻烦人家自己动手。
A16:有些工厂的软件安装规定就很严格,加域控,锁bios,个人域账号无软件安装权限,想要安装任何软件都必须提工单找桌面。
A17:普通办公用户是这样限制没错。但开发需要测试,所以是需要安装一些东西的。这就造成了管理困难。
A18:遇到过办公终端运行web应用,开到互联网的。还遇到办公终端安装了sqlserver,sa使用弱密码,被横向渗透搞了。
A19:君哥说,看似是技术问题,实际是管理问题;管理问题,最后又败于技术不过硬上。
A20:调查他,回复说要给客户演示。
A21:演示类你套在测试的沙箱环境里面,开个vpn给客户连过来体验就行了,对双方都好。
A22:二层开隔离,三层禁用端口,本地测试让他爱咋咋滴,反正不能和其他区域互通。通就干他。我这也有一些,本地机器开服务器,还要和测服的数据库通。acl策略写了很多,绑mac 绑IP ,源目写acl,目前acl都写了700多行了。
不能本地office装点服务器,给他们用么?我现在office里搞了点服务器给他们用,vm开虚拟机,需要的发邮件,单独网段,限制了技术部门访问,按需开外网访问权限,不和其他环境互通。
0x2 本周精粹
数字银行可信纵深防御落地实践讨论实录暨《数字银行可信纵深防御白皮书》重磅发布【附全文下载】
0x3 群友分享
【安全资讯】
我与金融科技的故事|以软件研发的数字孪生,开辟软件产业数字化的新境界
腾讯安全玄武实验室于旸:知患于未然,防患于将然——基于知识驱动的安全实践
深度长文|Gartner、Forrester与网络安全:深入了解声名狼藉的行业分析机构的趋势、挑战和未来|大喵看世界
-------------------------------------------------------------------------------
【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。
往期群周报:
CSO入狱启示、如何防止门禁卡被复制、关于钓鱼演练的探讨,包括点击率、填写率、演练频率、意识培训和价值等 | 总第174周
关基检查之企业必须成立领导小组或者委员会类组织机构吗?数据出境有无自评估的方案?如何治理办公类合规软件?| 总第173周
开源组件如何从源头管控多层级组件依赖?关于数据安全治理落地路径、某终端安全软件冲突事件的杂谈 | 总第172周
网络安全三套防线及数据安全杂谈,中小型金融企业年度安全规划及采购探讨,访问云上对象存储OSS的最佳实践?| 总第171周
如何进群?
如何下载群周报完整版?
请见下图:
原文始发于微信公众号(君哥的体历):A企业从B企业获取个人社保信息做营销,如果得到B企业的授权,这合法吗?如何管理开发人员的终端及其软件安装? | 总第175周
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论