基于GDPR和个人信息安全规范的员工数据治理思路
随着互联网络科技的迅速发展,互联网络已经深入到千家万户,许多人的工作和生活已经离不开互联网了。身处互联网飞速发展的变革时代,无论是国内还是国外,个人敏感数据信息泄露事件频发,个人信息泄露问题也日渐加剧,加强个人信息保护刻不容缓,如何有效的采取措施规范个人数据信息管理,已成为全球性话题。
本文首先介绍了国内外个人数据保护的一些法律法规以及当前个人数据保护面临的严峻挑战,然后对现阶段员工数据治理现状进行了剖析,最后站在信息系统的角度,提出应建立更加规范的员工主数据标准管理体系这一解决思路。
一背景:个人数据保护浪潮来袭
GDPR的英文全称是“General Data Protection Regulation”,中文名称为“通用数据保护条例”,它由欧盟于2018年5月25日正式推出生效,该条例适用于欧盟经济区的20多个成员国约5亿多人,目的在于遏制个人信息被滥用,保护个人隐私。
GDPR对个人信息的保护及其监管达到了前所未有的高度,同时也扩大了对于用户个人数据的定义,按照GDPR的定义,以下几种类型的个人隐私数据属于GDPR的保护范畴:
基本的身份信息,如姓名、地址和身份证号码等
网络数据,如位置、IP地址、Cookie数据和RFID标签等
医疗保健和遗传数据
生物识别数据,如指纹、虹膜等
种族或民族数据
政治观点
性取向
GDPR要求企业必须将个人的IP地址或cookie数据等信息与其他用户机密数据(如姓名、地址、电话等个人数据信息)保持相同的保护等级,企业在收集、存储、使用个人信息上要争得用户的同意,用户对自己的个人数据有绝对的掌控权,用户享有的权利包括查阅权、被遗忘权、限制处理权、数据移植权等。
国内在个人数据保护方面也设定了一些法律法规。由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行的《中华人民共和国网络安全法》是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展。
《网络安全法》要求网络运营者对其收集的用户信息严格保密,建立健全用户信息保护制度;规定网络运营者收集、使用个人信息应遵循合法、正当、必要的原则,即网络运营者收集使用个人信息应符合法律规定或经过被收集者同意,收集使用个人信息的目的、方法和内容应当公开,不得超出目的范围收集使用个人信息;网络运营者在收集使用用户信息时,应确保个人信息安全,防止个人信息泄露、损毁、丢失,出现安全风险时应立即采取补救措施进行有效处置,并及时告知用户,报告相关部门;向他人提供个人信息时应当征得个人的同意。
另外,2019年4月10日,公安部网络安全保卫局、北京网络行业协会、公安部第三研究所在“全国互联网安全管理服务平台”官网联合发布《互联网个人信息安全保护指南》。该指南旨在进一步贯彻落实《网络安全法》,指导个人信息持有者建立健全公民个人信息安全保护管理制度和技术措施,有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益。
而由全国信息安全标准化技术委员会组织制定和归口管理的国家标准GB/T 35273-2017《信息安全技术 个人信息安全规范》于2017年12月29日正式发布,2018年5月1日实施。《个人信息安全规范》中重点对个人信息控制者在开展收集、保存、使用、共享、转让、公开披露等个人信息处理活动中应遵循的原则和安全要求作了详细的阐述,旨在遏制个人信息非法收集、滥用、泄露等乱象。
《个人信息安全规范》对个人信息、个人敏感信息、个人信息控制者、收集、去标识化等内容做了严格定义,并分别从收集、保存、共享、使用、转让、委托处理等各环节提出了相应要求,并提出了与组织相关的管理要求,还提出了个人信息安全的七大原则,强调到权责一致原则的重要性,一旦发现侵害到个人信息主体的情况,个人信息的控制者就要承担相应责任。《个人信息安全规范》的制定是以解决问题的实效性作为根本的出发点,兼顾了与国际接轨的全面性和对自身要求的可操作性、平衡发展的需求,有效的指导组织如何正确提升个人信息保护水平。
二挑战:国内外个人数据保护形势严峻
