随着国内外监管机构对个人信息安全的监管日渐加强,隐私合规成为整个产业都关注的焦点。在2020年RSAC大会最受关注的竞赛单元-创新沙盒,作为人工智能驱动的网络安全和隐私数据保护解决方案的创新者,Securiti.ai公司一举夺得冠军,本文将探讨企业目前在隐私合规方面遇到的主要问题,结合Securiti.ai公司PrivacyOps(隐私运营)产品特性,了解它是如何帮助企业、组织遵守全球各国隐私法规的。
数据主体请求(DSR)是隐私合规需要解决的核心问题
欧盟一般数据保护条例(GDPR)和加州消费者隐私法案(CCPA)是欧美两大经济体所出台的两部具有代表意义的个人数据保护方面的法规,代表欧美监管机关对于个人数据保护的核心理念。
一般数据保护条例 (GDPR) 赋予民众(在条例中称为“数据主体”)权利,即管理已由雇主或其他类型机构或组织(称为“数据控制者”或简称为“控制者”)收集的个人数据。 GDPR 赋予数据主体对其个人数据的特定权利;这些权利包括,获取个人数据副本、请求更改个人数据、限制个人数据处理、删除个人数据,或接收能转移给另一个控制者的电子格式个人数据。数据主体为了对自己的个人数据执行操作而向控制者发出的正式请求,称为“数据主体请求”或“DSR”。
加州消费者隐私法案 (CCPA) 规定了加州消费者的隐私权和义务,包括与 GDPR 的数据主体权利类似的权利,例如删除、访问和接收(可移植性)其个人信息的权利。
作为控制者,有义务迅速考虑每个数据主题提交的 DSR请求,并通过执行所请求的操作或解释控制者为什么无法接受 DSR 来提供实质性响应。根据组织的合规性规定,完成DSR 可能涉及发现、访问、更新、限制、导出、删除、通知等多个过程。
企业实现数据主体请求(DSR)的难点
由于一系列的技术和管理难点,目前企业在保障数据主体实现DSR权利的过程中,存在种种困难,例如:
1. 技术层面:大多数企业拥有数百甚至数千个内部和外部系统,包括内部开发的应用程序、内部存储系统、第三方应用程序、SaaS、IaaS甚至终端设备,消费者的个人数据以结构化和非结构化的形式存储在这些系统中,由不同的小组和部门拥有。这些系统中的个人数据随时可能改变。数据很容易在系统之间扩散,甚至在第三方之间扩散,几乎没有可跟踪性。无法实时地知道某人的数据在组织中的哪里,使得遵守隐私法规和与消费者建立信任变得非常具有挑战性。
2. 管理层面:来自数据主体的每个DSR请求都可能转化为大量定义不清的任务,需要在企业内部众多的系统中发现哪些系统及这些系统中的哪些对象保存了主体的数据,这就需要与每个系统和对象所有者合作,将调查的所有部分的输出内容合并成一份报告,供利益相关者和法律团队批准,以最终满足数据主体要求。为每个主体请求手工执行上述所有任务是昂贵的、低效的,而且最重要的是,容易出现人为错误和遵从性失误。
3. 合规层面:受GDPR 影响,全球各个国家推出了类似的个人信息保护法规,如巴西LGPD、印度PDPB、泰国PDPA等,要么通过了新的全面的数据保护法律,要么根据GDPR对现有法律进行了实质性修改,总体而言,隐私规定正变得更加复杂和难以解释,隐私团队、业务所有者和审计人员必须不断应对复杂的监管环境。
Securiti.ai方案简介
Securiti.ai的产品定位于协助企业实现自动化地对所有地区的隐私保护法案的合规性处理,减少企业组织在隐私合规方面的处理成本或错误处理导致的法律和经济风险。
图来源于: 《PrivacyOps:跨组织隐私自动化运维》
PrivacyOps利用最新的人工智能技术,将隐私主体在组织中各处分散存贮的信息提取并关联形成人员数据图谱(People Data Graph),以此为整个隐私管理系统的核心,建立了参与系统、自动化系统、协作系统、记录系统四个隐私行动框架,以此为基础,利用人工智能和自动化编排技术,实现了DSR、同意协议管理、违例通知、供应商评估、内部评估及数据映射等六个核心功能,达到自动生成隐私数据审查报告、根据各国隐私合规模板,自动进行风险评估等目的。
Securiti.ai夺冠对国内隐私数据保护的启示
隐私保护在我国已经成为重要的社会问题,民众作为消费者的权益受到了侵犯。在个人信息保护方面的法律法规建设,正从无到有,处于不断完善的阶段。
《网络安全法》明确要求网络运营者收集、使用个人信息时,要向用户明示并取得同意,不得超范围滥用个人信息,不得以非法方式获取、提供和出售个人信息;个人有权要求网络运营者删除和更改其个人信息。《个人信息安全规范》,针对个人信息面临的安全问题,规范了个人信息控制者在收集、保存、使用、共享、转让、公开披露等信息处理环节中的相关行为。
不过《网络安全法》大多只是原则性规定,且个人信息保护主要集中在第四章网络信息安全,仍有许多不足。《个人信息安全规范》是国家推荐性标准,不具强制性,但对处理个人信息和各类组织提出了具体的保护要求,也为制定和实施个人信息保护相关法律法规奠定了基础。
2020年我国将制定个人信息保护法,明确个人信息概念、适用对象和权属,明确采集、处理、使用个人信息的程序、规则和相关责任。随着国内隐私保护相关立法越来越完善,隐私合规已成为企业必须重点关注的问题,需要借助专业安全公司的合规咨询及技术支撑,共同迎接这些挑战,类似Securiti.ai公司的隐私运营类产品,将在我国获得极大的市场发展机会。
作为中国企业级网络安全市场的领军者,奇安信在隐私保护领域持续保持研发投入,开发出基于人工智能的隐私提取技术和数据映射技术,在个人数据图谱、安全工作区创建方面有深入研究,能保证数据在安全条件下在各协作方之间或组织与用户主体之间的数据传送与安全协作,针对大数据环境下数据安全共享、APP隐私保护等领域也发布了企业级的产品与解决方案,帮助企业和用户做好隐私保护工作。
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。