行业新闻与博客

通过更深入地了解有关加密的 GDPR，CCPA，LGPD 和 HIPAA 的当前行业法规，采取主动的方法来保护组织的安全和合规性

在这个时代，组织正在处理大量数据，包括从个人身份信息（PII）和受保护的健康信息（PHI）到财务记录和其他敏感信息的所有数据。据研究希捷和国际数据公司（IDC），全球 Datasphere 揭示预计到 2025 年将达到 175 泽字节将其投入角度来看，研究人员在 IBM 公司的阿尔马登，加州研究实验室正在建设世界上最大的数据阵列，它可以仅保留 0.00012 ZB 的数据。如果您试图在家用计算机上存储 175 ZB，则至少需要 1750 亿台 PC 来存储所有数据！

尽管数据被视为组织的资产，但这种数据量却被视为一种风险，因为它给黑客和数据蔓延的风险带来了更大的使用空间。为了避免这些风险，组织必须按照全球隐私法规对自己的数据进行加密。这些加密法规和法律可以帮助组织减轻风险，并在数据蔓延和网络攻击发生之前将其阻止。

但是，就 GDPR 加密，HIPAA 加密，CCPA 加密和 LGPD 而言，确切的标准和要求是什么？或者称为巴西通用数据保护法？ 

什么是数据加密？

在最简单的形式中，数据加密可以定义为以其他形式转换数据，如果没有特殊密钥的帮助，则无法解密（解密）该数据。加密的数据称为密文，而未加密的数据可以定义为纯文本。加密是组织可以合并以提高数据安全性并促进安全通信的最常见和有效的过程之一。

数据加密的主要目的是保护组织的数字数据机密性。使用不安全的 Internet 或其他可能不安全的计算机网络传输存储在服务器和计算机系统上的数据。存储未加密的数据可能会危害数据的机密性，并使其成为数据泛滥和黑客攻击的牺牲品。 

现代加密算法在数据和通信的安全性中起着至关重要的作用。这些算法提供了机密性和其他关键安全优势，包括确认文件完整性，身份验证和不可否认性： 

• 身份验证有助于验证消息的来源， 


• 完整性提供了证明，消息的内容自发送以来没有改变，并且 


• 不可否认性可确保消息发件人无法拒绝发送消息。

那么，这一切与隐私法规和数据加密法律（例如欧盟的《通用数据保护法案》（GDPR），《加利福尼亚消费者隐私法案》（CCPA），巴西的 LGPD 以及《健康保险携带和责任法案》）有什么关系？让我们更深入地探讨这一点。

数据隐私法是否需要加密？

尽管所有数据隐私法律法规都未明确要求组织在其系统中实施加密，但强烈建议使用它，因为它可以减轻与数据泄露相关的风险。从数据 IBM Security 的 2019 成本数据泄露报告中把数据泄露的平均成本为 392 万 $。不仅如此，去年还向监管机构报告了约 276 起健康数据泄露事件，包括黑客入侵事件和未加密设备的盗窃事件，这些数据已被添加到官方的联邦统计中，其中有六起最大的事件涉及商业伙伴。

如果破坏了加密数据，组织将不会面临罚款和处罚，因为数据本身是难以理解的密文，任何掌握它的网络犯罪分子都无法读取。 

GDPR 加密要求

GDPR 是世界上最大的数据隐私法规之一，旨在保护位于欧盟的人们的隐私。尽管这似乎是特定于欧盟的，但事实并非如此。几乎整个世界都以一种或另一种方式与欧盟互动，这意味着全世界的企业也需要遵守 GDPR。 

《通用数据保护条例》认识到加密的重要性，这就是为什么 GDPR 根据第 32 条 “处理的安全性”规定：

考虑到现有技术水平，实施成本以及处理的性质，范围，背景和目的，以及自然人的权利和自由的可能性和严重性变化的风险，控制者和处理者应予以实施适当的技术和组织措施，以确保适当的风险级别的安全性，其中包括：

个人数据的假名化和加密 ;

• 确保处理系统和服务的持续保密性，完整性，可用性和弹性的能力；


• 在发生物理或技术事件时能够及时恢复可用性和对个人数据的访问的能力；


• 定期测试，评估和评估技术和组织措施的有效性的过程，以确保过程的安全性。”

