如何真正做好“个人信息安全”“隐私 保护”“隐私合规”“隐私保护管理体系”和“ISO 27701”等相关工作,对于企业来 说,并不那么简单。随着数据保护及个人信息保护的法律法规呼之欲出,2021 年将成为中国数据保护及个人数据保护元年。隐私保护工作任重而道远,这不仅仅是隐私保护专业人士的责任,也需要得到所有人的关注和投入。
一、企业隐私保护工作面临的挑战
在隐私保护工作中,大多数企业面临的首要挑战是监管合规。了解监管要求后,企业需要摸索隐私保护体系建设。由于隐私保护工作涉及不同部门联动,容易让具体措施的推行迷失在低效沟通中。
1. 合规监管的压力激增
无论是中国的《网络安全法》《数据安全法(草案)》《个人信息保护法(草案 )》等,还是欧盟的《通用数据保护法案》(GDPR)、美国加州的《加利福尼亚州消费者隐私保护法案》(CCPA)和巴西的《通用数据保护法》(LGPD)等,各国权力机构都在不断加大隐私保护和数据合规的监管力度。企业面临复杂且细粒度的监管挑战。
2. 不同体系框架之间存在壁垒
通常情况下,企业的安全合规团队可能早已基于各类信息安全标准开展了信息安全体系建设,并运行多时。面对隐私保护体系的建设问题,企业管理层往往会产生几个疑问:是独立新建隐私体系?还是和既有安全体系整合?如何整合?有些企业会采取“一刀切”的思路,成立新的专项组独立开展隐私保护体系建设,却发现隐私保护总也绕不开信息安全和 IT 系统。
3. 个人信息的分布难以捉摸
数字化时代的不断演进,使已经被打破的安全边界更加扑朔迷离:云主机让企业感知不到服务器的具体位置;画像分析将海量用户行为数据“扔进”看不见的数据湖;智能手表可以随时记录用户的声音、脚步和位置;而边缘计算、零信任网络等新兴技术的引入,让关注隐私保护的管理员惊呼:“我要管理的数据都在哪里?!”这个问题可能是隐私保护工作落地的最厚一块挡板。很多企业在完成用户主数据库的敏感信息加密后,却发现还有很多明文的个人信息分布在数不清的下游系统、离线数仓和“影子 IT”中。
4. 多方联动缺乏有效机制
隐私合规工作在企业内部,需要多个部门配合联动。安全部门、合规部门和法务部门可能是隐私保护的牵头方,但却不是相关工作的执行方;而通常作为数据所有者的产品部门,更关注研发和创新;作为数据消耗方的业务部门和分析部门,则更关注市场的拓展。不同部门的诉求差异,给建立企业整体的隐私合规体系带来跨部门合作困难。
二、企业隐私保护工作实践分享
鉴于上述挑战和难点,需要关注企业隐私保护工作的实践及在开展具体工作中的重点。
1. 现状识别与理解
企业在开展隐私保护工作的初期,应先“知己知彼”,充分理解企业面临的隐私合规监管环境、参考标准,安全部门可以同法务合规、风险管理及其他相关部门联合,制定企业的隐私保护合规数据库。同时,企业需要对自身的隐私保护成熟度和隐私数据现状进行识别。由于“个人信息的分布难以捉摸”,隐私数据现状识别工作会决定未来整体隐私保护工作落地的质量和有效性。因此,特别需要注意如下几点。一是明确企业在不同的业务环节、产品服务过程和具体数据活动中的角色,例如控制者、联合控制者、处理者及分包商等。由此,明确各方隐私保护职责,并为后续隐私保护管控制定差异化方案。二是对个人信息进行梳理需要尽可能全面,注意识别个人信息的类型与敏感程度、个人信息全生命周期的情况以及已有的安全保护措施,并且需要考虑涉及的第三方交互和线下情形。三是除了了解个人信息的分布和流转现状,也需要了解业务场景、产品服务、系统模块中个人信息处理的目的是什么,是来自于业务运营、监管要求,还是与客户签署的合同。四是对于个人信息现状迭代 / 变化较快的业务,在梳理与识别的同时,也应该规划设计长效维护的梳理机制,确保工作的持续有效性。
2. 隐私影响分析与风险评估
