2022-10-6 07:38:0 Author: www.cnblogs.com(查看原文) 阅读量:25 收藏
写在前面
作为一名传统的Cyber Security背景出身的非法学专业人士,还是希望能够从企业数据合规落地实务角度去学习、探索企业数据合规工作,但是弄清来龙去脉依然非常重要,从监管角度来说,通过立法和执法,来管控数据安全风险,尤其是识别、预防、管控数据安全风险可能引发的对个人、社会、经济、国家数据主权的危害,才是核心目标。因此结合传统Cyber Security发展历程, 从大安全的角度的出发,企业需要建设自身的数据安全风险管控机制,结合过去Cyber Security的发展历程,以及当下针对联邦学习的攻击的发展(例如基于模型算法交换的梯度信息倒推原始数据的攻击),未来数据安全可能也会走向,建设为基,合规先行,运营为本,对抗验证的路线。仅以浅薄的知识,去记录一篇学习笔记,水平有限,谬误难免,请各位大佬多多指教。
文章情况简述
2022年4月,英国个人数据保护组织信息专员办公室(Information Commission’s Office)发布了名为《Overview of Data Protection Harms and the ICO’s Taxonomy》的文,中文翻译名称大概就是《数据保护伤害综述及ICO分类标准》,全文主要基于个人数据侵权将导致各类针对个人及社会整体的伤害这一出发点,论述了伤害的发生的后果、概率、可能性、识别难度以及损害度量难度等问题,说明了监管侧对于个人数据保护的根本考虑,并在附录中对伤害类型及后果做了分类。
为什么保护个人数据权利
英国版GDPR强调对个人数据权利的保护,原因是一旦个人数据权利遭到侵害,将有可能导致对个人或社会较为各种不同类型不同严重程度的伤害后果。
基于风险管理探讨可能性和严重性
- 基于风险管理的原因:
- 事件并不一定总是导致伤害;
- 一个事件可能导致其他事件、多个伤害后果,多个事件也可能导致同一伤害后果;
- 一些后果可能也能导致其他后果。
由此,需要引入可能性和严重性,也就是从风险管控的角度去考虑侵犯个人数据权利带来的伤害后果。以可能性和严重性作为坐标我们可以得到一个风险坐标系:
数据保护伤害难以识别和量化
- 伤害后果的性质
- 经济后果容易识别和量化
- 焦虑担忧等主管后果难以量化
- 伤害后果是基于风险概率的:
- 伤害的滞后性难以与事件分析的短时短期性导致难以关联分析
- 伤害的分散性:
- 单一事件、操作或单一个人数据难以对个人、社会造成显著危害,但积累效果可能导致对个人或社会的严重危害
- 伤害感受的主观性
- 伤害难以避免
伤害分类
| 伤害对象 | 类别 | 描述 | 举例 |
|---|---|---|---|
| 个人 | 经济损失 | 因疏忽或故意导致的经济损失 | 1、违约导致的欺诈 2、信用额度影响 3、博彩广告定向投放 4、利用个人数据进行敲诈 5、因声誉损失导致的失业或失去收入来源 |
| 个人 | 身体损害 | 因疏忽或故意导致的身体损害 | 1、自杀或自残 2、个人数据用来追踪位置导致袭击事件 3、由于疏忽或不准确导致的医疗事故 |
| 个人 | 因避免或减轻损 失造成的成本 | 因避免或减轻伤害、隐私政策漏洞而付出的时间或金钱 | 1、花时间避免损害或损害风险 2、保护个人数据的安全成本 |
| 个人 | 歧视 | 有意或无意的因歧视或偏见造成的损害 | 1、自动化决策中的偏见 2、价格歧视 |
| 个人 | 未经授权的入侵 | 不想要的沟通或打扰宁静或不必要的暗示 | 1、不需要的针对性广告 2、骚扰电话、垃圾邮件 3、非必要的监视 |
| 个人 | 个人数据失控 | 滥用、复用、续用、分享个人数据包括缺乏准确性、透明性承诺 | 1、伤害平和的心态和风险管理能力 2、限制个人数据使用的查看 3、不兼容的改变导致的情感上的痛苦 |
| 个人 | 丧失能力或自主性 | 强迫人们的操作或做出明智选择的选择 | 1、糟糕的决策 2、因信息或权利不对称导致的选择限制 |
| 个人 | 心里伤害 | 无意或故意的导致的情感、情绪困扰(尴尬、焦虑、恐惧) | 1、损害精神健康 2、失去知觉、身份意识 3、自卑 4、名誉损失 5、骚扰、欺凌 |
| 个人 | 寒蝉效应 | 因感觉危险或潜在风险而减少活动或减少服务使用,从而因此减少了获益。 | 1、削减需要良好评级的活动 2、减少使用获益产品或服务来降低风险 3、寒蝉效应影响自由表达 |
| 个人 | 对权利和自由的不良影响 | 对权利或自由的消极影响 | 1、限制隐私权 2、限制集会自由 3、寒蝉效应影响自由表达 |
| 社会 | 损害法律正义 | 颠覆、重构立法、司法程序 | 1、颠覆法律 2、寒蝉效应影响受害者、目击者 |
| 社会 | 损害媒体、民主、信息和公共话语 | 对媒体、民主信息、社会公共话语的消极影响 | 1、影响选民选举投票 2、缺乏信任导致的自由表述的寒蝉效应 |
| 社会 | 损害公共健康 | 对社会公共健康造成不利后果 | 1、不信任医疗数据导致的对医疗服务的减少使用和寒蝉效应 |
| 社会 | 经济损失 | 对当地、地方、国家或特定部门具有重大意义的经济造成消极后果 | 1、广泛的侵犯隐私导致的主要服务广泛失信 2、滥用个人数据导致的不公平的竞争优势 |
| 社会 | 损害环境 | 滥用数据或减少风险直接或间接的消极导致环境损害 | 1、存储、共享、数据挖掘带来的高耗能 2、服务器占地减少了生态多 样性、绿地 |
如有侵权请联系:admin#unsafe.sh