读这篇文章可能会使加密似乎只是 GDPR 的建议，但独奏会 83 指出：

为了维护安全并防止违反本法规的处理，控制者或处理者应评估处理过程中固有的风险，并采取缓解这些风险的措施，例如加密。这些措施应确保适当水平的安全性，包括机密性，同时考虑到与要保护的个人数据的风险和性质相关的最新技术水平和实施成本。在评估数据安全风险时，应考虑个人数据处理所带来的风险，例如偶然或非法销毁，丢失，更改，未经授权的披露或访问所传输，存储或以其他方式处理的个人数据。特别是会导致物理，物质或非物质的损害。”

GDPR 要求组织合并加密，以保护消费者的数据并减轻与数据传输相关的风险（例如，数据散布或网络攻击）。

CCPA 加密要求

根据《加利福尼亚消费者隐私法案》，虽然组织明智地要求加密措施，但没有明确提及要求采取加密措施。这是因为，即使可能没有明确的数据加密要求，也可能会因涉及“未加密或未编辑的个人信息”的数据泄露而被处以罚款（每位消费者每次事件或实际损失最高为 750 美元）。如果使用加密，则可以免除这些罚款，因为违反数据是经过加密的，并且没有解密密钥就无法理解。

为了获得最高的安全性，无论数据在何处共享，都应使用加密来保护数据。组织对消费者负有责任，需要在其数据管理解决方案中分层以数据为中心的加密，以在满足数据主体请求（DSR）时促进数据的安全传输。 

根据《加利福尼亚民法典》第 1798.81.5 节的规定，符合特定要求并处理加利福尼亚居民个人数据的组织或企业有义务实施和维护适合其所处理信息性质的合理安全程序和做法。在此必须考虑“合理的安全性”。

LGPD 加密要求

根据国际隐私专业人员协会（IAPP）的一篇文章，巴西已经在联邦一级起草了 40 多个有关数据隐私的法律规范。这些法律的唯一缺点是它们是部门性的，这意味着它们与特定行业有关，并且没有涵盖整个层面的所有方面。这就是为什么起草了巴西的新数据保护法，即 LGPD（代表 Le Geral deProteçãode Dados Pessoais），以提供更全面和整体的监管框架的原因。

达索斯·佩索埃伊保护区的雷·杰拉尔（Lei Geral deProteçãode Dados Pessoais）模仿了 GDPR，包含 65 篇文章。该法案于 2018 年 8 月 14 日通过，并于 2019 年 7 月受到总统贾尔·博尔索纳罗（Jair Bolsonaro）的制裁。执法日期定为 2020年8月15日。

就像 GDPR 和 CCPA 一样，LGPD（巴西通用数据保护法 / Le Geral deProteçãode Dados Pessoais）并未明确要求组织对其数据进行加密，但是在处理消费者的个人信息时仍需要合理的安全性。实现此目的最简单，最有效的方法是使用加密。

根据 LGPD，组织必须将个人数据的网络安全和数据安全方面的最佳实践纳入其中。LGPD 指出，该法律不适用于任何加密或匿名的个人数据，其程度使其难以理解，并且可能被那些违反数据的人轻易将其恢复为原始状态。

HIPAA 加密要求

《健康保险可移植性和责任制法案》（HIPAA）要求医疗提供者（也称为承保实体）实施数据安全性，以保护其患者的信息不被泄露。

当了解安全性和数据保护方面的要求（或不需要）时，HIPAA 加密要求可能会造成混淆。原因是与保护受保护的健康信息有关的技术保障被定义为“ 可寻址 ”要求。对于传输安全性状态的 HIPAA 加密要求，即所涵盖的实体应在适当的时候 “ 实施一种对 PHI 进行加密的机制。该指令相当模糊且易于解释-因此造成混淆。

换句话说，HIPAA 确实要求组织或涵盖实体对 PHI 具有一定程度的安全性。除非有充分的理由说明组织为什么不能实施加密并提供同等的选择，否则组织必须对数据进行加密。

与不同的加密法律法规相关的罚款

根据 CCPA，GDPR 和 LGPD，没有与未实施加密相关的具体罚款。但是，如果实施适当的加密，组织可能能够避免与数据泄露有关的罚款。例如，如果组织适当地进行了加密，则在发生数据泄露的情况下，由于泄露的数据已加密，因此他们很可能不会受到惩罚。