通过识别工作,掌握企业或具体业务、产品所涉及的个人信息和流转。隐私影响分析与风险评估环节的主要工作,就是分析、评估每一个阶段个人信息处理的控制要求以及已经建立的控制点。在差距分析与风险评估过程中,要注意避免以下情形。
一是过于关注“合规对标”而忽略实际隐私风险。过于依赖隐私保护法规和标准,用“问责式”方法开展调研,而不关注企业实际的个人信息流动及处理行为。在这方面的应对建议是:无论是隐私法规还是行业标准,其中的要求或控制点都是针对不同的对象,因此,建议把这些要求和控制从“管人”“管流程”“管工具”和“管数据”等情况分类。在开展评估工作时,要将“管数据”类的要求结合到每一个实际个人信息场景中,围绕实际的个人信息活动进行分析,以发现具体的隐私风险。
二是把隐私影响分析做成了传统的“数据安全评估”。评估工作仅聚焦在个人信息的保密性、完整性、可用性评估,而忽视了隐私合规的内容。在这方面的应对建议是:深入领会隐私保护原则,将“是否侵犯数据主体的隐私权利”这个问题嵌套在所有的评估过程中。例如,在个人信息采集阶段,要了解采集的方式,以此评估采集时有没有得到数据主体的同意,是否为明示同意,有没有给予主体撤回同意的权利;在使用阶段,要了解在使用个人信息时有没有设计对数据主体行权的响应机制,如允许查询、更正、拒绝或是移除、擦除等;而对个人信息分享/披露,要根据数据流图的情况了解数据流转的路径,流经了哪些相关责任人和外部机构,有没有以合同协议的方式约定相关责任等。
3. 隐私保护管理体系建设
隐私保护管理体系的建设既要参考相关法规和标准,也要结合企业的实际现状。通常,企业的隐私保护管理体系框架由隐私保护治理与组织、数据主体隐私权利保障、数据安全控制、隐私管理流程、隐私默认设计与隐私保护文化六个部分组成。
建立隐私保护治理组织工作应当由企业高层管理者牵头,使保护隐私的决策战略以及与业务发展之间保持平衡。要组建专业的隐私保护团队,一般由安全团队、法务合规团队共同组成。该团队通常是隐私保护的牵头方,统筹企业不同部门的隐私保护工作重心、工作方法和计划,并提供专业支持。此外,如果企业的个人信息相关场景多且复杂,还应该设立隐私保护官岗位。同时,还需要联合产品开发、IT 技术、市场销售、人力资源等不同业务部门,明确隐私保护的责任与义务。有些企业会在各个业务部门设置隐私专员,协助部门之间隐私保护工作的上传下达和推动落实。
在隐私治理之下是安全管控工作,具体包括,其一,是对各类数据主体隐私权力的保障与响应,例如用户的知情权、访问权、携带权、删除权等;其二,是数据安全控制,这与传统的信息安全控制有很多重合,例如数据加密、备份,以及数据的访问控制,操作监控与日志记录等。隐私保护工作的开展也离不开管理流程,除了通常意义上的安全管控流程外,隐私保护体系还需要特别考虑与数据监管机构的沟通流程、各类隐私安全事件响应流程及预案、响应用户主体权利申请流程等。隐私默认设计是落实以上工作的有效方式,将隐私保护的控制嵌入化设计到具体的产品、业务和活动中。很多安全能力和成熟度比较高的企业,安全部门已经开始推行优秀的安全软件开发生命周期管理(S-SDLC)或者安全的开发运维一体化架构(DevSecOps)实践,保障产品安全的及时性和有效性。
隐私保护管控技术也同样在数字化浪潮下不断迭代与演进,隐私科技由此诞生,即用数字化技术解决数字化时代的隐私风险。“同态加密”“联邦计算”“可信计算环境”“零知识证明”“差分隐私算法”等新兴概念已经在商业化产品中实现,帮助企业打破“数据孤岛”,进而安全合规地开发或利用数据。另外,隐私运营的工作也可以通过一系列隐私科技类产品或工具解决,包括如下应用场景:一是增强隐私数据发现,自动化发现并跟踪企业处理隐私数据的行为,例如数据自动发现工具、数据流图等;二是优化隐私管理运营,帮助企业提升隐私保护效率,例如隐私政策生成器、隐私法律法规数据库、隐私自动化运营平台等;三是提升用户隐私体验,帮助用户自动化处理隐私请求和问题,例如隐私权利响应中心、隐私智能助手等。
