行业新闻与博客

通过更深入地了解有关加密的 GDPR，CCPA，LGPD 和 HIPAA 的当前行业法规，采取主动的方法来保护组织的安全性和合规性

在这个时代，组织正在处理大量数据，从个人识别信息（PII）和受保护的健康信息（PHI）到财务记录和其他敏感信息，应有尽有。据研究希捷和国际数据公司（IDC），全球 Datasphere 揭示预计到 2025年将达到 175 泽字节将其投入角度来看，研究人员在 IBM 公司的阿尔马登，加州研究实验室正在建设世界上最大的数据阵列，它可以仅保存 0.00012 ZB 的数据。如果您试图在家用计算机上存储 175 ZB，则至少需要 1750 亿台 PC 来存储所有数据！

尽管数据被视为组织的资产，但这种数据量却被视为一种风险，因为它给黑客和数据蔓延的风险带来了更大的使用空间。为了避免这些风险，组织必须按照全球隐私法规对数据进行加密，这是正确的。这些加密法规和法律可以帮助组织减轻风险，并在数据蔓延和网络攻击发生之前将其阻止。

但是，就 GDPR 加密，HIPAA 加密，CCPA 加密和 LGPD 而言，确切的标准和要求是什么？或者称为巴西通用数据保护法？ 

让我们对其进行哈希处理。

什么是数据加密？

在最简单的形式中，数据加密可以定义为以其他形式转换数据，如果没有特殊密钥的帮助，则无法解密（解密）该数据。加密的数据称为密文，而未加密的数据可以定义为纯文本。加密是组织可以合并以提高数据安全性并促进安全通信的最常见和有效的过程之一。

数据加密的主要目的是保护组织的数字数据机密性。使用不安全的 Internet 或其他可能不安全的计算机网络传输存储在服务器和计算机系统上的数据。存储未加密的数据可能会危害数据的机密性，并使其成为数据泛滥和黑客攻击的牺牲品。 

现代加密算法在数据和通信的安全性中起着至关重要的作用。这些算法提供了机密性和其他关键安全优势，包括确认文件完整性，身份验证和不可否认性： 

身份验证有助于验证消息的来源， 

完整性提供了消息的内容自发送以来没有改变的证明，并且 

不可否认性确保消息发件人不能拒绝发送消息。

那么，这一切与隐私法规和数据加密法律（例如欧盟的《通用数据保护法案》（GDPR），《加利福尼亚消费者隐私法案》（CCPA），巴西的 LGPD 以及《健康保险可移植性和责任法案》）有什么关系？让我们更深入地探讨这一点。

数据隐私法是否需要加密？

尽管并非所有数据隐私法律法规都明确要求组织在其系统中实施加密，但是强烈建议使用它，因为它可以减轻与数据泄露相关的风险。从数据 IBM Security 的 2019 成本数据泄露报告中把数据泄露的平均成本为 392 万 $。不仅如此，去年还向监管机构报告了约 276 起健康数据泄露事件，包括黑客入侵事件和未加密设备的盗窃事件，这些数据已被添加到官方的联邦统计中，其中有六起最大的事件涉及商业伙伴。

如果违反了加密数据，则组织不太可能面临罚款和处罚，因为数据本身是难以理解的密文，任何掌握它的网络犯罪分子都无法读取。 

GDPR 加密要求

GDPR 是世界上最大的数据隐私法规之一，旨在保护位于欧盟的人们的隐私。尽管这似乎是特定于欧盟的，但事实并非如此。几乎整个世界都以一种或另一种方式与欧盟互动，这意味着世界各地的企业也需要遵守 GDPR。 

《通用数据保护条例》认识到加密的重要性，这就是为什么 GDPR 根据第 32 条 “处理的安全性”规定：

考虑到现有技术水平，实施成本以及处理的性质，范围，背景和目的以及自然人的权利和自由的可能性和严重性变化的风险，控制者和处理者应予以实施适当的技术和组织措施，以确保适合风险的安全水平，其中包括以下方面：

个人数据的假名化和加密 ;

确保处理系统和服务的持续保密性，完整性，可用性和弹性的能力；

在发生物理或技术事件时能够及时恢复可用性和对个人数据的访问的能力；

定期测试，评估和评估技术和组织措施的有效性的过程，以确保过程的安全性。”

阅读此书可能会使加密似乎只是 GDPR 的建议，但  独奏会 83 指出：

为了维护安全并防止违反本法规的处理，控制者或处理者应评估处理过程中固有的风险，并采取缓解这些风险的措施，例如加密。这些措施应确保适当水平的安全性，包括机密性，并考虑到与要保护的个人数据的风险和性质相关的最新技术水平和实施成本。在评估数据安全风险时，应考虑个人数据处理所带来的风险，例如偶然或非法销毁，丢失，更改，未经授权的披露或访问所传输，存储或以其他方式处理的个人数据。特别是会导致物理，物质或非物质的损害。”