互联网时代,拉近了人与人之间的距离,消除了彼此的陌生,促进了世界性的互联互通。随着互联网行业和各种新技术的发展,个人信息泄露问题也逐渐加剧,个人数据信息保护俨然已成为非常严肃的公共话题,个人、企业及社会都无法再回避这一严峻挑战。
互联网应用的普及和人们对互联网的不断依赖,使得个人数据信息经多种途径被不法泄露。当前,个人数据信息的泄露主要通过人为倒卖、手机泄露、电脑病毒感染和网站漏洞等途径实现。自互联网技术的问世和飞速发展以来,无论是国内还是国外,由于信息安全漏洞造成的个人敏感数据信息泄露事件频发,笔者根据近两年网上曝光的案例素材进行了归纳整理,有的泄露事件是内部人员通过不法手段获取个人数据信息,有的则是外部威胁造成的数据泄露,比如非法侵入数据库,传播电脑病毒等,如下表所示。
表1 国内个人数据信息泄露案例
内/外 | 时间 | 事件 |
内部威胁 | 2017年11月 | 趣店百万学生的数据包括借款金额、父母电话等信息,疑似内鬼报复所为 |
2018年1月 | 某地方卫生系统出内鬼,泄露50多万条新生婴儿和预产孕妇信息 | |
2018年2月 | 某员工私自转让公司权限给朋友,致使30余万条医生数据泄露 | |
2018年12月 | 某科技公司内鬼窃取500余万条个人信息,并在网上售卖 | |
外部威胁 | 2017年4月 | 黑客CosmicDark在网上售卖从优酷窃取约的1亿用户账号,售价约2000元人民币 |
2018年1月 | 某手机厂商称:4万消费者的信用卡数据泄露 | |
2018年8月 | 某知名酒店集团5亿条数据泄露 | |
2018年9月 | “XX驿站”一千万条快递数据被非法窃取 |
谈到国外数据泄露案例,相信大家对轰动全球的Facebook数据泄密事件有所耳闻。2018年3月中旬,《纽约时报》等媒体报道称数据分析公司Cambridge Analytica获得了Facebook数千万用户的数据,并进行违规滥用,随后Facebook创始人扎克伯格承认了数据泄露事实并登报致歉,事件发生后,Facebook的股票也应声下跌,两个交易日市值蒸发了500亿美元。同样的,笔者根据近两年网上曝光的案例素材整理了国外各行业发生的典型个人数据信息泄露事件,如下表所示。
表2 国外个人数据信息泄露案例
行业 | 时间 | 事件 |
政府机构 | 2017年2月 | 新加坡国防部I-net系统遭到网络攻击,850名用户数据泄露 |
2017年7月 | 美国9个州超过4000万选民的被窃信用卡数据和登录凭证在地下论坛进行交易 | |
2018年12月 | 法国外交部称紧急联络人信息数据库遭黑客入侵 | |
电信运营商 | 2018年1月 | 电信巨头加拿大贝尔公司数据又被泄,近10万用户受影响 |
2018年1月 | 俄罗斯电信公司意外暴露数千名富豪客户个人信息 | |
2018年2月 | 瑞士电信证实80万数据被盗,涉全国1/10公民信息 | |
互联网 | 2017年3月 | 美国求职网站America's JobLink泄露480万笔求职者信息,波及10个州 |
2017年6月 | 配置Hadoop分布式文件系统的近4500台服务器,暴露超过5120TB的数据 | |
2018年9月 | Facebook披露严重漏洞:黑客可控制5000万用户账号 | |
2018年10月 | 谷歌关闭个人版Google+:因50万用户数据遭到曝露 | |
交通物流 | 2017年12月 | 日产加拿大分部的车辆融资部门被黑客入侵,多达113万名客户的个人信息被黑客窃取 |
2018年9月 | 38万笔用户支付信息失窃,英国航空公司道歉 | |
2018年5月 | 欧洲铁路系统遭遇黑客攻击,大量旅客数据泄露 | |
金融 | 2017年3月 | 日本支付服务提供商GMOPayment Gateway公司因被黑客攻击,导致10万条信用卡信息数据被窃 |
2018年5月 | 澳大利亚联邦银行遗失了1200万条用户银行数据 | |
2018年5月 | 加拿大两家银行遭黑客勒索,9万名客户信息被盗 | |
医疗卫生 | 2017年3月 | 数千名英国国家医疗服务体系(NHS)医疗专业人员的信息被窃取 |
2018年5月 | 美国医疗公司LifeBridge Health泄露近50万患者个人信息 | |
