English
 
查看详细details
您当前所在位置:首页 SCA活动报告 查看详细
最新活动 往届活动 SCA活动报告 SCA活动视频 GDPR
第三届SCA大会 | 德国国家信息安全实验室为我们带来了哪些必读信息?
文章来源:奥航智讯微信公众号  作者:网喵  发布时间:2019-06-18  浏览次数:1377

第三届SCA智能家居信息安全大会上,德国国家信息安全实验室的Markus Bartsch关于“智能家居国际化必读”的演讲里面,包含了GDPR,也包含了未来的策略。结合法律专家的解读,在信息安全领域,目前我们有哪些法律法规?从法律层面讲,如果一个企业或者一个品牌商不满足其中条件的话可能会面临哪些问题?


Markus Bartsch关于“智能家居国际化必读”演讲的主要内容有哪些?


1


Markus Bartsch说:我们基于安全的考虑,为不同的公司提供物联网相关的服务,从一个小的部件到背后大的服务提供商,给智能服务公司提供安全方面的保障和解决方案。在欧洲,我们看到了一些新的指令,一个是NIS,他主要是针对关键的基础设施;另是GDPR,是通用数据保护条例。和消费者相关的就是GDPR和网络安全法案,他们都是和物联网相关的。从智能供应链,一直到智能终端,与任何智能城市相关的,都是包含在这些指令的监管范围内。

和我们最最相关的内容是,在GDPR当中,任何方应该主管的内容。比如说相关方在欧洲之外,但是在欧洲之内提供一些服务的话,他也是受GDPR监管。比如说中国的服务商,或者是中国的供应商,如果你想把产品出口到欧洲,你必须要做到这个GDPR的合规。


2


 Markus Bartsch讲到两个概念,一个就是设计保证的数据保护,通过技术,我们要保证数据的安全,还有一个是预设安全。回到物联网概念,我们看到他其实可以分成三个部分来看。一部分就是在,设备本身、终端本身,物联网当中的设备,像智能家居,电冰箱、电视机,还有洗衣机,他可以相互相连。

重点是,设备当中有哪些数据?他传输向服务端,是什么样的服务?服务提供商是谁?有没有任何的法律框架?GDPR来规定我们的数据使用,还有设计预设的保护是怎样的。

讲到设计的数据或者说是默认的数据保护,就要知道什么叫数据保护?首先要识别出隐私性,然后应用到一些新型的技术使用中。可以从外部的整体设计保护他的隐私——所有这样一些操作都是要默认的设置,是以一种数据保护为主的框架。也就是意味着说,当数据离开了设备,到智能设施系统以后,你可以看到他可以自动行使保护,这是最佳的数据保护,他们是默认的操作。所以说,他是通过部署建立数据保护的友好环境。另外,如果你要对他进行检查的话,我们有两个方面可以去考虑的,第一个是智能服务,另外一个是在设备里面的安全


3


对于智能服务,到现在,我们还没有这样一个和谐的机制在欧洲进行实。所以目前我们还没有这样的统一技术,所以我们只能使用到行业最佳的一些实践。比如说:由SCA联盟牵头推动制定由全球32个国家共同使用的CC一般标准ISO15408。SCA联盟主要关注的领域是安全通信和安全身份认证的领域,正在朝着国际化,智能化,信息化,身份化,集成化的方向发展。更多的信息等您成为SCA联盟正式成员的时候您会更加的清楚。

有这样一个数据保护信息管理系统ISMS,这个保护系统也称为DIMS系统,他是基于ISO 27001认证标准的,针对智能服务,近期我们也要遵守他标准,去监管我们对于智能服务的数据保护。

对于设备方面的安全,目前G001可能不适合了,因为它所针对的只是设备。对安全的支持是任何的数据保护设计原则的基础,在这个基础上,我们不仅仅是分析这个设备是不是满足GDPR的标准,另外我们要看他是不是满足新的《网络安全法案》,这个法案是欧洲新的安全法案。在欧洲,我们人身安全也有一个新的立法框架指令,叫NLF,他覆盖比如电梯的安全、电磁安全、辐射安全等等。


4


对于智能服务,现在我们提议客户,要去满足GDPR的要求,去建立一个数据信息安全管理的系统。基于ISO27001,有了这样的DIMS之后,就很有可能说服欧盟监管方,这样就不需要再去付额外的费用。对于IoT的设备,首先我们应该有遵循数据保护设计的原则。对于马上就要实施的《网络安全法案》来说,可能我们共同的标准,就是基于PP的共同的标准SIOGS,他是基于19个欧洲国家的共识。


结合法律专家解读:在信息安全领域,目前我们有哪些法律法规,从法律层面来讲,如果一个企业或者一个品牌商不满足其中条件的话可能会面临哪些问题?下面是现场观众和现场上海市华诚律师事务所 高级合伙人 华东政法大学 学教授高富平的问答。



1

问题:

根据Markus Bartsch的演讲,如果GDPR已经做到了隐私声明、数据加密和数据不出欧盟地区的3个措施外,还需要做哪些?


