整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
員工個人信息的采集和使用
近期公布的《網安法》和《民法總則》并沒有直接針對員工個人信息的相關立法,貴司的問題也沒有直接法條體現。但是,從實踐角度出發,用人單位最好還是遵守政府現行立法中就個人信息的收集和保存所制定的一般性規則,即便目前這些規則更多還是針對用戶的個人信息。用人單位應采取一些關鍵性措施,以確保其收集和處理員工個人信息的行為符合相關法律法規中所規定的信息保護要求。
一、個人信息的定義
《中華人民共和國網絡安全法》第76條,“個人信息”指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。
《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條:刑法第二百五十三條之一規定的“公民個人信息”,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息,包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等。
二、個人信息保護的一般條款
網安法項下的個人信息收集和保存規則適用于“網絡運營者”,尤其是“關鍵信息基礎設施運營者”,即網安法中的個人信息保護主要是指對網絡運營者日常經營活動中取得的用戶個人信息的保護。
《網安法》第44條:任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。
《民法總則》第111條:自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。
用人單位在涉及處理其員工的個人信息時,同樣應受到這些一般性條款的約束。
三、企業個人信息收集的建議
1) 招聘和錄用
許多企業曾在招聘員工過程中,對一些員工尤其高管進行背景調查。考慮到背景調查所需的專業性,用人單位往往會委托第三方服務商進行背景調查。此類委托將可能被認定為非法收集、傳輸、買賣、提供或公開他人信息的違法行為,會被追究民事責任甚至刑事責任。所以,用人單位在進行相關員工的背景調查時,要格外注意須事先以書面形式獲得待查員工的授權(如在offer、勞動合同里約定明確授權并由員工簽字認可或讓員工簽寫《員工個人信息許可書》),從而使用人單位有權收集及調查該員工個人信息。
其次,用人單位須謹慎使用第三方背景調查服務商進行調查,避免構成非法買賣個人信息。如必須使用,應在與第三方服務商的服務協議中約定免責條款,要求第三方服務商在進行背景調查時必須依法進行,不得有任何違法違規行為。
此外,在錄用員工時,用人單位往往要求員工填寫《個人信息登記表》,要求員工書面披露其大量個人信息。這既是判斷勞動者是否符合用工需求的需要,也是內部管理需要,勞動者正常情況下都會配合。但對于此類個人信息搜集,應局限于《勞動合同法》第八條法定授權的范圍,即:用人單位有權了解勞動者與勞動合同直接相關的基本情況,勞動者應當如實說明。
2)員工個人信息使用與披露
《就業服務與就業管理規定》,“用人單位應當對勞動者的個人資料予以保密。公開勞動者的個人資料信息和使用勞動者的技術、智力成果,須經勞動者本人書面同意。”因此,可以通過規章制度或相關文件提前獲得特定情形下披露員工個人信息的授權。
3)員工個人信息的存儲與跨境轉移
實踐中,企業可能需要將在中國境內收集的個人信息轉移至境外,例如,企業需要將國內收集的個人信息傳輸給境外的服務商進行數據處理,或者跨國公司需要將中國員工個人信息轉至總部以統一處理人事問題。
《個人信息和重要數據出境安全評估辦法(征求意見稿)》,強調了個人信息跨境轉移除了要依規定進行安全評估外,更重要的一定要獲得本人同意:“個人信息出境,應向個人信息主體說明數據出境的目的、范圍、內容、接收方及接收方所在的國家或地區,并經其同意。未成年人個人信息出境須經其監護人同意。”
美監察部門:CISA提高共享網絡威脅數據質量的4項建議
“
天極按
