GDPR正式生效 企业怎样建设隐私数据安全防护？

　　根据RSA[5]对法国、德国、意大利、英国和美国的7500名消费者的调查结论表示，80%的消费者表示银行类和金融类数据丢失是最令人关注的问题。而发生信息泄露后，62%的个人认为他们会责怪商家未尽到责任而不是责怪黑客。在我国，个人信息泄露也是一个重灾区，人民日报2016的报道显示有数据统计，在个人信息保护方面，网民被泄露的个人信息涵盖范围非常广泛，其中78.2%的网民个人身份信息被泄露过，包括网民的姓名、学历、家庭住址、身份证号及工作单位等。

　　GDPR规定对于未遵从该法规的企业将处以最高2千万欧元或企业年度收入的4%(二者取其最高者)。而国内《中国人民共和国网络安全法》(以下简称《网络安全法》)第六十四条针对侵害个人信息的机构提出了处罚违法所得1-10倍的罚款或100万以下罚款(无违法所得)，严重的吊销业务许可或营业执照。此外对直接负责的主管人员或其他直接责任人还有1-10万元的处罚。

　　那么，企业具体应该如何展开建设呢?笔者认为可以从以下五个方面来开展。

　　1. WHAT

　　结合机构自身的业务内容和覆盖范围，组织专项人员学习了解与个人信息保护相关的国内外法律法规和相关标准。

　　制订机构隐私数据保护建设的方向和建设内容

　　2. HOW

　　仔细回顾和评估机构对个人信息数据保护与相应法律法规在合规要求上的一致性和存在差距。评估内容包括个人信息数据在业务开展过程中是以哪种形式被收集的?在收集过程中是否对用户提供清晰的解释并获得了用户的明确许可?包括机构本身以及机构委托或与之合作的第三方机构在内的数据控制与处理主体是如何对收集的数据进行处理及保存?机构是否对用户提供了撤回或删除个人信息的渠道及方式方法?数据控制主体在个人信息数据保护方面(包括对信息数据完整性、可用性、机密性、不可抵赖性、真实性、可控性)具备怎样的保护机制以及保护措施的效果是否达到了与合规要求相符的期望?机构在发生信息泄露时是否具备的应急处置机制，包括在规定时间内的监管上报机制、事件排查及数据恢复机制、与第三方(如云服务商、CERT等)联动处置机制、在规定时间内向客户进行通告的通报机制?

　　3. WHO

　　对业务和数据流进行梳理，明确认知哪些客户的个人信息被收集，是否存在过度收集的情况? 尤其是未成年人以及欧美个人的个人信息。

　　明确在业务处理过程中，机构内部哪些人员具备对个人信息的访问权和控制权。权限的合理性和最小需求设置是否正确。

　　明确在业务处理过程中，来自第三方的哪些外部人员具备对个人信息的访问权和控制权。权限的合理性和最小需求设置是否正确。

　　根据机构情况，建立数据保护小组或相应的部门机构，任命数据保护官员(Data Protection Officer，DPO)，明确其工作职责并保证其工作的独立性。

　　4. WHERE

　　清晰辨析和知晓个人信息数据的物理和逻辑存放位置，本地还是云端，国内还是国外。尤其是对于涉及公有云的业务情况，需要评估是否涉及跨境数据存放以及评估业务所在国对跨境数据存放与传输的法律规定对业务开展的影响情况。

　　5. WHEN

　　每年定期在机构内部开展个人信息数据保护的培训工作。培训内容包含在业务开展中保护个人数据的实施操作指南，发生信息泄露后的上报及处置机制与流程等

　　每年定期在机构内部开展针对个人信息数据保护情况的安全审计工作。审计的内容主要包括机构的隐私保护安全政策、实施流程以及措施有效性等。

　　四、 主要的注意事项

　　结合《个人信息安全规范》与GDPR的要求，在隐私数据安全防护建设中有以下五个事项需要得企业机构着重关注。

　　1. 数据主体信息的获取与删除

　　个人信息的获取无疑是所有隐私保护工作的初始，没有获取，自然也无从谈起对其的安全保护。但在获取过程中，作为数据控制的实体，在数据获取过程中，必须考虑以下三点。其一，信息数据的搜集遵循最小需求的原则。对于与业务功能无关联的数据不应进行搜集。其二，对于未成年人个人数据的获取。《个人信息安全规范》5.5条款中提到对于未成年人的数据搜集必须获得其监护人的明示同意。其三，对于从非数据主体间接获取数据的方式除需要合法合规外，还需要认识到获取数据的同时意味着自身也承担了对数据进行保护的等同责任。

　　《个人信息安全规范》和GDPR都明确了数据主体所具备的对个人信息数据进行删除的权利(《规范》称为主体参与原则，GDPR称为删除权或被遗忘权)。就目前而言，提供删除的功能以及删除相应数据的工作在短期内全球大部分企业可能都难以提供和完成。当然，一些巨型跨国公司较早认识到这点并已开始提供此项功能，例如Facebook和Google已提供个人数据下载和账户信息删除功能。对用户而言，一旦他们向上述服务商提交个人数据删除申请后，它们将在最长90天的时间内进行相关信息删除。

　　2. 第三方合作方的合规遵从

　　对企业机构而言在与第三方开展合作时，务必考虑以下二点。其一，只要第三方参与并涉及到个人信息数据的读取、存储、再加工等，第三方均有责任对数据进行保护。其二，与第三方的合作，对企业机构而言不意味着安全责任也随之外包。在此过程中，作为数据控制主体的机构应该与合作方通过签署一系列的合同和协议来进行安全约定。这些内容包括约定合作方应有的安全保护措施、对数据的最小采集(包括范围、类型和数量)、最小使用(仅限特定用途)、发生信息泄露的处置措施和处罚措施以及当合作终止时，对数据的回收以及第三方对数据(包括原始和备份数据)的销毁。

（编辑：辽源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!