2018年8月 | 英国知名药妆店Superdrug近2万名顾客个人信息遭泄露 | |
制造业 | 2018年11月 | 巴西最大工业协会被指数据泄露,数千万个人信息可互联网访问 |
2018年6月 | 特斯拉起诉前员工:黑进内部生产系统盗取并泄露机密数据 | |
其他 | 2018年10月 | 国泰航空940万名乘客个人数据被盗,包含出行地点数据 |
2018年10月 | 3500万美国选民记录黑客论坛有售 | |
2018年6月 | 美国大数据营销公司因失误泄露2TB隐私信息,涉2.3亿人 |
通过上述个人数据信息泄露事件可以看到,当前个人数据信息泄露时事件涉及国内外和各行各业,这表明我们所面临的风险正在超过个人、企业或社会采取安全措施的保护能力,除非后续能够对目前所处的安全态势进行有效改善,否则防止数据泄露造成严重损害的责任将落在每一个个体上。
企业在经营管理活动中,积累和沉淀了大量的个人数据,同时,企业之间的数据交换和流动也日趋频繁,但大多数企业在如何有效保护和合理利用个人数据并减少泄露风险方面尚未形成成熟有效的管理体系,这将会给个人数据信息保护造成巨大的挑战。
三现状:员工数据治理现状分析
首先,举个大家可能都经历过的例子:刚刚注册登陆了某类产品服务的网站,或是完成了一项问卷调查,抑或是参加了某个免费的培训教程,在此过程中留下了姓名、联系方式(手机号或电子邮箱)、地址等个人信息,然后接下的时间,会有其类似产品或是上下游产品服务的广告以短信、电话、邮件等各种途径,推送各种广告信息,甚至是在浏览手机新闻网页信息时也会看到类似广告信息。
实际上,上面这个例子可能是大家遇到最多并已习以为常的关于个人数据信息泄露的事件,其中有的有的可能由于大意不小心泄露,而有的是有所需求而非主动泄露个人信息。就个人信息而言,姓名、生日、性别、民族、手机号、地址、身份证号等信息是我们在各个网站或信息系统注册登录时经常录入的关键个人数据信息,事实上个人信息涉及的面还是比较广的,《个人信息安全规范》定义的个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,下表即是个人信息示例。
除此之外,还有个人敏感信息,《个人信息安全规范》定义的个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,比如个人的银行账号、系统账号密码、指纹等,如下表所示。
我们都知道,保护个人数据信息不被泄露滥用的前提是做好个人数据信息的统一规范管理,是个人信息保护的第一道安全防线,这对于动辄拥有几万名员工的大型集团型企业而言尤为重要。
企业信息化建设发展到今天,已趋于成熟和完善,从企业协同办公系统OA到人力资源系统HR再到财务报销系统,都会涉及到员工基础数据信息,比如OA系统会记录员工的考勤情况,HR系统会记录员工的岗位职级情况,财务报销系统会记录员工的费用报销情况等。一些企业早期没有进行统一规划设计,大部分信息系统是逐步迭代建设的,系统建设时间长短各异,各系统的员工数据标准也互不相同,各系统的相互独立使用使得员工基础数据的属性信息设置和要求不统一,影响了各系统间的数据交互和统一识别。同时,企业各信息系统的员工数据不完整、不合乎规范,数据不可控及数据冗余等情况也造成了企业员工基础数据信息质量不高。
笔者曾参与某大型集团型企业数据治理项目,对其中的员工数据管理现状深有印象,该企业建设了多套满足企业运营管理的信息系统,这些信息系统都涉及员工基础信息,由于没有建立员工主数据标准管理体系,仅仅是员工编码这一项就有五花八门的编码规则,导致同一个员工在不同的信息系统有不同的员工编码,如下表所示。
还有其他员工基础数据信息,如出生日期、民族、学历、电话号码等,由于没有采用统一的员工数据标准,导致同一员工在不同信息系统有不同编码和不同的属性信息,严重影响了后续针对员工数据的统计分析和深入应用,也不利于企业对员工个人基础数据信息的整体管控能力。
四思路:建立更加规范的员工主数据标准管理体系
为了实现员工个人数据信息的统一集中管理,应在集团企业范围内建立更加规范员工主数据标准管理体系,从信息系统的角度出发,构建企业内部各类业务系统公共个人数据信息的载体,成为企业信息系统间实现信息互通、功能联动的重要个人基础数据根基。