GDPR 要求组织合并加密，以保护消费者的数据并减轻与数据传输相关的风险（例如，数据散布或网络攻击）。

CCPA 加密要求

根据《加利福尼亚消费者隐私法案》，虽然组织明智地要求加密措施，但没有明确提及要求采取加密措施。这是因为，即使没有明确要求进行数据加密，也可能会因涉及“未加密或未编辑的个人信息”的数据泄露而遭受罚款（每位消费者每次事件或实际损失最高为 750 美元）。在使用加密的情况下，可以免除这些罚款，因为违反数据是加密的，并且没有解密密钥就无法理解。

为了获得最高级别的安全性，无论数据在何处共享，都应使用加密来保护数据，无论其处于静止状态还是在传输过程中。组织对消费者负有责任，需要在其数据管理解决方案中分层以数据为中心的加密，以在满足数据主体请求（DSR）时促进数据的安全传输。 

根据《加利福尼亚民法典》第 1798.81.5 节的规定，符合特定要求并处理加利福尼亚居民个人数据的组织或企业有义务实施和维护适合其所处理信息性质的合理安全程序和做法。在此必须考虑“合理的安全性”。

LGPD 加密要求

根据国际隐私专业人员协会（IAPP）的一篇文章，巴西已经在联邦级别起草了 40 多个有关数据隐私的法律规范。这些法律的唯一缺点是它们是部门性的，这意味着它们与特定行业相关，并且没有涵盖整个层面的所有方面。这就是为什么起草了巴西的新数据保护法，即 LGPD（代表 Lei Geral deProteçãode Dados Pessoais），以提供更全面和全面的监管框架。

达索斯·佩索埃伊保护区的雷·杰拉尔（Lei Geral deProteçãode Dados Pessoais）模仿了 GDPR，包含 65 条。该法案于 2018年8月14日获得通过，并于 2019年7月受到总统贾尔·博尔索纳罗（Jair Bolsonaro）的制裁。执法日期定为 2020年8月15日。

就像 GDPR 和 CCPA 一样，LGPD（巴西通用数据保护法 / Le Geral deProteçãode Dados Pessoais）没有明确要求组织对其数据进行加密，但是在处理消费者的个人信息时仍需要一定程度的安全性。 。实现此目的的最简单，最有效的方法是使用加密。

根据 LGPD，组织必须将个人数据的网络安全和数据安全的最佳做法纳入其中。LGPD 指出，该法律不适用于任何加密或匿名程度达到某种程度的程度的加密或匿名个人数据，这些数据使其变得难以理解，并且那些可能破坏数据的人不容易将其恢复为原始状态。

HIPAA 加密要求

《健康保险可移植性和责任制法案》（HIPAA）要求医疗提供者（也称为承保实体）实施数据安全性，以保护其患者的信息不被泄露。

当了解安全性和数据保护方面的要求（或不需要）时，HIPAA 加密要求可能会造成混淆。原因是与保护受保护的健康信息有关的技术保障被定义为“ 可寻址 ”要求。对于传输安全性状态的 HIPAA 加密要求，即所涵盖的实体应在认为适当时实施一种机制来加密 PHI。该指令相当模糊并且易于解释-因此造成了混乱。

换句话说，HIPAA 确实要求组织或涵盖实体对 PHI 具有一定程度的安全性。除非有充分的理由说明组织为什么不能实施加密并提供同等的选择，否则组织必须对数据进行加密。

与不同的加密法律法规相关的罚款

根据 CCPA，GDPR 和 LGPD，没有与未实施加密相关的具体罚款。但是，如果实施适当的加密，组织可能能够避免与数据泄露有关的罚款。例如，如果组织适当地进行了加密，则在发生数据泄露的情况下，由于泄露的数据已加密，因此他们很可能不会受到惩罚。

对于 HIPAA，法律要求组织为受保护的健康信息设置适当的加密，除非组织能够提供无法实施加密的可靠理由并提供同等的选择。 

即使在组织确实声称有不加密的充分理由的情况下，仍然会因不加密而被罚款。例如，罗切斯特大学医学中心（URMC）因未能加密移动设备以及其他违反 HIPAA 的行为而支付了 300 万美元的罚款。

去年，英国航空公司因违反欧盟的《通用数据保护条例》而被罚款 1.84 亿英镑（2.3 亿美元）。消费者数据由于泄露时组织的不良安全状况而被泄露。ICO 说： “ ICO 的调查发现，由于公司安全措施不完善，各种信息受到损害，包括登录，支付卡和旅行预订详细信息以及姓名和地址信息。”

数据加密最佳实践

无论 GDPR，CCPA 和 HIPAA 是否适用于您的组织，还是适用于其他法规（例如“ 支付卡行业数据安全标准”），加密都是任何组织安全的组成部分。因此，务必牢记实现数据加密的最佳方法，以避免可能使您的组织容易遭受数据泄露的各种事故或漏洞。 

本文由机器译制