基于已生效的《数据安全法》和《个人信息保护法》,做如下修订:
- P94 (8.3节) 提示:“《个人信息保护法》(草案):个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。” 更改为:“《个人信息保护法》:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”
- P234 (16.2.5节) “法律法规:包括但不限于《网络安全法》、《个人信息安全规范》、规划中的《数据安全法》,以及开展国际业务所涉及的数据保护法规,如GDPR等;其中《个人信息安全规范》虽然暂未强制,但其内容预计会在接下来的立法规划中转化为法律,如个人信息保护法。” 更改为 “法律法规:包括但不限于《网络安全法》、《数据安全法》、《个人信息保护法》,以及开展国际业务可能涉及的其他数据保护法规,如GDPR、CCPA等。”
- P262 (17.1.1节) “2017年6月1日起国内《网络安全法》生效,此外《个人信息保护法》与《数据安全法》已纳入立法规划。” 修改为 “2021年11月1日,中国《个人信息保护法》生效。”
- P263 (17.1.1节) 删除“2018年5月1日GB/T 35273《个人信息安全规范》开始作为推荐标准(2019年1月30日有修订版)。”
- P265 (17.1.6节) “中国的《网络安全法》(2017年6月1日生效)、《个人信息安全规范》,此外还有《个人信息保护法》、《数据安全法》在规划中。” 修改为 “中国的《个人信息保护法》(2021年11月1日生效)”。
- P265 (17.1.6节) “《加州消费者隐私法案 》(The California Consumer Privacy Act,简称CCPA,2020年1月1日生效)、美欧隐私盾协议 (EU–US Privacy Shield,2016年8月1日生效,内容主要是个人数据从欧盟传输到美国公司后,适用欧盟数据保护标准)、《隐私法案 》(The Privacy Act of 1974,以1973年FIPs为基础,FIPs即Fair Information Practices,公平信息实践准则)。” 修改为 “《加州消费者隐私法案 》(The California Consumer Privacy Act,简称CCPA,2020年1月1日生效)”。
P276 (17.3.1) “GB/T 35273—2017”修改为“GB/T 35273—2020”
P276 (17.3.1) 删除第二段中“不过,在内容相对完善后,不排除转为强制性标准,或为规划中的《个人信息保护法》奠定基础。在2019年1月30日,该规范又发布新的征集意见修订稿。”
P271 (17.2.4节) “合同义务(比如按照PCI-DSS合同义务,处理用户的支付卡信息及交易数据)” 修改为 “履行合同”。
P271(17.2.4节第三段中) “但如果是用户期望发生的事情,就不会这样,比如用户在电商网站购物,提交了自己的姓名、收获地址、手机号码,那么商家(数据控制者)处理这些个人数据既满足自己的合法利益,也符合用户(数据主体)的合理期望,因为用户购物之后期望尽快收到货物是用户的合理预期。” 修改为 “但如果是用户期望发生的事情,就不会这样,比如某用户之前曾购买了一款畅销型号的手机,今年该系列手机又推出了新的升级型号,那么商家向该用户发送这一升级型号的直接营销信息,可以视为在用户的合理预期之内。”。
P271(17.2.4节第四段) “在实践中,应尽可能地使用前面两种法律依据,尤其是第一种“用户同意”,而尽量避免使用第六种“合法利益”,除非这属于用户的合理预期。” 修改为 “在实践中,应在评估后选择最合适的法律依据。”。
P275(17.2.8节) 4 任命数据保护官:“如果公司人数超过250人,或者涉及大量个人数据处理,需要设置数据保护官(DPO)” 修改为 “如果控制者或处理者对数据主体进行例行的系统性的监控,或处理大量的敏感个人数据或刑事犯罪数据,需要设置数据保护官(DPO)”
P319 (20.1.2节)“数据目录(Data Inventory,DI),即数据集的清单” 修改为 “数据目录,即数据集的清单”
P321 (20.2.1节) “IP地址(没错,IP地址也是GDPR认定的个人数据,因为他们认为IP可用于定位到具体的自然人)” 修改为 “IP地址(没错,IP地址在通常情况下会被视为个人数据,因为他们认为IP可用于定位到具体的自然人)”。
P332 最下方的一段 (20.2节案例3 Cookie合规) “这里涉及两个概念,第一方(First Party)Cookie和第三方(Third Party)Cookie。网上有很多误解,认为凡是涉及第三方网站在浏览器中设置Cookie的,就属于第三方Cookie。其实不然,以A网站嵌入Google Analytics分析为例,用户在浏览A网站的时候,浏览器会向Google Analytics服务器发送请求,并被Google Analytics设置Cookie,实际上,这个Cookie只能被Google Analytics使用,而A网站并不使用,不涉及跨域的问题,也不在数据控制者之间共享,Google是该Cookie数据的唯一控制者,因此应当被视为第一方Cookie。” 修改为 “这里涉及两个概念,第一方(First Party)Cookie和第三方(Third Party)Cookie。简单的说,当我们浏览一个网页的时候,如果某个Cookie的域名和浏览器地址栏的域名一样,那么这个Cookie就是第一方Cookie,如果不一样,则是第三方Cookie。”。
- P102(9.3节)图9-4第四个方框"乙方公钥解密"应为"乙方私钥解密"
- P149(12.4.4节)“HIDS需要针对以上口风险”应为“HIDS需要针对以上风险”
- P261(16.6节)"7. ISO 27701"下面的文字介绍应为:隐私管理体系认证,其重要性相当于信息安全管理体系的ISO 27001。ISO 27701是在ISO 27001的基础上附加隐私管理要求,以建立、实施、维护及改进隐私管理体系。
- P275(17.2.8节)"4.任命数据保护官"下面第一段文字介绍应为:如果公司的处理活动包括例行大规模的监控,或者处理大量特殊种类的个人数据,或者处理犯罪记录,需要设置数据保护官(DPO)。数据保护官的职责是监控合规遵从情况、为DPIA(数据保护影响评估)提供建议,以及与GDPR监管机构沟通。
- P98(9.1节)图9-1右下侧编号⑧应为编号⑤
- P102(9.3节)图9-4第四个方框应为“乙方私钥解密”
- P126(11.3节)“访问使用临时随机口令”应为“访客使用临时随机口令”
- P140(12.3.3节)“登录的开源IP地址”应为“登录的来源IP地址”
- P149(12.4.4节)“HIDS需要针对以口风险”应为“HIDS需要针对以上风险”
- P210(15.6.1节)提示改为勾选框
- P245(16.4.1节)“SM示例加密算法”应为“SM系列加密算法”
- 前言致谢名单少一个顿号