近日,國土安全部監察長辦公室(DHS OIG)發布報告,指出了AIS參與者共享的數據質量存在缺陷并提出了4項建議以幫助 CISA提高共享網絡威脅數據的質量。
2015年網絡安全法案建立了公共和私營部門實體之間共享網絡威脅信息的自愿流程。該法案要求國家情報局局長、國土安全和國防部長以及司法部長與其他聯邦實體一起制定旨在促進共享網絡威脅指標的程序。根據該法案,網絡威脅指標被定義為描述或識別網絡安全威脅或安全漏洞的各個方面的信息,
CISA 于2016 年創建了自動指標共享(AIS) 功能,以便與AIS 社區的參與者實時交換未分類的網絡威脅信息和防御措施。CISA向參與者免費提供 AIS服務,這是 CISA與公共和私營部門合作伙伴合作以通過以下方式識別和減輕網絡威脅的使命的一部分信息共享。AIS 能力的基本概念是促進參與者之間的交互。
要通過AIS 能力接收未分類的網絡安全威脅信息,參與實體必須首先簽署信息共享協議。CISA 向 AIS參與者提供三個獨立的信息共享類別或數據饋送:FedGov、AIS和網絡信息和共享協作計劃(CISCP)。
為了促進在信息共享過程中保護個人身份信息(PII),自動隱私審查會在提交的網絡威脅指標和需要額外人工審查的防御措施中標記潛在的PII。如果與網絡安全威脅沒有直接關系,CISA網絡分析師則使用非機密任務操作環境中的應用程序,從提交的網絡威脅指標和防御措施中審查和編輯PII。
作為此過程的一部分,CISA編譯來自機密來源的信息,然后在傳播之前刪除敏感或私人信息。分析師將解密的網絡威脅指標輸入任務操作環境工作站。盡管如此,支持現在未分類的網絡威脅指標的背景信息可能仍然是機密的。圖 1 說明了這個過程。
圖1. AIS信息共享流程
資料來源:國土安全部監察長辦公室根據從CISA 收到的信息生成
網絡安全法報告要求
該法案第107 節要求參與的OIG 提交兩年期聯合報告,包括對以下內容的總體評估:
根據國土安全部監察長辦公室(IC IG) 的報告指示,選定機構的每個監察長辦公室都必須就該機構已采取的行動提交30 個問題的答復執行該法案。根據這一要求,之前評估了國土安全部在2017 年和 2018年實施網絡安全信息共享要求的進展情況。在2020年報告,國土安全部已經解決了該法案的基本信息共享要求。確定 CISA 在此期間增加了AIS 參與者的數量和共享的網絡威脅指標,但得出的結論是共享的信息質量在減少網絡威脅和防御攻擊方面無效。建議CISA 通過增加參與者的網絡信息共享、完成系統升級以及雇用所需的人員來加強項目培訓和外展來提高信息質量。
審查結果
、
CISA 已經解決了2015 年網絡安全法案的基本信息共享要求,但在提高威脅信息的整體質量方面進展有限。在 2019 年和2020 年,CISA繼續利用其 AIS能力在聯邦政府和私營部門之間共享網絡威脅信息。據報道,在此期間,CISA 將聯邦參與者的數量增加了15% 以上,并將非聯邦參與者的數量增加了13%。CISA聲稱它共享和接收的網絡威脅指標的總數增加了162% 以上,但它無法驗證這個數字。
與AIS 參與者共享的信息質量并不總是足以識別和減輕網絡威脅。根據聯邦和私營部門實體的說法,大多數網絡威脅指標都沒有包含足夠的信息來幫助決策者采取行動。因此歸因于 AIS 功能有限、人員配備不足和外部因素。AIS 參與者之間共享的威脅信息質量不足可能會阻礙聯邦政府識別和緩解潛在網絡漏洞和威脅的能力。
DHS 解決了關鍵的網絡安全法案要求,據報道增加了共享的威脅信息量
DHS 已經解決了《網絡安全法》第I4 篇的關鍵要求,以促進聯邦和私人實體之間的信息共享,包括通過AIS 功能。具體而言,該法案要求 CISA:
(1)制定和更新與聯邦和私人實體共享網絡威脅指標和防御措施所需的政策和程序;
(2)對網絡威脅指標和防御措施進行分類;
(3) 考慮安全授權接收此信息的私營部門用戶的許可。
CISA 已采取以下步驟來滿足這些要求:
信息共享政策和指南
CISA 根據該法案酌情更新了指南。例如,在 2020 年10 月,CISA和司法部更新了根據2015年《網絡安全信息共享法》協助非聯邦實體與聯邦實體共享網絡威脅指標和防御措施的指南。該指南幫助非聯邦實體與聯邦實體共享網絡威脅指標和防御措施。
