个人信息安全事件频发!数字化转型时期企业如何应对?
随着大数据应用领域不断涌现新风口,数据合规话题讨论迅速升温。互联网、大数据、人工智能等信息技术正在引发新一轮科技革命,数据已成为国家基础性战略资源。大数据合规、用户隐私保护备受瞩目。
频发的数据泄露事件,日益严格的监管合规要求,灵活多变的业务和技术战略实施,迫使管理层将个人信息保护提上议事日程。个人信息保护,既不是单一的法律合规事项,也不能单纯通过安全技术方案解决。
纵观国内外有关个人信息保护的立法要求和实施标准,建立健全适应于业务和技术战略及发展的个人信息保护管理框架体系,落实常态化运行机制,自上而下,跨部门、跨地区有机联动,是有效开展个人信息保护、实现监管合规与业务发展共赢的关键。本文主要探讨数字化转型中,对于个人信息保护,企业应关注的哪些重点?并对企业提出部分合规建议。
在数字化转型背景下,
个人信息保护给企业带来新挑战
个人信息安全事件频发!
随着互联网的普及,网民规模日益庞大,大量数据的获取、聚集、存储、传输、处理变得越来越迅捷。
中国已成为世界上产生和积累数据体量最大、类型最丰富的国家之一。大数据时代,个人信息已经成为重要的生产要素,因此,被泄露、被滥用的风险空前增大。比如,掌握了某个人的消费记录,就可以分析其消费需求和喜好,从而定向推送产品广告;掌握了某个人的健康状况,就可以向其推介特定药品和医疗信息。
2018年上半年,54%的中国网民在上网过程中遇到网络安全问题,其中遭遇个人信息泄露问题占比最高,达28.5%。
近年来,国内外发生了一系列个人信息保护相关事件,引发各界广泛关注。例如2013年“棱镜门”事件,2016年徐玉玉遭受电信诈骗案,2017年中国多家互联网巨头10亿条数据被暗网市场知名供应商双旗抛售事件。
特别是今年,国内外此类事件更为频发:支付宝年度账单事件引爆全民对于企业个人信息保护的“信任危机”;FaceBook数据泄露案涉嫌影响美国大选,震惊全球;华住酒店集团2.4亿条用户信息泄露案等,既加剧了人们对个人信息保护问题的担忧,也带来了巨大的信任风险和潜在的社会危机,已经成为影响国家公共安全的突出问题,人民群众对依法保护个人信息和重要数据安全的呼声日益强烈。
网络安全是企业进行数字化转型过程中不可避免或忽视的问题。网络安全的核心是数据安全,其中,又以客户个人信息安全为重中之重。
实施个人信息
保护应关注的重点
个人信息梳理是基础
个人信息梳理是企业厘清个人信息保护工作在企业内部所应覆盖的广度和深度的基础和前提。通过个人信息梳理工作,企业得以建立个人信息数据清单和数据流图,划定个人信息处理全生命周期(收集、使用、保存、传输、处置等)所涉及的业务和运营流程、信息系统及基础架构等,明确相关管控措施所应落实的具体范围。
治理架构是保障
企业应建立健全数据安全治理架构,定义各个层级、各个部门和人员的数据安全角色、分工和职责,建立恰当的绩效和考评机制,实现有效的资源配置,以保障数据安全管理工作能够有效建立和持续施行。
“内外兼修”是核心
不可否认,考虑到目前较高的国内外监管要求和企业自身较低的隐私管理成熟度,对于大多数企业而言,实现完全的个人信息保护合规必将是一个庞杂而长远的工程,涉及的战略层面、流程层面、执行层面和技术层面的变更也是复杂多样的。这其中,确有几项关键工作任务,企业应考虑尽快开展:
- “对外”部分,一方面,对外沟通的各类文件,如适用于客户个人信息收集和处理的隐私声明、适用于员工个人信息收集和处理的员工手册或劳动合同、适用于业务合作伙伴个人信息收集和处理的业务合同等,应尽快依据相关要求进行修订和更新,以确保涵盖关于个人信息主体合法权益的各项声明;另一方面,应尽快建立有效的数据安全事件应急处置和报告机制,根据企业业务特点和管控流程,制定有效的评估、响应、通报流程,确保数据安全事件能够得到恰当的处置,并与监管部门、个人信息主体进行有效及时地沟通。特定行业还应关注通报的规则和时效性等。
