数据保护官岗位角色技术能力分析(DPO社群成员观点)
编者按:
本公号在刊登DPO沙龙和相关社群活动的同时,还将刊登DPO社群成员的精彩文章。众所周知,《中国信息安全》是国家在网络安全领域非常权威的期刊杂志。DPO沙龙成员在《中国信息安全》2019年2月这一期中,发表了DPO制度的见解,介绍了DPO的前世今生、方方面面。本公号将陆续刊发。本篇作者为全知科技的张弛。
正文:
落实安全岗位责任制 保障数据管理依法合规
从国内外相关法律法规对数据保护官等数据管理工作的职责描述分析,欧盟《通用数据保护条例》强制要求任命数据保护官以确保“合规”的规定,成为基于问责制合规框架的重要“基石”,美国、德国、新加坡、印度等国也有类似制度。《中华人民共和国网络安全法》规定的网络安全负责人以及国家标准《信息安全技术 个人信息安全规范》规定的个人信息保护负责人等制度,虽然在表述上与欧盟的规定不同,但是,其所发挥的岗位功能与前者相似,成为保护企业信息安全和保障数据依法合规的重要角色。
伴随日益严峻的数据安全形势以及对隐私保护的重视,各国和地区陆续颁布并实施了有关隐私保护的法律法规,由此,一类新的岗位角色——数据保护官(Data Protection Officer,DPO)进入公众视野。本文以技术视角分析DPO岗位角色的技术能力以及如何有效开展隐私合规和隐私保护工作。
一 、应重视DPO岗位角色作用
近年来,数据安全及隐私安全事件频发,数据与隐私保护成为社会关注的焦点。与此同时,各个国家和地区陆续颁布并实施了隐私保护的法律法规,例如,欧盟的《通用数据保护条例》(GDPR)于2018年5月25日生效;美国有史以来最严格的隐私保护法案《加州消费者隐私法案》 也将于2020年将生效;埃及、巴西等也出台了自己的数据隐私保护法。
我国在2016年11月正式颁布《中华人民共和国网络安全法》后,逐步加大在隐私保护上的监管力度,其中,最具代表的是全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017 《信息安全技术 个人信息安全规范》自2018年5月1日起正式实施施行。此外,《个人信息保护法》和《数据安全法》已被列入我国十三届全国人大常委会立法规划。
欧盟《通用数据保护条例》(GDPR)以法律形式明确规定DPO的任命要求和职责。
在我国现行法律中,虽然没有明确与DPO名称上相对应的角色,但是,从国内外个人隐私法律法规中对类似工作的职责描述分析,GDPR中的DPO在隐私保护的职责上与《中华人民共和国网络安全法》中的网络安全负责人,以及国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》中的个人信息保护负责人,在设立目的上存在相似性,都是为个人信息保护和隐私数据合规而生,因而,我们常说的数据安全保护岗位和角色不单指GDRP中提到的DPO,而是广泛意义上在企业中负责隐私合规以及隐私保护的角色。
从外部合规的角度,对DPO的任命对于符合条件的企业是强制性要求,如有违背将被认定为是对控制者与处理者责任的违背,将面临监管问责及高额罚款;从内部执行来看,DPO在企业具体的隐私相关工作开展过程中发挥统筹各方的核心作用。因此,企业不论是开展外部隐私合规还是内部隐私保护工作时,都应当对类似DPO的岗位角色作用给予足够的重视。
二、DPO岗位基本技术能力要求
从各国及地区发布的隐私保护法律法规中可以发现,除了关于对于隐私主体权利的规范性描述之外,还包括大量关于隐私保护相关工作的技术性描述,因此,对于DPO而言,不仅仅要求其具备法律解读能力,技术能力也必将成为DPO的基础要求,具体要求体现在以下几个环节。
1. 数据主体权利梳理
当前主流隐私合规与传统信息安全规范要求相比,其中最大区别体现在数据主体权益上。以GDPR举例,是对企业提出必须履行七项数据主体权利的要求,包括知情权、访问权、修正权、删除权(被遗忘权)、限制处理权(反对权)、可携带权和拒绝权,并且数据主体权利的执行情况将作为合规检查的重点内容。因此,DPO首要关注的是梳理并全面了解本企业数据主体权利的执行情况,这项工作不仅仅包括对所涉及的隐私数据清单进行梳理,还需要全面了解相关隐私数据处理活动方式,这要求DPO必须对企业自身隐私数据在本企业的业务流以及技术实现非常了解。