对于 HIPAA，法律要求组织为受保护的健康信息设置适当的加密，除非组织可以提供无法实施加密的可靠理由并提供同等的选择。 

即使在组织确实声称有不加密的充分理由的情况下，仍然会因不加密而被罚款。例如，罗切斯特大学医学中心（URMC）因未能加密移动设备以及其他违反 HIPAA 的行为而被罚款 300 万美元。

去年，英国航空公司因违反欧盟《通用数据保护条例》而被罚款 1.84 亿英镑（2.3 亿美元）。消费者数据由于泄露时组织的不良安全状况而被泄露。ICO 说： “  ICO 的调查发现，由于公司的安全措施差，各种信息受到了损害，包括登录，支付卡和旅行预订详细信息以及姓名和地址信息。”

数据加密最佳实践

无论 GDPR，CCPA 和 HIPAA 是否适用于您的组织，还是适用于其他法规（例如“ 支付卡行业数据安全标准”），加密都是任何组织安全的组成部分。因此，务必牢记实现数据加密的最佳方法，以避免可能使您的组织容易遭受数据泄露的各种事故或漏洞。 

以下是组织可以采用的一些最佳实践，以拥有一个有效的加密系统： 

保持加密密钥的安全

第一点似乎很明显，但很关键。特别提到这一点是因为这是一个容易犯的错误，它可能导致未经授权的各方访问您的数据。例如，如果您的加密密钥在 PC 上的纯文本文件中，则很有可能有人找到它并造成损坏。 

解决此问题的一些解决方案可能是： 

将密钥与数据分开， 

限制用户访问，并且 

按时间表旋转钥匙。

加密所有敏感数据

所有类型的敏感数据都必须加密，这一点至关重要。为了安全起见，您可能认为自己的数据是安全的，但是您知道有几家公司被泄露，因为它们未对重要数据进行加密并且有人可以访问它。通过加密您的数据，对于那些可能出于恶意意图破坏您的系统的人，您将变得更加困难。

评估数据加密性能 

有效的数据加密不仅需要使未授权方无法读取您的数据，而且还需要有效利用资源。如果加密数据花费的时间太长或占用了太多的 CPU 时间和内存，请考虑切换到其他算法或尝试使用数据加密工具中的设置。

保护运输和静止数据

加密在数据保护中起着至关重要的作用，用于保护传输（正在传输）和静止（存储以备后用）数据。企业通常选择在移动之前对敏感数据进行加密和 / 或使用加密连接（HTTPS，SSL，TLS，FTPS 等）来保护传输中的数据内容。为了保护静态数据，企业可以在存储敏感文件之前对其进行简单加密和 / 或选择对存储驱动器本身进行加密。为了保护传输中的数据，他们可以在其服务器上安装 SSL / TLS 证书。 

加密数据库中的数据 

虽然其他安全工具可以保护系统免受入侵或攻击，但数据库的加密是处理数据安全性的主要防御方式。这意味着，即使在系统崩溃的情况下，使用加密密钥的用户仍然只能读取受破坏的数据。

实施 S / MIME 以保护电子邮件通信

在安全 / 多用途 Internet 邮件扩展（S / MIME）允许企业发送端-端加密的电子邮件和填写数据蔓延任何漏洞。许多敏感数据通过电子邮件进行通信，这是确保这些电子邮件安全的最佳方法。

重点介绍

数据加密是任何组织数据安全的重要组成部分，并促进安全通信。一些隐私法规，例如 GDPR，CCPA 和 LGPD 要求加密，而有些则可能未明确指定使用加密，但仍建议使用。隐私法规经常在数据泄露的情况下对组织进行惩罚，但是在数据被加密的情况下可以避免这些惩罚，因为破坏数据的人如果没有解密密钥就无法解密。

每年需要创建 zettabytes 的数据，因此组织需要采用最佳实践来进行数据加密，以避免发生任何形式的数据蔓延或破坏。这可以通过保护您的加密密钥，加密所有敏感数据以及评估数据加密性能来实现。

在这个数据隐私时代，加密不再是一种选择，公司将在加密所有敏感数据方面做得很好。

非常感谢您对亚洲注册的支持与信任！

禁止转载