- “对内”部分,一方面,个人信息保护应与企业原有的信息安全管理工作有机结合,进一步建立健全企业信息安全管理体系,并辅以有效的技术支撑,如数据防篡改、数据防泄漏、数据去标识化、数据备份与恢复等;另一方面,个人信息保护特有的管控机制也应逐步建立和落实,如个人信息安全影响评估、个人信息跨境传输安全评估、通过设计保护隐私等,自上而下,全方位搭建企业的数据安全管控体系,以合理确保个人信息安全。
个人信息保护任重而道远,企业应立即行动,以有效防控与之相关的合规风险、财务风险和运营风险。
对企业的合规建议
大数据时代下,企业不仅需要注意防范对手和黑客的暗箭,还要小心自己在不知情的情况下侵犯了别人的权益。企业在数字化过程中,既要着重防止踩踏侵犯公民个人信息犯罪的雷区,也应当采取措施防止自身受相关犯罪行为侵害。
1. 数据获取环节
企业应当把控数据源头的安全,避免涉嫌“非法获取”公民个人信息。
- 对于直接向用户进行的收集行为,要根据《网络安全法》等法律法规、参照有关国家标准通过完善的隐私协议获得用户明示的同意,保证数据来源合法;
- 对于从第三方购买或受让数据的,在接受数据之前,企业应对数据供应商就获得数据而签订的授权书进行审查;
- 企业要重视与数据供应商的协议,要求数据供应商做出如下承诺与保证:(1)供应商保证其采集数据或者获得数据的行为合法;(2)供应商保证已经获得了所有必要的个人授权;或者(3)供应商保证其已经做了数据的脱敏,经处理后无法识别特定个人且不能复原;
- 对于在公开网络上数据抓取[i]的,注意避免抓取Robots协议[ii]明确禁止的内容;
- 对于通过API或SDK接入的方式从第三方获取数据的,企业应该严格遵守“用户授权”+“平台授权”+“用户授权”的三重授权原则[iii]。
2. 数据提供环节
- 保证数据权属清晰,核查企业自身是否与相关个人签订授权协议并且检查相关内容;
- 将所有拟出售的数据进行严格脱敏,即处理之后无法识别特定个人且不能复原;
- 在与购买者签订协议中要求购买者不能采用任何手段识别特定个人身份;
- 做好尽职调查,审查购买方对数据的用途;
- 如有理由确定个体可能暴露身份的时候,应该立即暂时取消或者终止数据流动的发生。
3. 人员管理方面
在员工劳动合同中,对数据安全及保密相关的义务和责任进行规定。
- 对员工处理信息权限分级管理,对录入权限、访问权限及维护权限进行区别,与数据分级相匹配,对数据访问采用身份验证;
- 对员工进行规范化培训,制定和完善数据处理操作流程;
- 对员工进行数据安全警示教育,谨防刑事风险发生;
- 对数据处理工作留痕,对数据处理建立运行日志管理,严格监控操作过程;
- 对发现的数据安全问题,要及时处理和上报,建立责任追究制度。
4. 数据分级管理
数据分级对于数据安全而言不可或缺,我们建议企业均应该建立内部的数据分级机制,严格区分高度敏感信息、敏感信息以及一般的个人信息,分别对各等级信息设置配套的安全措施,并且严格按照数据分级情况进行数据共享或授权使用。明确负责的部门及个人,保障数据安全。
注:
[i]“数据抓取”是指搜索引擎未经数据方授权,通过爬虫(spider)程序进行的,需要自行分析网页上的非结构化数据,并会在数据方的网页服务器的相关日志中体现访问记录的互联网技术行为。
[ii]Robots协议(也称为爬虫协议、机器人协议等)的全称是“网络爬虫排除标准”(RobotsExclusion Protocol),网站通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。
[iii]新浪微博诉脉脉案确立的在OpenAPI开发合作模式中,第三方通过OpenAPI获取用户信息时应坚持原则。
参考资料:
1、企业数字化转型过程中的刑事风险之侵犯公民个人信息犯罪 作者:王伟、朱宣烨等
2、数字化转型中,企业如何应对个人信息保护新挑战? 作者:毕马威中国
3、开启大数据时代个人信息保护新的“对话窗” 来源:法制日报
(本文转载自:CIO发展中心)
