问题是什么?
为了回应Covid-19大流行,政府在生物监督,审查和错误信息上引入了可能对隐私权产生重大影响的措施。在最近的举措中,政府已通过关于围绕人民动作,通信和健康数据,利用电信,相机镜头,运输预订,财务数据,社交媒体,面部识别和温度检查站的法律。
新冠肺炎疫情下的隐私权和网络安全风险
- 各国政府正在采取措施,通过大规模生物监测活动可能导致对隐私权的压制。
- 企业正在努力支持各国政府和公共卫生当局试图控制病毒的影响的努力。
- 自大流行开始以来,网络攻击的次数呈指数级增长。
在某些情况下,政府已经部署了人工智能来实现大规模监控1和社会控制2,通常没有适当的监督,监管或支票和平衡。
政府正在建立这些系统,但私营企业正在提供工具。在这种情况下,企业可能会帮助政府采取侵犯公民和政治权利的措施。在没有政府参与的情况下,企业也可能对人民的人权产生不利影响。因此,企业有责任认真考虑其在国际人权法下的义务。
Covid Pandemery的私隐和网络安全相关的经济挑战已经扩大了对机构投资者的担忧。本简报提供了支持投资者制定更好地了解风险范围及其对投资组合公司的潜在影响的指导。下表列出了示例。
| 区域 | 潜在的风险 |
|---|---|
隐私权 |
|
网络安全 |
|
关键近期投资者行动
管理
以下是投资者的问题列表,以考虑其管理活动,这些活动将有助于为隐私权和网络治理问题提供对投资公司的期望。3.这份名单并不详尽,应根据业务部门和公司所在地进行调整。
关于隐私权的考虑
- 公司是否确定了在大流行期间为政府提供的服务的清晰社会福利?如果公司从大流行产生的情况下获利,它应该确保将公共当局锁定为独家长期合同,并且服务仅在必要的时间内提供。
- 公司是否在保护最终用户的隐私权方面确定了其法律责任?
- 该公司是否对其产品或服务进行了尽职调查,以评估隐私权风险,包括提供第三方访问用户敏感信息?
- 该公司将删除危机后通过跟踪应用程序收集的数据吗?如何确保如何确保?
- 在大流行结束时,监测措施是否会减少?
- 该公司是否已经确定是否有一部分人因为技术选择而被排除在外?那些没有智能手机的人会被排除在外吗?
- 公司可否保证所收集的资料与所需用途有关,而不是超出所需范围?
- 该公司是否对所收集的数据类型、将与谁共享数据、基于何种基础、出于何种目的透明?
- 公司是否确保没有其他可用的较少数据利用的解决方案?
- 公司在发展科技方面的活动是否合法-尊重人权框架及资料私隐原则?
网络安全周围的考虑
- 支撑网络安全的治理结构是什么?该公司能否证明其有效性?
- 董事会是否有网络安全的专业知识?
- 公司如何应对与网络安全有关的技能和经验的差距?
- 公司在网络安全方面的战略和合规优先事项是什么?
- 公司是否进行了尽职调查,以确定价值链内网络安全周围的关键问题?
- 向董事会报告哪些网络安全指标,这些指标如何与整个公司更广泛的激励和基准相关联?
- 董事会关于网络安全的报告如何增强了网络安全计划和战略?
- 该公司从网络安全漏洞中学到了什么?该公司如何修改机制以反映这些经验?
- 公司如何将加强组织能力作为其网络安全战略的一部分?
企业良好实践的例子
公司
RiskRecon |部门:金融|总部:美国
风险管理提供商风险管理提供商是与健康信息共享和分析中心合作,向2020年到2020年的小型企业和医疗保健提供者提供自由网络安全评级评估。该倡议旨在支持暴露于大流行造成的网络风险增加的公司。评估有助于企业识别和解决其系统中的潜在漏洞,为加强网络安全结构提供建议。
来源:https://blog.riskrecon.com/free-cybersecurity-assessments
政府
国家网络安全中心|英国
英国国家网络安全中心提供指导,帮助企业应对COVID-19带来的技术挑战。广泛而详细的指引涵盖视像会议服务、诈骗电邮及服务供应商等范畴,旨在帮助机构改善其资讯科技服务及支援。
来源:https://www.ncsc.gov.uk/guidance/moving-business-from-physical-to-digital
工具、指导和进一步的资源
播客和网络研讨会
- 网络研讨会,在2019冠状病毒病期间把握网络安全和隐私权
- 网络研讨会,网络安全:COVID-19危机期间业务连续性的推动者
- 网络研讨会,病毒后的商业生活:中断
指引文件及资源
- PRI的报告,参与网络安全:2017-2019年PRI合作参与的结果
- Pri的博客 -为什么网络安全和治理应该携手并进
- 隐私国际文章 -COVID - 19接触者追踪应用程序是一个复杂的烂摊子:你需要知道什么
- 隐私国际文章 -COVID-19应对:企业剥削
- 人权观察-移动定位数据与COVID-19:问答