企业可以根据自身需求,采购外部产品或者通过自研发的方式实现这些隐私科技产品的赋能,以提升自身隐私保护管理体系的自动化、平台化和智能化水平。安全文化变革下的人员隐私保护意识是隐私保护管理体系的最后一道防线,因为再优秀的安全控制、流程和技术总还是离不开人员操作。对隐私保护意识方面的投入,应在整体建设中占据足够的比例,这不仅仅是为了培养专业团队的基本素质,更要避免“员工为牟利而倒卖公司客户数据”“高管点击钓鱼邮件后泄露千万客户订单”“技术骨干离职后删库跑路”等事件再发生。
4. 体系试运行与认证推广
隐私保护体系绝对不是一次性的建设工作,上一环节的内容其实是里程碑式的“起点”。企业需要投入专业的隐私保护团队和各个相关部门持续运行维护该体系,包括定期的安全内部检查、隐私保护指标的设计与监控、及时的管理层沟通等。
在隐私保护管理体系运行一段时间之后,可以考虑通过获取认证资质验证和展示管理体系的有效性。目前,ISO 27701 标准的认证是大部分企业的首选。通过对照该标准,企业既可以验证自身隐私保护管理体系的完备程度和有效性,也可以提高企业自身品牌完整度与客户信任度。在准备认证之前,建议提前思考企业整体的认证组合模式。通常有以下几种方式可供参考。一是集中型认证模式。企业整体“一揽子”通过合规认证,基本覆盖所有的业务、产品和部门。该模式性价比高,也使全公司拥有统一标准规范和安全抓手,但是体系落地性存在不足,且跨部门合作成本较大。二是分散型认证模式。这种模式适用于大型集团化企业,由不同事业部 / 业务线根据自身需求独立开展认证工作。该模式落地性和针对性好,且可以突出不同事业部的安全特点,但是,认证工作的前期投入和后期维护成本较大。三是混合型认证模式。这种模式结合以上两种方式的优点,如企业的 IT 基础服务、中台服务部门和职能部门整体获取认证,之后各个事业部再根据自身业务特点考虑差异化认证方式,灵活组合。四是产品聚焦认证模式。这种模式适用于具有核心产品服务的企业。认证工作会弱化企业或组织概念,而围绕核心产品服务开展。该模式的认证目的明确,且可以提升品牌的影响力,在部分企业中,该模式的跨部门沟通成本也是最低的。
除了ISO 27701 之外,还有一些其他常见的隐私保护框架或标准可以作为企业隐私保护工作的参考,包括我国的国家标准 GB/T 35273-2020《信息安全技术个人信息安全规范》,国际标准 ISO29151:ISO/IEC 29151:2017 和ISO27018:ISO/IEC 27018:2019,国际组织颁布的标准《亚太经合组织隐私框架》(APEC PrivacyFramework)、《经合组织隐私保护指引》(OECDPrivacyGuidelines),以及美国国家标准与技术研究院隐私框架(NIST Privacy Framework)等。
三、总结与展望
在数字化时代,企业的业务模式和科技产品都在高速迭代,新的数据利用方式和场景不断激增。因此,隐私保护工作也要与时俱进,成为企业数字化道路上的“照明灯”和“守护者”。企业管理者要主动应对各种隐私风险和问题,持续关注隐私监管和行业标准最新动态,并积极参与隐私管理实践和隐私科技的发展。此外,隐私保护能力也将作为企业影响力的关键因素,从用户隐私体验、科技透明度和市场信任感上为业务赋能,帮助企业在数字化浪潮中创出佳绩。(高轶峰 左超)
(本文刊登于《中国信息安全》杂志2021年第3期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。