编者按:
自2017年《中华人民共和国网络安全法》正式实施以来,国内陆续颁布了《GBT35273 信息安全技术 个人信息安全规范》《App违法违规收集使用个人信息行为认定方法》《移动互联网应用程序(App)收集使用个人信息自评估指南》等多个配套文件,在执法层面“App专项治理小组”的相关工作也初见成效。但在另一方面,现阶段国内中小企业对个人信息保护的整体状况仍然有较大的进步空间,而中小企业的数量占企业总数的99.3%。如何帮助中小企业提高个人信息保护合规的成熟度,将成为我国个人信息保护难以绕过的重点和难点。
本文作者为安永网络安全顾问赵梓伊。
自2017年《中华人民共和国网络安全法》正式实施以来,国内陆续颁布了《GBT35273 信息安全技术 个人信息安全规范》《App违法违规收集使用个人信息行为认定方法》《移动互联网应用程序(App)收集使用个人信息自评估指南》等多个配套文件,在执法层面“App专项治理小组”的相关工作也初见成效。但在另一方面,现阶段国内中小企业对个人信息保护的整体状况仍然有较大的进步空间,而中小企业的数量占企业总数的99.3%。如何帮助中小企业提高个人信息保护合规的成熟度,将成为我国个人信息保护难以绕过的重点和难点。
本篇将介绍中小企业个人信息保护合规的难点及压力,并重点从1)针对第三方提供的产品及开发服务;及2)针对与第三方签署的合同 角度进行切入,提出相关思考,希望能起到抛砖引玉的作用。
1 中小企业个人信息保护合规难点及压力
本部分将简要介绍建立、运营个人信息保护体系的主要工作,及各部分中小企业合规现状及难点:
1.1 个人信息保护组织架构
个人信息保护的组织架构是个人信息保护体系建立及运行的基础,一般而言,企业应至少安排三个部门作为架构的核心,分别负责法律法规的解读、流程的制定、运行的监督,IT、客服、人资、行政等部门负责落实及配合。但实际而言,大部分企业,尤其是中小企业,基于公司的发展及成本的考虑,很难完整的具备以上组织架构。
1.2 个人信息的识别、梳理及跟踪
个人信息的识别、梳理、跟踪是个人信息保护的核心,只有了解企业有哪些业务场景涉及个人信息,拥有哪些个人信息,个人信息存在哪里,个人信息分享、委托给了哪些第三方,个人信息会传到哪些国家,企业才能真正落实对个人信息的保护义务及告知义务。接下来,将通过个人信息的生命周期进行进一步的介绍。
1)个人信息的收集及使用
合法性及最小必要:
个人信息收集之前,企业需要对收集的个人信息进行评估,判断其是否满足合法性和最小必要原则。针对最小必要性的评估,《常见类型移动互联网应用程序必要个人信息范围规定》中列举了不同业务场景可以收集的个人信息,各中小企业可以作为参考。
提供隐私政策及获取同意:
尽管《GBT35273 信息安全技术 个人信息安全规范》已经提供了隐私政策的标准模板,但是部分中小企业由于缺少对企业内部个人信息的识别及梳理,隐私政策未包括企业所有个人信息的处理场景。此外,部分中小企业为了避免多次、反复更新隐私政策,将现阶段暂未涉及的业务场景也囊括在隐私政策中,此举不仅导致隐私政与企业个人信息处理的实际情况不一致,还会增加消费者的阅读负担。
针对同意,大部分企业一方面很难实现对同意的有效记录,另一方面存在误将隐私政策中的“同意”作为所有场景的“同意”的情况。
2)个人信息的使用
访问控制
根据《信息安全技术 个人信息安全规范》(GB/T-35273)相关要求,企业需要 “建立最小授权的访问控制策略,使其只能访问职责所必需的最小必要的个人信息”。实际情况中,由于中小企业大部分缺少相关意识,一方面导致系统在开发时未考虑访问控制相关需求,另一方面导致企业缺少权限审批、权限定期审阅等流程。
目的限制
企业需要保证个人信息的使用目的不超过隐私政策中的相关声明。该目标的有效实现,需要企业建立完善的流程,投入专业的人员,并进行定期的梳理、盘点工作。实际情况中,中小企业很难拥有相关能力及资源。
3)个人信息的委托处理、共享、转让、公开披露
涉及第三方处理个人信息时(包括委托处理、共享等),企业都应该签署相关的合同。但现阶段,部分中小企业缺少编写相关合同的能力。
4)个人信息的传输、存储及删除
传输、存储的安全性
为保障个人信息的安全,在传输和存储个人信息(尤其个人敏感信息)时应进行加密。大部分中小企业的开发安全能力并不能保证使用了有效的加密手段,例如:未对数据的传输、存储使用加密措施,使用了不安全的加密算法等等。
存储的时间
个人信息的存储需要设定相关期限,并实现到期删除。部分中小企业缺少定义数据最短存储时间的必要专业知识及意识。
1.3 关键流程建立及更新
个人信息的关键流程包括但不限于,隐私影响评估流程(包括数据的识别、隐私政策的更新)、数据跨境流程、数据主题权益响应流程、事件响应流程、个人信息处理活动的记录、供应商评估流程。这些流程大部分需要时刻关注法律法规的相关情况,进行必要更新,同时需要投入额外的、人力和时间,给中小企业提高了合规难度。
1.4 安全能力
企业需要根据国家有关标准建立数据安全能力,实施必要的管理和技术措施。但中小企业大多缺少相关能力,也缺少投入资源的动力。
建立并持续运营以上流程,需要企业花费高额的咨询费用,聘请专业的人员进行持续的维护及优化,投入人力进行实施,大部分中小企业难以对此进行负担。
2 中小企业个人信息保护合规方向思考
中小企业个人信息保护的合规问题长期来看需要从立法、执法、指南等多个途径进行解决。笔者认为,除了考虑减轻中小企业的合规负担,还应思考如何帮助中小企业提高合规能力,提升社会整体个人信息保护能力。
2.1 针对第三方提供的产品及开发服务
国外的中小企业在面对个人信息保护合规挑战时,同样存在资金、人力不足的情况,但是对比国内存在以下现象:
国外中小企业的个人信息保护情况整体好于国内个人信息保护情况;
国内中小跨国企业若有欧洲、美国子公司,在“个人信息传输、存储加密”、“个人信息存储时间最小化”、“访问控制”、“权限管理”、“个人信息的到期删除”、“同意的记录”等方面也可能会强于国内本部;
国内中小企业若使用SAP等海外第三方产品,该产品相关的业务线合规程度也会强于该企业其他业务线。
一方面是由于国外更严格的执法力度,另一方面是由于国外中小企业在开展业务时,IT方面主要依赖于大企业提供的SaaS服务。SalesForce、Successfactors、Shopify等SaaS服务提供商在产品设计时已经考虑到了个人信息保护相关的合规要求,同时也具备更强的数据安全能力,降低了个人信息泄露的可能性。对比现阶段国内的SaaS服务,从市场覆盖率到产品本身,仍然还有一定的进步空间。
2.2 针对与第三方签署的合同
正如上文所说,在涉及第三方处理个人信息的场景时,部分中小企业缺少编写相关合同的专业能力。实际而言,个人数据委托处理协议或联合控制者协议的主体部分有相当大的可复用性,相关组织或部门可以在相关标准中提供“控制者-处理者数据处理协议”、“控制者-控制者数据处理协议”模板及相关使用指南。
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