搭建一套完整的员工主数据标准管理体系主要包括调研分析需求、规划数据治理蓝图、确定主责部门和人员、制定统一的数据标准和模型、梳理和清洗数据、搭建数据治理平台、建立数据运营管理体系等内容。结合上文提到个人信息和个人敏感信息,员工主数据管理包含了不同的属性信息,笔者着重阐述一下员工主数据标准。
员工主数据标准是员工数据管理工作的重中之重,通过主数据和数据指标标准化,才能为实现部门和系统间的数据集成和共享,打通企业横向产业链和纵向管控奠定数据基础。一般来说,员工数据标准制定工作可以围绕以下几个方面来展开:
1)标准名称:定义数据标准的名称规范,为每项主数据定义统一、准确的名称。
2)业务定义:明确标准所属的业务主题以及标准的业务概念,包括业务使用上的规则以及标准的相关来源等。
3)分类定义:进行主数据的分类定义,以便方便的数据识别和数据使用。
4)编码规则:为各类主数据制定统一、完善的编码规则,保证数据在各信息系统间传递和共享、唯一性的判断准则,最大程度减少数据重复录入。
5)数据模型定义:使用描述属性对各类主数据进行全方位定义,通过主数据基本属性的确定以及填写规范、数据校验规则的设计,保证数据使用过程中的信息一致性,减少歧义。
6)数据管理定义:明确各类主数据标准的所有者、管理人员、管理流程等,从而使数据标准的管理工作有明确的责任主体,以保障数据标准能够持续更新和改进。
7)数据来源:明确各类主数据的数据来源和数据生成的方式,以便制定合理的主数据管理模式。
如何准确的描述员工主数据信息并保证员工在企业各个信息系统“一人一码”,员工主数据模型定义是关键。需要强调的是,由于员工属性信息众多,并不是所有的员工个人基础信息都适合当做主数据来管理,实际操作过程中,一方面要满足员工主数据管理和共享利用的需求,另一方面需要紧扣企业实际业务情况。下表是某企业员工主数据标准模型表部分示例,员工的基本信息在企业数据治理平台进行集中管理。
除了员工的基本信息外,还有管理人才信息、专业技术信息、技能人员信息及组织机构信息等,如下表所示。相对而言,这些员工属性信息隐私性高、共享范围小,一般是由企业人力资源部门在专门的HR系统进行统一管理,当然如有需要,也可以将部分信息同步到数据治理平台进行集中分发。
值得说明的是,制定完善的员工主数据标准模型是非常重要的基础,后续在系统实现过程中一定要明确数据主责部门和人员的职责分工,建立数据认责管控体系,同时在系统功能应用层面,数据录入、数据下载、数据监控等都应设定相应的流程和权限,比如个人身份证号属于个人身份信息,无论是在数据治理平台还是HR系统,哪些人可以查询、哪些人可以下载、哪些人可以引用都应做好相应的控制。只有做好个人基础信息统一管理,构建完善的员工数据管理体系,才能最大限度的保护个人信息免遭泄露。
总结在当前个人数据信息保护形势愈来愈严峻的大环境下,涉及个人数据信息的立法执法越来越严格,与此同时,公民个人信息保护意识开始觉醒,企业应重视个人数据信息的合规管理,尽早建立企业员工主数据标准管理体系,筑牢个人信息保护的首道屏障。
为了便于读者更好的了解GDPR、个人信息安全规范等内容,笔者搜集并整理了以下4份相关文档供阅读参考:
01 General Data Protection Regulation(GDPR)
02 欧盟-《一般数据保护条例》(GDPR中译版)
03 中华人民共和国网络安全法
04 GB/T 35273—2017信息安全技术 个人信息安全规范
获取上述文档,关注本公众号(数据工匠俱乐部),后台回复“数据安全”即可下载。
联系我们
扫描二维码关注我们
微信:DaasCai
邮箱:ccjiu@163.com
QQ:3365722008
热门文章
我们的使命:发展数据治理行业、普及数据治理知识、改变企业数据管理现状、提高企业数据质量、推动企业走进大数据时代。
我们的愿景:打造数据治理专家、数据治理平台、数据治理生态圈。
我们的价值观:凝聚行业力量、打造数据治理全链条平台、改变数据治理生态圈。
了解更多精彩内容
长按,识别二维码,关注我们吧!
数据工匠俱乐部
微信号:zgsjgjjlb
专注数据治理,推动大数据发展。