高富平:

刚才德国的专家已经讲到了GDPR,GDPR的确会深入到整个数据的应用所有的环节,因为未来的物联网,大多数情况下是和人有关,尤其是智能家居。就GDPR的适用而言,最主要是管欧盟企业的,但是如果我们的中国服务能延伸到欧盟的话,也是适用的,所以这是一个适用的前提。

就这个问题来讲,其实GDPR贯彻的理念是什么呢?就是这个企业在做任何事情的时候,从你底层设计这个程序到你后来的运营,都要遵循他所讲到的很多规则,而不仅仅是一个隐私声明、加密这些事情。

他的基本理念就是说,你这个业务的每一个环节都应当遵循GDPR的规则,主要分两个方面,第一个方面是数据主体有很多的权力。另一方面,数据控制者,也就是我们数据的使用人,要遵循很多的义务,包括你的数据隐私政策这一类的。他的基本理念就是你对任何一个数据的收集使用,都能够说清楚,这点非常重要。你数据下来了,你用于什么目的、干什么、是不是要同意等等,这么一个流程。你能够说清楚,对这个数据要负责,这是要贯穿到一个企业整个管理流程的事情,他不仅仅是简单的一个技术措施,或者说一个政策。所以假如你的企业要适用GDPR的时候,不简单是这么一些事情,他是一个把数据管理渗入到整个企业管理,也就是我们现在提的比较时髦的话——数据治理这么一件事。很企业已经在做这个事情,数据治理说白了,我觉得三件事情,他就是技术、管理和法律,为企业提供一套解决方案。

2

问题:

安全的问题。首先,实时采集数据这点是不是构成了侵犯隐私?第二,我们的相关标准和法律法规有没有对实时采集语音数据这块有相应的规定?或者说我的音箱如果做了这方面隐私保护的技术的话,有哪些标准是可以做相关的检测认证的。


高富平:

就音箱这样的事情来讲,智能家居里有很多需要语言对话,他是运营的一个很重要的组成部分,使得电器也好,各种灯能够运行的时候,采集这个东西,我认为不属于侵犯隐私,或者说也不属于超范围收集。因为不管讲隐私也好、数据保护也好,最重要的是必要性。如果他是必要的时候,那么采集这个东西不属于,这一点算是我个人的判断。另外一个,采集下来的东西再使用,很可能就侵犯隐私。也就是说,你收集经用于商控,这个没有问题,做好安全不泄露就行。但是这个东西再使用,用来给做语音的去做,这不行,这个时候就可能要经过“我”的同意。大致的理解,我想国内也好、国外也好,基本规则就是这样,因为法律很多,我就不去讲了。

3

问题:

现在有个问题是什么,他们都在用这个,不是为了给你语音控制音乐的,他是在收集数据。现在已经做到什么?你昨天想听一首歌,但是没有搜到,今天开机的时候,它就会告诉你。


高富平:

这个时候就涉及到了信息安全的事情了,假如你的声音控制用来做另外一个服务,有延伸的产品服务,就等于再应用。声音在个人信息范畴里是一个高度识别性的东西,脸也差不多。脸、声音,还有其他的声特征,是属于信息安全。我觉得这属于再利用,我觉得你还是需要“我”同意,他是遵循同意的规则,不一定是侵犯隐私的,尤其是中国人的狭义隐私。


第三届SCA智能家居信息安全大会演讲赞助商:英飞凌,会议互动经费赞助商:杭州雅观科技有限公司,更多会议详情还请关注“奥航智讯”官方微信公众平台。

 
奥航智讯官方微信
联系我们 | CONTACT US
  • 公司地址:上海市浦东新区 周康路26号 周浦万达E栋1016室
  • 联系电话:021-51099961
  • 企业邮箱:contact@smart-alliance.com
  • W  E  B  :  www.smart-alliance.com
在线留言 | FEEDBACK
Copyright 2012-2024 SC Alliance, All Rights Reserved        沪ICP备14020833号-1        上海奥航智能科技有限公司