CISA 和司法部還于2021 年 1月更新了《隱私和公民自由最終指南:2015年網絡安全信息共享法》。該文件建立了隱私和公民自由指南,用于管理網絡威脅指標和防御性的接收、保留、使用和傳播。聯邦實體的措施。但是,由于法案要求在 2019年和 2020年期間完成更新,因此此更新比要求的時間晚了1 個月。
網絡威脅指標和防御措施的分類
CISA根據法案的要求對網絡威脅指標和防御措施進行了適當的分類。具體來說,網絡分析師將衍生分類用于網絡威脅指標和防御措施。在審查了判斷性選擇的2019 年和 2020年的 30 個未分類和30 個分類指標后,根據確定抽樣的指標分類正確。CISA 根據原始分類權限對大多數網絡威脅指標進行分類。例如,CISA共享了 1,347個分類網絡威脅指標。2019年與非聯邦實體合作,2020年為 13,163個。這是通過其增強的網絡安全服務計劃完成的,與AIS 能力不同,該計劃可以共享敏感和機密的網絡威脅信息,以檢測和阻止惡意網絡活動。
私營部門接收機密信息的安全許可
CISA準確計算了授權接收機密信息的私營部門個人的安全許可。根據各種信息共享計劃,該部門在 2019 年和2020 年向私營部門合作伙伴授予了200 多項安全許可。CISA在 2019 年和2020 年總共保持了1,845 份有效安全許可和1,906 份。但是,CISA不跟蹤根據該法案授予的許可,因為AIS 功能僅處理非機密信息。
CISA 增加了AIS 參與者以及共享和接收的信息數量
CISA 自2016 年能力啟動以來,一直在增加AIS 參與者的數量和共享的網絡威脅指標的數量。具體而言,CISA將聯邦參與者的數量增加了15% 以上,并將非聯邦參與者的數量增加了13%,如圖 2所示。
圖2. 2019 年和2020 年的聯邦和非聯邦AIS 參與者
在本次審查時,國土安全部直接與300 多個 AIS合作伙伴共享網絡威脅信息。其中,52 個是直接連接到AIS 以接收網絡威脅和防御措施信息的聯邦部門和機構。此外,國土安全部與聯邦間接共享機構和非聯邦機構通過提供共享服務連接的第三方聚合器。據報道,在同一時期,CISA增加了與 AIS參與者共享和接收的網絡威脅指標的年度數量。官員們表示,CISA將其共享和接收的網絡威脅指標的總數增加了162% 以上,如圖3 所示。
圖3. 2019 年和2020 年共享和接收的網絡威脅指標
CISA將網絡威脅指標的增加歸因于其質量服務管理辦公室開展的外展工作。據官員稱,此次外展使 CISA能夠與其他機構在網絡威脅信息共享目標、目標和標準方面進行合作,并減少信息共享的挑戰和障礙。此外,CISA成立了網絡威脅信息共享工作組關鍵基礎設施伙伴關系咨詢委員會,幫助促進和參與與私營部門、州和地方利益相關者的類似網絡威脅討論。
盡管官員表示CISA 已將共享和接收的AIS 威脅指標的年度數量增加了162% 以上,但無法驗證這個數字的準確性。當被要求確認網絡威脅指標的數量時,CISA面臨兩個關鍵挑戰:
(1)CISA 工作人員無法直接訪問指標數據庫。CISA之前使用儀表板機制來提取此類報告,但由于AIS 項目管理辦公室人員短缺,該機制于2018 年終止。在本次審查時,CISA只能通過請求合同支持來查詢系統來生成網絡威脅指標的總數。試圖重新創建數據流以驗證報告的2019 年或 2020年共享的網絡威脅指標的數量。但是,無法將報告的數字追溯到源文檔或各種數據庫的報告功能,因為收到的文檔相互矛盾且不完整。
(2)官員表示,AIS能力沒有確認共享威脅指標的不同數量的功能。在最初的技術演示中,CISA工作人員展示了兩個系統圖,每個系統圖都顯示了其檔案AIS 數據庫的不同數據流。一張圖顯示了流入和流出其檔案AIS 數據庫的數據,而另一張圖顯示了僅進入其檔案AIS 數據庫的數據。
網絡威脅指標不足以識別和緩解威脅
盡管CISA 普遍增加了AIS參與者的數量以及共享和接收的網絡威脅指標的數量,但網絡威脅指標的質量不足以讓參與者采取必要的行動。AIS功能有限、人員配備不足和外部因素影響了信息質量。
信息并非始終可操作
