官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
1.前言
以色列的数据保护主要受《隐私保护法》(“隐私法”)管辖,并由隐私保护局(“PPA”)执行。“隐私法”涵盖个人数据和敏感数据的收集和使用,规定了收集和使用数据的各方的权利和义务,包括相关的安全要求,并规定了收集和使用数据中个人的权利。
1.1.主要法案、法规、指令
以色列的数据保护主要受《隐私法》及其颁布的法规、《基本法:人的尊严和自由》以及以色列监管机构PPA(前身为以色列法律、信息和技术管理局(“ILITA”))的指导方针管辖。
其他立法包括:
隐私保护条例(数据安全条例)
《通信法》第40号修正案(“反垃圾邮件法”)
2004年《行政犯罪条例(行政罚款和保护隐私)》(“行政罚款条例”)
隐私保护条例(向国外数据库传输信息),5761-2001(“信息传输条例”)
《隐私保护条例》(拥有和保护数据的条件以及在公共机构之间传输数据的程序)
1.2.准则
虽然PPA发布的指南不具有法律地位,但它们反映了PPA对现行隐私法义务的解释,因此应考虑。这些准则包括:
2/2011使用外包服务进行个人数据处理
4/2012安全使用和监控摄像头以及记录图像库
5/2017在工作场所使用监控摄像头
3/2018数据安全法规适用于通过ISO27001认证的组织
2022年1月,DPO的任命和角色职责指南
1.3.判例法
不适用。
2.适用范围
2.1.个人范围
《隐私法》适用于以色列境内持有或处理个人信息的所有实体,包括私人、企业和公共实体。
2.2.地域范围
《隐私法》没有明确其管辖权,也没有要求数据主体是以色列公民。由此,隐私法的管辖权与其他以色列法律一样,即仅限于以色列境内的行为。《隐私法》是否适用于处理以色列人个人信息的外国实体,以及是否适用于处理非以色列人个人信息的以色列实体,这是一个悬而未决的法律问题。
2.3.数据范围
《隐私法》适用于个人数据和敏感数据。
3.数据保护监管机构
3.1.数据保护的主要监管机构
PPA成立于2006年,是司法部的一部分.
PPA的负责人还担任数据库注册商(“注册商”)。PPA负责保护数据库中保存的所有个人信息。
3.2.主要权力、职责和责任
PPA在国际隐私领域代表以色列,并参与立法程序。PPA发布的指南反映了PPA对《隐私法》义务的解释。PPA拥有行政和刑事调查权,可以对受《隐私法》约束的任何实体进行检查和审计。
PPA必须维护数据库登记册,并有权监督《隐私法》的规定和根据该法颁布的条例的遵守情况。以下情况PPA有权拒绝注册数据库:
数据库被用于或可能被用于非法活动,或作为非法活动的掩护
数据库中包含的数据是在违反隐私法或任何其他法律的情况下获得、累积或收集的。
4.关键定义
《隐私法》规定了两个主要事项,即一般隐私权和数据库中个人数据的保护。《隐私法》定义了以下术语:
数据控制者:《隐私法》没有使用术语“数据控制者”和“数据处理者”,而是提到“数据库所有者”、“数据库持有者”和“数据库管理者”。
个人数据:有关一个人的个性、个人地位、私密关系、健康状况、经济状况、专业资格、观点和信仰的数据。
敏感数据:关于一个人的个性、私密事务、健康状况、经济状况、观点和信仰的数据,以及司法部长指定的其他信息。个人数据和敏感数据的定义表明,敏感数据不包括有关个人身份和专业资格的数据。
生物特征数据:用于识别人的数据,这是一种独特的人类生理特征,可以通过计算机测量。
假名化:不适用。
数据库:通过磁性或光学方式存储并用于计算机处理的数据集合,但用于个人用途的非商业目的的数据集合除外。
数据库持有人:永久拥有数据库并被允许使用的法人。
数据库所有者:隐私法中未定义。有些人将数据库所有者的角色与GDPR下的数据控制者的角色进行比较。尽管两者之间有一些相似之处,但它们并不相同,因为《隐私法》并未笼统地规定数据库所有者主要负责证明遵守《隐私法》。
数据库管理者:拥有数据库的法人实体的主动管理人,或经管理人授权为此目的进行此活动的法人。
5.法律依据
5.1.同意
直接从数据主体收集个人数据的数据库所有者必须获得他们的“知情同意”,并为此目的在收集之前告知他们。
5.2法律义务
根据《隐私法》,任何人不得对法律授权的行为承担责任。