现实情况往往是大多数企业内部数据及业务系统错综复杂,并且隐私数据处理会涉及数据采集、数据存储以及数据处理等多个数据生命周期环节,这要求DPO对业务系统的基础架构以及数据全生命周期具备较好的理解能力,才能更充分了解企业中隐私数据的真实现状,为后续隐私保护及合规评估提供基础保障。在这个阶段,通常会用到Data Mapping、Data flow等技术帮助更高效地完成梳理工作。
2.数据保护方案设计
毋庸置疑,数据保护能力是DPO必须具备的核心能力。在GDPR、《信息安全技术 个人信息安全规范》中,有大量章节与数据保护技术有关。首先是隐私数据处理基本原则。《信息安全技术 个人信息安全规范》第四章明确指出,应遵循“确保安全原则”;同样,在GDRP第5条中,也指明隐私数据处理的7大基本原则,其中包括完整性、机密性原则。两者共同要求企业应“具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性”。
此外,GDPR对数据控制者及处理者的义务要求,以及《个人信息安全规范》对用户隐私信息的传输、保存、使用以及事件处置,都提出不同类型的数据保护技术要求,如传输及存储加密、数据展示去标识化、数据脱敏、身份权限、访问控制以及个人信息安全事件处理。
DPO作为企业隐私保护的责任人,为达到隐私数据保护的目的,除了熟知各类数据保护技术的基本技术原理,还应具备将不同数据保护技术合理应用及组合的能力,为不同场景设计合适的数据保护方案,确保企业隐私保护实践达到最佳效果。
常见的数据保护技术可以分为三类:直接作用于隐私数据自身的技术,如数据加密、数据脱敏(遮蔽、替换)、去标识化、差分隐私、K-匿名等;作用于产品安全并间接影响隐私保护的安全技术,如账号、认证、权限、审计(4A),以及身份识别与访问管理(IAM)、访问控制、云访问安全代理(CASB)、用户行为分析(UEBA)等;传统系统网络相关的安全技术也与隐私保护密切相关,如防火墙、入侵检测/防御系统(IDS/IPS)、防病毒、高级可持续攻击(APT)防御等。
3. 隐私影响评估
在企业开展隐私合规检查时,相关技术性评估是具体执行中必不可少的环节,其中,常见的评估内容有隐私影响评估(Privacy Impact Assessment,PIA)、数据保护影响评估(Data Protection Impact Assessments,DPIA)以及隐私风险评估(Privacy Risk Assessment,PRA)。
以PIA为例,目前与《信息安全技术 个人信息安全规范》配套的《个人信息安全影响评估指南(征求意见稿)》中对如何开展PIA进行全面细致的说明,而准确掌握企业个人数据使用情况是PIA的重要评估依据和首要任务,即产出“基于系统组件的个人信息映射表”和“基于个人信息生命周期的个人信息映射表”,其中包括以系统视角和个人信息生命周期对个人信息类型、收集方式、收集目的及原因,以及在收集、存储、使用、对外提供和废弃阶段所采取的控制措施。在现状梳理的基础之上,再进行进一步的个人信息处理活动影响评估、安全事件可能性分析以及隐私风险分析等环节,最终产出合规差距分析表。
除前文所提及对了解企业隐私数据使用和对数据保护方案熟知的基础之上,在开展PIA过程中,更重要的是开展围绕最终保护效果及隐私影响进行综合性评估分析,这对DPO的技术能力提出更高的要求。目前,针对各类评估过程,国内外已经有比较成熟的技术工具,可以辅助DPO更高效地完成复杂的分析及评估工作。
4. 产品设计和研发流程
对于产品设计和研发流程的熟悉也是DPO的基础技术能力要求之一。首先是产品设计,无论GDPR还是《信息安全技术 个人信息安全规范》都明确要求必须遵循数据最小化原则,即企业在采集或处理个人数据时应充分分析必要性,尽可能减少个人数据的采集和使用。然而,一味追求数据最小化难免会导致产品的核心功能受到影响,进而对用户体验造成影响。因此,遵循数据最小化原则的难点在于平衡产品功能体验和数据必要性。
换句话说,就是在产品设计环节尽量采取不涉及或少涉及个人数据的方式实现产品功能。例如,某产品会根据用户的年龄提供不同类型的服务,在此产品设计中,可以考虑为用户提供年龄段选项的方式替代输入出生年月的方式,以降低采集个人数据的精确性,进行数据必要性和功能体验的平衡。因此,为了更好地寻求两者平衡,要求DPO具备一定的产品设计相关知识。