該法案的核心目的是在公共和私營部門實體之間共享網絡威脅信息以減輕威脅。網絡威脅信息必須包含足夠的上下文信息,以幫助決策者采取必要和適當的行動。上下文信息的示例可以包括互聯網協議地址、域名、散列文件、統一資源定位器或網絡流量中的異常。實時訪問正確的信息對于降低風險至關重要。例如,最近共享的與 2021 Orion供應鏈受損相關的網絡威脅指標導致CISA和國防部網絡國家任務部隊分析這些惡意軟件變體并追蹤其來源,以防止未來發生網絡事件。
利益相關者還表示,網絡威脅指標包含誤報,這可能會誤導實體認為威脅是惡意的,從而導致不必要的升級或安全協議。聯邦機構官員還指出,一些參與者分享了未經證實的惡意軟件網絡威脅指標信息或低置信度威脅信息,導致安全工具內出現誤報警報。此外,私營部門的反饋指出了 AIS 客戶對AIS 公共信息源誤報的擔憂,這些誤報后來被確定為已知的良好指標。CISA通過改進AIS“允許列表”來應對這一問題,以確保這些類型的已知良好指標不會通過AIS 分發給利益相關者。聯邦利益相關者可以過濾掉其中一些較低的信心指標,而其他利益相關者可能沒有專業知識或中間工具來進一步完善相關的網絡威脅指標和防御措施。
同樣,ICIG 報告了AIS的質量問題,因為它提供了未經審查的原始信息。具體來說,通過 AIS收到的大部分網絡威脅信息都沒有包含任何關于該指標為何不好或是否仍然相關的上下文。因此,大多數網絡威脅指標和防御措施都需要更詳細的信息才能使用。
多重因素影響CISA共享信息質量
將CISA 在提高AIS 能力下共享的信息質量方面缺乏進展歸因于多種因素AIS功能有限、人員配備不足和其他外部因素。總的來說,這些缺點阻礙了CISA 提高網絡威脅指標質量的能力,并阻礙了增加AIS 能力的參與和有用性的努力。
(1) 有限的AIS 功能 AIS包含有限數量的字段和屬性,可供共享網絡威脅信息的參與者使用。
盡管 AIS包含其他字段,但在本次審計時,一些可為每個網絡威脅指標提供更多上下文信息的字段受到限制或不需要。CISA計劃通過將 AIS升級到 2.0版來解決這些限制。
據CISA 官員稱,AIS2.0 引入了對最新網絡威脅指標和防御措施共享標準的支持,從而增加了與更多安全工具的互操作性,實現自動化網絡防御。此次升級將提供新的上下文字段、改進的置信度評分屬性,以及讓實體可以選擇說明指標是否可能是惡意的。
(2) 人員配備不足
DHS領導層沒有為這項工作提供資金或投入足夠數量的全職員工。例如,國土安全部沒有保留或雇用執行減輕網絡安全風險所需的戰略規劃、協調、分析和績效衡量所需的行政和運營人員。相反,國土安全部減少了支持 AIS的工作人員數量,因為兩個承包商職位因資金損失而于2021 年 8月終止。我們在 2019年進行的上一次審查中指出,人員配備不足也阻礙了CISA 當時對AIS 的支持工作。
(3)外部因素影響信息質量和共享
CISA依靠利益相關者的參與,共享網絡威脅指標和防御措施,從而提高網絡威脅信息的價值。然而,一些聯邦實體沒有堅持使用訪問控制規范標記來識別共享的網絡威脅指標。CISA 提供與聯邦和非聯邦實體共享網絡威脅指標和防御措施的指南。這些標記在 MISA 中記錄的網絡信息共享的機構間政策建議中達成一致。
結論
如果沒有質量控制來解決數據可靠性和報告問題,通過AIS 提交的數據可能會導致CISA報告不準確的 AIS網絡威脅指標和防御措施。更重要的是,AIS參與者之間的信息共享不足阻礙了國防部保護國家網絡和關鍵基礎設施免受潛在漏洞和威脅的能力。
建議
建議1:建議 CISA主任制定并實施正式流程,以驗證網絡威脅指標的數量和通過CISA 的自動指標共享功能共享防御措施,以實現準確的報告和監督。
建議2:建議 CISA主任制定并實施一種方法,以鼓勵聯邦機構和私營部門遵守信息共享協議和要求,并報告根據信息共享協議和自動指標共享要求采取的行動。
建議3:建議 CISA主任完成自動指標共享2.0 升級。
建議4:建議 CISA主任優先聘用行政和運營人員,以進行減輕網絡安全風險所需的戰略規劃、協調、分析和績效衡量。
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
