近年来,随着个人信息泄露事件频繁发生,各国加快出台应对政策,影响最大应属于2018年5月25日欧盟正式实施的《通用数据保护条例》(以下简称“GDPR”),GDPR致力于建立数字时代欧盟统一的数据保护规则,将替代《1995年个人数据保护指令》,在诸多方面做出了重大变革,如赋予个人数据删除权和携带权、限制数据分析(profiling)活动等,给予公民更多对个人数据的控制权,并要求企业承担更多数据保护责任。
GDPR被称为史上最严格的数据保护立法,GDPR的严格主要体现在对个人权利的细致保护,以及对违法行为的高昂处罚。面对如此严苛的隐私保护条例和高额的罚款会让部分企业直接退出欧洲市场,但是退出欧洲市场并不是长久之计,同时也违背了个人信息保护的原则,我国企业应如何应对GDPR,提出以下几点建议:
1、培养个人信息安全保护的战略意识。积极组织专题宣传培训和研讨交流活动,在执法检查过程中加强监督引导,将个人信息安全保护作为占有市场和增强用户粘性的战略举措。采取闭环管理的理念,在设计系统架构之初就应该把安全因素纳入架构设计范围,变被动为主动,逐步培养起安全与发展并重的良性大数据产业生态环境。鼓励企业与监管认证机构建立长期合作伙伴关系,为其信息安全管理提供全方位的咨询和服务,尤其加强对企业技术负责人、重点岗位员工的个人信息保护培训。
2、建立健全的个人信息保护制度。
更新隐私声明,确保企业的隐私声明符合GDPR的所有规定。尤其是与相关供应商和合作伙伴方面涉及到个人隐私方面的隐私声明不仅要与合作伙伴进行及时沟通,而且还要符合条例的相关约束;建立数据保护官制度,GDPR规定拥有250名或以上员工处理敏感数据或犯罪记录的组织必须指定数据保护官(DPO)。这根据他们是否处理敏感数据的情况而定,拥有少于250名员工的组织可能也需要指定DPO;理清义务责任和违规风险点,加强数据安全监管,参照《个人信息保护规范》等国家标准完善数据监管制度措施,其中包括数据收集、使用和监管等,并在此基础上按照GDPR要求补齐短板。
3、建立合理的个人信息保护应急机制。
设立安全检查专员,对安全事件进行应急处理、分析、调查、跟踪、总结和事后教育,进行安全事件的分析调查与数据提供,制定信息安全日常工作汇报等相关文档;建立风险管理制度,结合实际工作,总结个人信息保护风险,并定期进行应急预案演练;时刻关注有关国家的最新动态, 做好对欧贸易政策的跟踪和分析,及时将重要信息反馈给有关部门。
4、加快创新服务模式和安全技术。
创新服务模式,规避法律风险,改变简单依靠搜集个人信息并不加处理直接利用的商业模式,围绕数据全生命周期各阶段需求,发展数据采集、清洗、分析、交易、安全防护等技术服务,培育数据服务新模式和新业态。加强信息安全技术产品研发,重点研究大数据环境下的统一账号、认证、授权和审计体系及信息加密和密级管理体系,推广防泄露、防窃取、匿名化等信息保护技术,研发信息安全保护产品和解决方案,通过技术措施降低合规成本。
声明:本文来自赛迪智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。