数据保护和数据安全有什么区别?
Posted: Mon Feb 10, 2025 5:13 am
数据安全的定义与数据保护一词不同:
虽然数据保护一词通常指对个人数据的保护,但数据安全的重点是旨在确保数据保护的措施,包括防止滥用和丢失。这些措施的手段在 GDPR 第 32 条中有所规定:技术和组织措施(TOM)。
根据 GDPR 第 32 条,这包括个人数据的假名化和加密(GDPR 第 32 条第 1 款 a)项)、永久保护与处理相关的系统和服务的机密性、完整性、可用性和弹性(GDPR 第 32 条第 1 款 b)项)、在发生物理或技术事故时迅速恢复个人数据的可用性和对个人数据的访问(GDPR 第 32 条第 1 款 c)项)以及定期检查、评估和评估技术和组织措施的有效性以确保处理安全的程序(GDPR 第 32 条第 1 款 d)项)。
GDPR 中的其他标准中还可以找到进一步的技术和组织措施,例如 GDPR 第 25 条第 2 款中对数据保护友好的默认设置的要求。
尽管新 BDSG 第 64 条仅适用于公共机构在刑 罗马尼亚号码数据 事和行政犯罪诉讼中处理数据,但新 BDSG 第 64 条第 3 款中详细的技术和组织措施目录可以作为建立技术和组织措施的指南,因为这些规范在这里比 GDPR 第 32 条更为具体。
传统上,公司中的数据安全和数据保护要求是通过所谓的数据保护管理系统来组织的。这样就可以持续监控和改进措施的遵守情况。
以下控制问题可以更容易区分数据保护和数据安全:
我可以收集和处理这些个人数据吗? (数据保护)
如何保护数据免遭未经授权的访问? (数据安全)。
以下控制问题可以更容易区分数据保护和数据安全:
数据保护是关于个人数据是否可以被收集和处理。这首先取决于它是普通个人数据还是特殊个人 数据。只要满足第 1 段中提到的条件之一,个人数据就可以根据 GDPR 第 6 条进行处理。根据 GDPR 第 9 条第 1 款,原则上禁止处理特殊个人数据,除非第 2 款规定的例外情况。
另一方面,数据安全是关于如何最好地保护数据以防止未经授权的人员访问的问题。这从简单的、类似的事情开始,例如正确保护数据存储设备(笔记本电脑、记忆棒)或在不再需要时立即存放包含敏感数据的文件,一直到根据 GDPR 保护云端或使用安全程序处理公司相应通信平台上的数据。
虽然数据保护一词通常指对个人数据的保护,但数据安全的重点是旨在确保数据保护的措施,包括防止滥用和丢失。这些措施的手段在 GDPR 第 32 条中有所规定:技术和组织措施(TOM)。
根据 GDPR 第 32 条,这包括个人数据的假名化和加密(GDPR 第 32 条第 1 款 a)项)、永久保护与处理相关的系统和服务的机密性、完整性、可用性和弹性(GDPR 第 32 条第 1 款 b)项)、在发生物理或技术事故时迅速恢复个人数据的可用性和对个人数据的访问(GDPR 第 32 条第 1 款 c)项)以及定期检查、评估和评估技术和组织措施的有效性以确保处理安全的程序(GDPR 第 32 条第 1 款 d)项)。
GDPR 中的其他标准中还可以找到进一步的技术和组织措施,例如 GDPR 第 25 条第 2 款中对数据保护友好的默认设置的要求。
尽管新 BDSG 第 64 条仅适用于公共机构在刑 罗马尼亚号码数据 事和行政犯罪诉讼中处理数据,但新 BDSG 第 64 条第 3 款中详细的技术和组织措施目录可以作为建立技术和组织措施的指南,因为这些规范在这里比 GDPR 第 32 条更为具体。
传统上,公司中的数据安全和数据保护要求是通过所谓的数据保护管理系统来组织的。这样就可以持续监控和改进措施的遵守情况。
以下控制问题可以更容易区分数据保护和数据安全:
我可以收集和处理这些个人数据吗? (数据保护)
如何保护数据免遭未经授权的访问? (数据安全)。
以下控制问题可以更容易区分数据保护和数据安全:
数据保护是关于个人数据是否可以被收集和处理。这首先取决于它是普通个人数据还是特殊个人 数据。只要满足第 1 段中提到的条件之一,个人数据就可以根据 GDPR 第 6 条进行处理。根据 GDPR 第 9 条第 1 款,原则上禁止处理特殊个人数据,除非第 2 款规定的例外情况。
另一方面,数据安全是关于如何最好地保护数据以防止未经授权的人员访问的问题。这从简单的、类似的事情开始,例如正确保护数据存储设备(笔记本电脑、记忆棒)或在不再需要时立即存放包含敏感数据的文件,一直到根据 GDPR 保护云端或使用安全程序处理公司相应通信平台上的数据。