<tt id="8hexo"></tt> 澳大利亞的隱私法規定了一項強制性要求——必須把數據泄露事件通知隱私監督官和受影響個人。
法規概要
2017年2月13日,澳大利亞參議院通過一項法案,確立了一項強制性要求,即須向隱私監督官和受影響個人通知“符合條件的”數據泄露情況。“2017年隱私修正案(數據泄露必須通知)”修訂了澳大利亞的1988年《隱私法》。
處罰
根據“全球法律監督”(Global Legal Monitor):
凡未通知但被認定對1988年《隱私法》所涉隱私構成嚴重干擾的,最高可處以……180萬澳元……(約合……137萬美元……)罰款。
合規概要
該法案第26WG條規定,如果“訪問或泄露……不太可能導致嚴重傷害”,則不需通知泄露情況。該條進一步指出:
如果安全技術或方法:
……
(i)???????????????? 被用于所涉信息,以及
(ii)?????????????? 可使信息對于未經授權獲取信息的人不可理解或失去意義,
則對信息的訪問或泄露不太可能[導致嚴重傷害]。
日本的《個人信息保護法》(PIPA)要求保護公民個人數據免遭泄露、丟失或損壞,監督處理數據的員工,以及監督受托處理數據的第三方。
法規概要
企業處理日本公民個人“我的號碼”相關數據的數據安全要求主要由日本的《個人信息保護法》(PIPA)規定,其中包括:
l? 采取必要和適當措施防止個人數據泄露、丟失或損壞,確保把個人數據置于安全控制之下;
l? 對處理數據的員工進行必要和適當監督,確保把個人數據置于安全控制之下;
l? 對受托機構的任何人員進行必要和適當監督,確保把受托個人資料置于安全控制之下。
為了保護敏感客戶數據并遵守新加坡金融管理局技術風險管理指南,機構需要采用一致、強大和細粒度的控制。
法規概要
新加坡金融管理局(MAS)發布了《技術風險管理(TRM)指南》,以幫助金融公司建立健全的技術風險管理、加強系統安全并保護敏感數據和交易。
《技術風險管理指南》包含在新加坡開展業務的金融機構應該采用的行業最佳實踐規范陳述。金融管理局明確表示,雖然《技術風險管理指南》的要求不具有法律約束力,但是它們將成為金融管理局用來評估金融機構(FI)風險的基準。
指南描述
8.4.4???????? 金融機構應該給保存有敏感或保密信息的備份磁帶和磁盤(包括U盤)加密,然后再將其運往異地存儲。
9.1.6???????? 對于保存在IT系統、服務器和數據庫中的保密信息應該通過強訪問控制加密和保護,此外還應遵守“最小權限”原則。
11.0.1.c?? 訪問控制原則——金融機構應該只根據工作職責和履行職責的需要授予訪問權和系統權限。金融機構應該嚴格執行任何人不應因為級別或職位的緣故而擁有訪問保密數據、應用程序、系統資源或設施之固有權力的制度。
11.1.1?????? 金融機構應該只根據使用需要并在需要訪問的期限內授予用戶訪問IT系統和網絡的權限。金融機構應該確保由資源擁有者正式授權和批準訪問IT資源的所有請求。
11.2????????? 特權訪問管理。
11.2.3.d.? 根據“需要”授予特權訪問權限。
11.2.3.e.? 保留特權用戶執行系統活動的審計日志記錄。
11.2.3.f.?? 禁止特權用戶訪問正在捕捉其活動的系統日志。
13????????????? 支付卡安全(自動柜員機、信用卡和借記卡)。
菲律賓的《隱私法》對與政府和私營部門處理個人數據相關的個人數據保護采用了國際原則和標準。
法規的技術安全要求
規則的第28節“技術安全措施指南”提供了以下方向:
個人信息控制者和個人信息處理者應該在適當情況下采取并建立以下技術安全措施:
a.????? 與處理個人數據相關的安全策略;
b.????? 保護計算機網絡免受意外、非法或未經授權使用、任何會影響數據完整性或阻礙系統功能或可用性的干擾以及通過電子網絡進行的未經授權訪問之侵擾的保障措施;
……
d.????? 定期檢查安全破壞情況,建立一個流程識別和評價計算機網絡中可合理預見的漏洞以及針對可能導致個人數據泄露的安全事件采取預防、糾正和緩解措施;
……
g.????? 給存儲和傳輸過程中的個人數據加密、建立身份驗證流程以及采取其他控制和限制訪問的技術安全措施。
韓國的《個人信息保護法》是世界上最嚴格的數據保護制度之一,它得到了與IT和通信網絡以及信用信息的使用(《信用信息的使用和保護法》)相關的特定行業立法的支持。
法規概要
泄露通知:《個人信息保護法》對公共和私營部門的機構規定了許多義務,其中包括把數據泄露的情況通知數據主體和其他機構(包括韓國通信委員會)的強制性要求。
數據安全:《個人信息保護法》要求信息管理者(即數據控制者)采取“安全保障所需要的技術、管理和物理措施……以防止個人信息丟失、被盜、泄露、被篡改或損壞”。
官方策略陳述:機構必須就這些安全措施做出正式陳述。
內部隱私官:機構任命一名負責監督數據處理活動的內部隱私官(無論機構的規模或性質如何)。發生數據泄露事件后,內部隱私官將被追責并在事后接受任何刑事調查。
個人可識別信息加密
《個人信息保護法》第24條第3款對唯一可識別信息的管理做出了明確限制,要求信息管理人員采取“包括加密在內的必要措施”,以防止信息丟失、被盜、泄露、被篡改或損壞。同樣,第25條第6款和第29條也要求采取“必要措施”,以確保個人信息不會丟失、被盜、被篡改或損壞。
嚴格執行
韓國還創下了嚴格執行數據保護法律的記錄。《個人信息保護法》第9章包含了對泄露數據行為給予嚴厲處罰的規定,其中包括巨額罰款和監禁——最高5000萬韓元罰款和最高5年監禁是潛在后果。