其次,DPO还应熟悉产品整体研发流程,并推进隐私设计理念(Privacy by Design,PBD)在企业的实践。GDPR的第25条明确指出,需要企业遵循PBD,将数据合规有机融入设计中(Privacy embedded into design),并实现全生命周期的保护(Full lifecycle protection)。
为了践行PBD,首先需要参考PBD的七个基本原则,其中第一条为主动预防而非响应式补救(Procative not reactive,preventative not remedial)。如果将隐私清单和数据处理活动的数据以及合规评估理解为响应式(Reactive)工作,那么,PBD更强调的是主动性(Proactive),主动将数据主体权利以及数据保护工作融入产品全生命周期,这就意味着需要在产品需求分析、技术方案设计、产品研发、测试以及发布上线等环节选择合适评估和检查点,因此,这无疑是对DPO对产品研发全流程的熟悉程度提出的新挑战。
三、企业隐私安全技术路径
技术能力是DPO开展工作的基础要求,此外,DPO需要思考如何系统化开展隐私安全相关工作。结合GDPR、《信息安全技术 个人信息安全规范》的内容和企业隐私合规的实践,可以将全部工作划分为评估准备、差距分析、形式合规以及产品合规四大类,分别对应梳理现状、合规评估、符合监管以及合规能力建设四个阶段。如果将符合监管作为分界点,不难发现,在此之前的评估准备和差距分析主要是以响应的方式应对监管的检查,可以归类为响应式(Reactive)工作;而PBD的更多工作是建设企业自身的合规能力,为企业能够持续合规提供强有力的体系支撑,也就是主动式(Proactive)工作的部分。
1. 梳理现状:评估准备工作
这部分工作主要是对企业隐私数据的采集、存储及处理活动进行综合梳理,为后续的合规评估以及合规差距提供基本的评估材料,具体包括以下三个子项:(1)隐私数据清单梳理。企业采集了哪些隐私数据、具体的隐私数据类型及数量、隐私数据存储分布等;(2)数据处理活动梳理。哪些数据处理活动涉及隐私数据、是否将数据转移到欧盟之外的地区等;(3)数据保护措施梳理。数据存储是否安全、是否采取加密存储、如何防范非授权访问、是否有采用匿名化、数据脱敏等。
2. 合规评估:合规差距分析
这部分工作主要是基于现状梳理产出,结合数据主体权利、隐私风险评估以及数据保护有效性进行综合评估,最终产出隐私影响评估及差异分析报告,并结合企业真实情况对数据采集、数据处理的必要性、合理性以及数据保护的技术措施进行逐一说明,以充分展示企业在隐私合规上的积极态度以及已经开展的各项工作。
3. 符合监管:形式合规
这部分工作主要是完善合规要求的各项规范性文档,在指导各项工作开展的同时,以备监管机构检查,具体工作包括:对用户隐私条款进行更新和确认;在用户隐私协议中明确对收集和存储数据类型、收集数据目的、数据处理的方式、数据保护措施、是否会转移数据到监管要求以外地区以及用户如何行使数据主体权利进行充分说明;并针对PIA、跨境数据转移、数据泄露应急和个人数据保护等多方面的内容形成规范性文档。
4. 合规能力:产品合规
从产品合规的角度,这部分工作更加关注建立并提升企业自身的合规能力,以维持企业持续合规的状态,而其中的关键就是PBD,在企业开展各项工作时,应充分考虑数据主体权利和隐私保护工作。
综合来看,为了提升企业自身数据合规能力,可以基于企业现有的产品研发流程,在此基础上增加隐私需求评审、数据主体权利及隐私保护方案设计评审、隐私合规编码规范、隐私保护测试用例以及产品上线发布之前的隐私影响评估等环节和规范要求。
四、结语
合规工作涉及企业的方方面面,从法律解读到制定策略制度,从产品功能调整到更新隐私协议,从内部数据梳理到隐私保护,从隐私风险评估到隐私影响评估,各项工作跨越了企业内部多个部门,并且需要法务、产品经理、业务团队、技术研发、IT运维等多类角色共同配合来完成。这无疑是一项庞大的系统工程。面对如此巨大的挑战,DPO作为企业数据合规的“领头羊”,不仅仅需要能快速识别合规风险并采取相应的改进动作之外,更重要的是,逐步在企业内部树立合规的理念。
(本文刊登于《中国信息安全》杂志2019年第2期)
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点