5.3其他情况下的法律依据
不适用。
6.原则
保密性
数据库管理者、持有人或员工不得披露任何个人数据,除非是为了履行其职责、实施隐私法或根据与法律诉讼有关的法院命令。
存储限制
数据库所有者每年需审查存储在数据库中的数据是否超过数据库目的所需。
7.控制者和处理者义务
数据库所有者必须:
通知PPA和数据主体数据库中的所有权转让(在合并或收购时);
遵守《数据安全条例》中规定的安全要求;
个人数据的安全性
《数据安全条例》列出了有关数据安全的要求清单。这些要求必须适用于数据库所有者、管理员和持有者。《数据安全条例》要求采取一系列管理措施和技术措施,包括::
起草数据库设置文件(类似于处理记录),其中包括数据收集和处理的说明以及从数据库向另一个国家传输数据的详细信息;
制定和实施信息安全政策和程序,包括数据库基础设施所在站点的物理安全、数据库访问授权、数据库易受攻击的风险以及如何解决此类风险的规定,如加密机制;
培训和告知授权员工隐私法、数据安全条例以及安全政策和程序的要求;
考虑到数据库中包含数据的敏感性,限制或绝对阻止将便携式设备连接到数据库系统的可能性;
任命一名信息安全官(“ISO”);
记录任何安全事件;
评估与承包商合作所涉及的风险,并在与承包商签订书面协议中规定相关事项;
由ISO以外的合资格人士进行定期审查,以验证是否符合数据安全条例的规定;
以安全的方式维护在实施《数据安全条例》规定期间积累的数据,至少持续24个月。
PPA指出,根据ISO27001认证并遵守ISO27001的组织将被视为符合数据安全法规下的大多数要求。
7.1.数据处理通知
数据库所有者必须在满足以下条件之一的情况下注册其数据库:
该数据库包含10000个以上数据主体的数据;
数据库包含敏感数据;
数据库包括有关个人的数据,这些数据不是由他们、代表他们或经他们同意提供的;
数据库属于公共实体;
该数据库用于直邮服务。
注册是免费的,可以通过以下PPA通知表格和进一步说明完成。如果已提交注册申请,而注册官未在90天内注册数据库,也没有通知申请人拒绝的理由或延迟注册的原因,则申请人可以在未注册的情况下合法管理和拥有数据库(《隐私法》第10(b1)条)。
在下列情况下,数据库免于注册义务:
数据库仅包含根据合法权限公开的数据;或
该数据库仅包含根据合法权限可供公众查阅的数据。
7.2.数据传输
《信息传输条例》规定,来自以色列数据库的数据不得转移到另一个国家,除非该国家的法律确保对个人数据的保护水平不低于以色列法律规定的保护水平。2020年7月1日,PPA通知说,允许将个人数据传输到欧盟成员国,前提是这些国家继续遵守欧盟法律中有关个人数据保护的规定。
尽管有上述规定,在以下情况下,数据库所有者可以将个人数据转移或允许转移到另一个国家:
数据主体同意传输;
无法获得数据主体的同意,并且为了保护数据主体的健康或身体完整性,转移是必要的;
数据被转移到数据库所有者控制下的实体,数据库所有者确保在传输后保护个人数据;
数据被转移到一个实体,该实体在与数据库所有者的协议中有义务根据以色列要求的条件保存信息;
数据根据合法权限公开或根据合法权限提供给公众查阅;
根据以色列法律,数据传输是强制性的;或
数据传输到《关于在自动处理个人数据方面保护个人的公约》(“公约108”)的缔约国,或在类似条件下接收数据。
2020年7月1日,PPA澄清说,由于英国是第108号公约的缔约国,因此在退出欧盟后,个人数据可能会继续转移到英国。这包括向欧盟委员会享有“充分性”状态的国家/地区传输数据,或向符合GDPR数据传输要求(例如,根据标准合同条款(“SCC”))的非欧盟国家/地区传输数据。
如果数据被转移,数据库所有者必须获得接收方的书面约定,即它采取适当的措施确保对数据的保护,并且不得将数据转移给任何人,无论是在与接收者在同一国家还是其他地方。
7.3.数据处理记录
《隐私法》要求数据库所有者建立“数据库定义文件”,其中包括以下事项:数据收集和使用活动的一般描述、数据的使用目的、数据库中包含的数据类型、数据库向海外传输的详细信息、数据库持有者的活动、主要安全风险及其处理方式,数据库管理器、持有者和ISO的名称。
7.4.数据保护影响评估
