我的位置 首页  >  新闻动态  >  国内新闻

企业机构开展隐私与数据安全保护建设的建议

来源:科技成果转化中心时间:2018-06-22
      

根据RSA对法国、德国、意大利、英国和美国的7500名消费者的调查结论表示,80%的消费者表示银行类和金融类数据丢失是最令人关注的问题。而发生信息泄露后,62%的个人认为他们会责怪商家未尽到责任而不是责怪黑客。在我国,个人信息泄露也是一个重灾区,人民日报2016的报道显示有数据统计,在个人信息保护方面,网民被泄露的个人信息涵盖范围非常广泛,其中78.2%的网民个人身份信息被泄露过,包括网民的姓名、学历、家庭住址、身份证号及工作单位等。


GDPR规定对于未遵从该法规的企业将处以最高2千万欧元或企业年度收入的4%(二者取其最高者)。而国内《中国人民共和国网络安全法》(以下简称《网络安全法》)第六十四条针对侵害个人信息的机构提出了处罚违法所得1-10倍的罚款或100万以下罚款(无违法所得),严重的吊销业务许可或营业执照。此外对直接负责的主管人员或其他直接责任人还有1-10万元的处罚。


那么,企业具体应该如何展开建设呢?

What 

结合机构自身的业务内容和覆盖范围,组织专项人员学习了解与个人信息保护相关的国内外法律法规和相关标准。制订机构隐私数据保护建设的方向和建设内容。

How 

仔细回顾和评估机构对个人信息数据保护与相应法律法规在合规要求上的一致性和存在差距。评估内容包括个人信息数据在业务开展过程中是以哪种形式被收集的?在收集过程中是否对用户提供清晰的解释并获得了用户的明确许可?包括机构本身以及机构委托或与之合作的第三方机构在内的数据控制与处理主体是如何对收集的数据进行处理及保存?机构是否对用户提供了撤回或删除个人信息的渠道及方式方法?数据控制主体在个人信息数据保护方面(包括对信息数据完整性、可用性、机密性、不可抵赖性、真实性、可控性)具备怎样的保护机制以及保护措施的效果是否达到了与合规要求相符的期望?机构在发生信息泄露时是否具备的应急处置机制,包括在规定时间内的监管上报机制、事件排查及数据恢复机制、与第三方(如云服务商、CERT等)联动处置机制、在规定时间内向客户进行通告的通报机制?

Who 

对业务和数据流进行梳理,明确认知哪些客户的个人信息被收集,是否存在过度收集的情况? 尤其是未成年人以及欧美个人的个人信息。


明确在业务处理过程中,来自第三方的哪些外部人员具备对个人信息的访问权和控制权。权限的合理性和最小需求设置是否正确。


根据机构情况,建立数据保护小组或相应的部门机构,任命数据保护官员(Data Protection Officer,DPO),明确其工作职责并保证其工作的独立性。

Where 

清晰辨析和知晓个人信息数据的物理和逻辑存放位置,本地还是云端,国内还是国外。尤其是对于涉及公有云的业务情况,需要评估是否涉及跨境数据存放以及评估业务所在国对跨境数据存放与传输的法律规定对业务开展的影响情况。

When 

每年定期在机构内部开展个人信息数据保护的培训工作。培训内容包含在业务开展中保护个人数据的实施操作指南,发生信息泄露后的上报及处置机制与流程等。

在企业机构开展隐私与数据安全保护建设时,企业高管们首先应该高度重视机构本身所肩负对客户隐私信息的保护责任。因为没有应有的尽责不仅将失去用户的信任,也将面临着来自合规的处罚。



请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin

↑↑↑长按二维码,下载绿盟云APP

       (科技成果转化中心供稿)