4.4 适当的安全措施
《数据保护法》规定,控制者和处理者有义务“实施适当的技术和组织措施,以确保与处理个人数据相关的风险水平适当的安全性”(GDPR,第32(1)条)。这一安全原则是数据保护法的一个长期特点。
该义务明确包括技术措施以及人力管理和监督(即“组织措施”)。合规性要求两个组件都是适当的。合规性要求考虑最新技术,并评估各种措施的成本与风险。因此,评估采取适当安全措施的义务可能需要与过失法进行类比,过失法提供了用于评估“合理”谨慎的各种框架(见第7.1.2节的讨论)。
GDPR极大地扩展了对安全措施的讨论,以提供可能有助于创建适当安全的措施的示例。这包括许多过去有机发展的做法,如个人数据的假名化和加密,确保系统的持续保密性、完整性、可用性和恢复能力,以及稳健的事件恢复计划。需要明确的是,GDPR并没有明确要求对所有个人数据进行加密。它只是强调加密是一种可以用来增强安全性的技术措施。然而,随着加密方法或其他安全技术的标准化和成本的降低,越来越难以证明为什么不采用这些技术。
4.5 处理系统的评估和设计
有时,防止违反数据保护法的最有效方法是设计一个系统,最大限度地减少人们采取不当行动的能力。因此,GDPR有义务在设计和默认情况下实施数据保护策略。与一般安全原则一样,该义务延伸至技术和组织措施,并在风险平衡的基础上进行评估。在处理开始之前,这个义务出现在规划阶段,因为控制器需要在确定处理手段时考虑这个问题(GDPR,第25条)。
如果新的个人数据处理活动对数据主体造成重大伤害风险,尤其是在开发或迁移到处理大量数据的系统的情况下,控制者需要进行数据保护影响评估(GDPR,第35条,引言91等)。如果评估显示存在重大风险,控制者还需要就拟议的处理活动咨询相关监管机构(GDPR,第36条)。
原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1法律法规(十五)适当的安全措施
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论