在某些情况下,数据库所有者可能需要进行数据安全风险评估。此类风险评估将至少每18个月进行一次。
在PIA的非约束性推荐框架(“PIA框架”)第1.2节中,PPA建议在以下情况下在使用个人信息之前进行PIA:
涉及收集或处理信息的项目/活动的早期阶段;
采用新系统或技术收集或处理敏感个人信息时,尤其是大规模收集或处理。
7.5.数据保护官任命
根据《隐私法》,任命数据保护官(“DPO”)不是必需的,但PPA建议将其作为收集和处理个人数据的组织的最佳实践。
但是,满足以下条件之一的实体需要任命ISO:
拥有五个或更多需要注册的数据库的实体;
公共机构;
银行、保险公司或参与信用排名或评估的公司。
要求
数据库管理者必须将ISO的身份通知监管注册。未能按要求提名ISO可能会导致刑事制裁,包括行政罚款。虽然ISO对数据安全负责,但根据《隐私法》,数据库所有者,持有者和管理者也各自对数据安全承担个人责任。
隐私法不要求ISO必须是以色列公民或居民。被判犯有道德败坏或隐私法规定的罪行的个人不得被任命为ISO。
《数据安全条例》进一步详细说明了ISO的责任。ISO应制定数据保护程序,并经数据库所有者批准,并应制定持续监控计划,并将其结果通知数据库所有者和数据库管理者。
DPO的角色
DPO的主要职责是受托在组织中实施有关个人信息保护的措施,并协助组织履行其在隐私法下的责任和义务。
《指南》第3节规定,DPO的角色范围将根据组织中执行的数据处理操作的复杂性及DPO的职责来确定。但是,一般来说,DPO的职责包括:
制定组织的私隐政策,并提交高级管理层批准;
参与整个数据处理生命周期,以确保信息处理活动的执行方式将隐私风险降至最低;
参与信息系统和相关流程的设计,以尽可能提前确保其构建方式将对数据主体造成伤害的风险降至最低,这是设计隐私和默认隐私原则的一部分;
审查组织在隐私和遵守法律领域的政策和程序,必要时监控、审计和更新程序;
进行数据保护影响评估(“DPIA”)并跟踪建议的实施情况;
监督隐私风险调查的监督;
处理数据主体的请求和投诉;
编制年度工作计划,提交高级管理层批准;
向高级管理层提交年度活动报告,包括投诉详情、任何违反法律的行为以及为纠正这些行为而采取的措施;
立即向高级管理层报告监督行动和澄清;
纠正检查中发现的缺陷;
就与保护隐私和遵守法律有关的事项向组织内的安全监督提供建议;和
对员工进行隐私保护方面的培训和认识。
DPO的权力
DPO指南第4节概述了,为了使DPO能够以最佳方式履行其职责,必须在以下方面小心:
确保DPO参与与组织中个人信息保护有关的所有事项;和
确保DPO能够获得履行该角色所需的所有资源和权力,包括访问个人信息和相关流程,以及保持该领域专业知识所需的资源。
7.6.数据泄露通知
数据库所有者应记录任何安全事件,并在某些情况下将此类事件通知PPA。
数据库所有者负责记录任何引起对数据完整性破坏或任何未经授权使用数据的事件。如果发生严重的安全事件,则数据库所有者应立即使用此处的在线表格通知PPA,并报告此类事件发生后采取的措施。PPA可以命令数据库所有者通知可能受安全事件影响的数据主体。
7.7.数据保留
数据主体可以要求从数据库中删除有关他们的数据。根据《数据安全条例》,数据库所有者必须每年考虑其数据库中包含的个人数据是否超过该数据库所有者所需的数据。实际上,这要求数据库所有者建立数据保留策略。
7.8.儿童数据
PPA在其指南中介绍了其立场,即对于未成年人,即18岁以下的数据主体,有义务就收集和使用个人数据告知未成年人的父母或监护人并获得其知情同意。收集有关儿童(14岁以下数据主体)的个人数据必须获得父母或监护人的知情同意,收集有关未成年人(18岁以下数据主体)的敏感数据必须获得父母或监护人的知情同意。
7.9.特殊类别的个人数据
包含敏感数据的数据库必须向PPA登记,并且必须对这种数据库实施更高级别的安全。
7.10.控制者和处理者合同
数据库所有者必须要求有权访问个人数据的任何承包商遵守某些要求,并且必须监控其对此类要求的遵守情况。
根据《数据安全条例》,聘请承包商提供服务的数据库所有者必须授予该承包商访问数据库的权限,必须在参与之前评估此类参与所涉及的数据保护风险。
《数据安全条例》要求,在数据库所有者与承包商的协议中,必须明确规定以下事项:
承包商将被授权处理的数据以及此类处理的目的;
承包商将被授权执行的处理类型;
承包商获授权使用的数据库系统;
承包人的聘用期限,以及在合约终止时如何将数据返还给数据库拥有人;
关于承包商(数据库持有人)必须如何根据《数据安全条例》履行其义务以及数据库所有者施加的其他义务的指示;
承包者有责任让其人员签署一份关于保密和遵守数据库所有者与承包者之间协议的承诺;和
承包商有责任将任何安全事件通知数据库所有者,并至少每年向数据库所有者提交一份报告,说明其履行上述所有情况。
8.数据主体权利
8.1.知情权
在从数据主体收集个人数据之前,数据库所有者必须告知他们:数据收集目的和接收数据第三方的详细信息以及目的。无论收集的法律依据如何,无论发起联系的一方,也无论收集的方法如何(例如使用互联网机器人和人工智能系统),都存在知情权。
8.2.访问权
数据库所有者可以允许数据主体访问保存在数据库中的有关他/她的任何数据,也可以在法律允许的范围内拒绝允许此类访问。
如果数据库持有者代表数据库所有者维护数据库,则数据库所有者必须将要求访问信息的数据主体提交给数据库持有者,并指示数据库持有者允许此类检查。
根据《数据检查条例》,数据主体必须向数据库所有者或持有人支付20新谢克尔(约合5.80欧元)的检查费。必须在提出请求后30天内允许检查,但PPA可将期限再延长15天。如果数据主体的检查请求在请求后21天内被拒绝,则必须通知数据主体。
8.3.更正权
数据库所有者必须响应数据主体的请求,以纠正或删除有关其在数据库中保存的任何数据。
《隐私法》规定,如果数据主体检查有关其数据并发现其不准确、不完整、不清楚或不是最新的,数据主体可以要求数据库所有者或持有人修改或删除此类数据。但是,这不是绝对权利,数据库所有者可以拒绝满足此类删除请求。
如果数据库所有者同意该请求,则必须将数据的修改或删除传达给在过去三年内从数据库所有者那里收到数据的任何人。数据主体可以书面形式要求用于直接邮寄的数据库的所有者从该数据库中删除有关他/她的信息。
8.4.删除权
请参阅纠正权部分。
8.5.反对/选择退出的权利
《隐私法》仅允许数据主体通过民事诉讼反对数据处理,理由是该处理侵犯了数据主体的隐私权。但是,一旦在不侵犯隐私的情况下(例如,经数据主体同意)提供个人数据进行处理,则没有既定的反对处理权的概念。截至今天,人们普遍认为以色列的数据主体无权撤回其对处理的同意。
8.6.数据可移植性权利
不适用。
8.7.不受自动决策约束的权利
不适用。
9.处罚
《行政罚款条例》授权PPA对以下个人处以2,000新谢克尔(约合578欧元)的行政罚款:
使用、持有或管理需要注册的未注册数据库;
在数据库注册申请中提供虚假信息;
未能每年向注册官提交至少五个需要注册的数据库的持有人的文件或宣誓书;和
管理或拥有用于直邮服务的数据库,而没有正确跟踪所用信息的来源。
对于以下情况,可处以3,000新谢克尔(约867欧元)的行政罚款:
管理或拥有用于直邮服务的数据库,而未在数据库注册中指定此类用途;
管理或拥有用于直邮服务的数据库,而未适当通知资料当事人或回应移除请求;
未能提供信息或在征求将包含在数据库中或使用的信息的通知中提供虚假信息;
未遵守数据主体的检查权;
根据数据库持有人和数据库所有者之间的书面协议,向未经授权的法人授予对数据库的访问权限;
未能为法律要求的数据库指定ISO。
将数据库中的信息用于与数据库注册目的不同的目的,可处以5000新谢克尔(约合1445欧元)的行政罚款。
对于上面列出的每种类型的违规行为,必须对公司处以五倍的罚款。对于持续违规行为,在发出违约警告后,对持续违规行为的每一天可处以十分之一的罚款。
那些被发现犯有上述类型违法行为的人可能被追究刑事责任,并处以一年监禁。
9.1执行决定
PPA执法的著名案例:
PPA调查了一家信用卡公司,并确定该公司违反了数据安全法规,原因是该公司的一名员工偷了一部智能手机,该公司的客户通过WhatsApp向其发送了各种必需的文件。在此之后,该公司停止了使用WhatsApp发送文件的做法。PPA确定该公司违反了数据安全条例,特别是没有限制对智能手机的物理访问,也没有使用密码或指纹来限制对智能手机的技术访问。
已在FreeBuf发表 0 篇文章
- 0 文章数
- 0 关注者