自2018年起,作为咨询顾问,作者参与了几个规模不等的GDPR合规项目,忙碌之中总结了部分体会和经验,在此抛砖引玉一下吧。
虽然关于GDPR的介绍和文章有很多,但作为开场白,还是想先聊一下我们对GDPR的理解和合规认识。
人们提到GDPR,总会和“史上最严”的字眼关联起来。我认为更恰当的说法是“影响最广、要求最全、罚金上限最高”。GDPR虽然列出了2000万欧元或全年营业收入4%这个最高罚金上限,但我们要知道,罚款只是数据监管当局惩戒的手段之一,另外还有警告、限期整改、收回认证、等多种行政处罚手段。另外,如果企业开展了持续的有效的数据保护管理工作,那么即使发生严重数据泄露事件、或受到大量的起诉,只要应对态度积极,并能拿出充分的有力的数据保护措施的实施证据,也能很大程度上帮助企业获得处罚的减免。
数据保护合规工作,不只是避免受罚受起诉,更重要的意义是保护企业的声誉,建立市场和客户的信心,获得国外,特别是欧盟市场的入场券。从长远来看,不久的将来我们会进行数权时代;营利性企业、特别是坐拥大量个人数据的互联网、大数据企业,将要在数据使用上受到更多规则约束,支付相应成本。而现在就开始,做好数据合规工作,也是为数权时代的到来做好准备。
除了GDPR,近两年世界各国家地区也将数据保护作为重要的标准建设和立法工作内容。跨国企业在数据保护过程中,要面对的往往是多重的标准、法规。这也增加了合规工作的难度。
在中国,今年两会中,已将个人数据保护纳入立法五年规划。最近几年,国内关于个人信息保护的案件也层出不穷。相关监管、执法机构也开展了很多切实的工作。
我们国家的信息保护,一方面是保护涉及国家安全、社会稳定的信息保护及言论传播;另一方面是严打涉及信息黑产的信息盗取、泄露、贩卖等案件。
个人数据保护工作中的这11个难点,也是数据合规工作中的重点。下面将针对这些难点重点,浅述一下我们的实践方法。
首先澄清一点容易对合规项目产生的误解。合规项目一般受时间、人力、经费所限,不可能一步到位为企业建立完整的数据保护体系。一般只是帮助企业发现合规中的差距、找到改进的方案,建立起合规的管理体系,制定出相应的流程和规则,但具体的执行与贯彻,还是要依靠企业自身的运作来进行消化、渗透。将数据保护工作融入到企业的日常工作当中。
数据保护合规项目,与其它管理体系对标项目的实施过程很相似,但最重要的不同是前两步:摸清家底和场景匹配。即企业的各个产品、服务、业务活动中收集、处理的哪些个人数据,其目的、规模、操作、传输、保护的具体现状是什么样的?还有就是,在企业的业务场景中,分别要遵守哪些具体的法律、法规的要求?
GDPR中提出了by design andby default 的数据保护。满足这一要求的七大原则,要贯彻在业务和产品的全生命期中的每一个环节。
参考国外相关机构提出的数据保护框架,我们将其定义为七个检查点。匿名化的数据在GDPR中不受约束。但对于尚未或不能匿名化的数据,我们可以从以上七个点来检查数据保护工作是否到位了,是否有违规的风险。
以上是我们总结的三个七,下面针对三个重点问题,我再多罗嗦几句。
数据保护官不是必须设立的职位,但数据保护官的职责要在企业中有人来承担。可以是几个人或几个部门分担;可以全部由企业内部人员承担,也可以由外聘专家来承担部分职能。DPO 不是背祸侠,这个职位在企业中要有独立性,最重要的职责有两个:一是监督数据保护措施的执行,二是提供数据保护相关工作的咨询。那么谁是数据保护责任的Owner呢?不是DPO,而是各个产品、各个业务的主要负责人,如产品经理、业务主管等,因为这些人是对产品对业务负全责的,他们是数据处理的决策人,也是数据保护措施执行落地的主推力量。并不是每个数据处理都要进行数据保护影响评估。但要有机制保证企业对大规模的、涉及敏感或特殊类型数据的处理的工作,都能进行有效的评估。一般来说,要对新的或进行重大改变的服务、产品或业务活动先做一个初评,看其中是否会涉及大量的个人数据的收集、处理,是否涉及敏感或特殊数据的收集、处理,或是否涉及自动化决策、用户画像等处理方式。如果涉及,那么才要触发正式的数据保护影响评估。
参考传统的风险评估模型,我们设计出这个理论化的数据保护影响评估模型。但是实践中,这个模型要结合具体业务场景和企业情况进行修改和定制。做评估的目的不是为了排出风险的一、二、三。而是要找到相应的脆弱点,并提出可行的解决措施。我们听到的关于个人数据或个人信息保护不利的案例中,大部分是数据泄露案例。而国内大部分企业还没有数据泄露的处置预案。对于数据泄露,决不仅是IT部门的工作,它更是整个企业,包括高管层、业务部门、IT部门、法务、人力、市场公关等众多部门的团队作战。可以将数据泄露场景与业务连续性计划结合起来进行设计、实施、演练、维护。
作为采集个人数据的重要渠道,cookies的使用在GDPR中专门有要求。国外已有公司提供cookies设置的产品化服务,帮助企业快速实现官网的cookies功能升级。移动设备在应用场景中变得越来越重要。通过智能手机或平板电脑进行产品和服务的提供与交互已经成为普遍现象,移动APP也成为数据保护的重要监管对象。类似对cookies的使用管理,埋点技术的使用是移动应用中的要重点梳理和分析的部分。APP从设计阶段就应开始对埋点进行规划和控制。在国外,专门的身份盗用监控服务,帮助个人用户监控网上是否有人冒充他/她的身份进行交易等各种非法活动。甚至这种监控可以覆盖到暗网。当企业不幸发生了数据泄露,并已评估出确实会对个人用户产生个人身份冒用风险时,企业可以为个人用户购买这种服务以保护用户的权益。
以上只是我在工作中的一点浅见。欢迎各位老师、同行的交流、指正。数据保护是项繁杂、长期的工作,也是一个聊不完的话题,欢迎加我微信,有时间我们喝杯茶,慢慢聊。
(欢迎大家加入数据工匠知识星球获取更多资讯。)
联系我们
扫描二维码关注我们
微信:DaasCai
邮箱:ccjiu@163.com
QQ:3365722008
我们的使命:发展数据治理行业、普及数据治理知识、改变企业数据管理现状、提高企业数据质量、推动企业走进大数据时代。
我们的愿景:打造数据治理专家、数据治理平台、数据治理生态圈。
我们的价值观:凝聚行业力量、打造数据治理全链条平台、改变数据治理生态圈。
了解更多精彩内容
长按,识别二维码,关注我们吧!
数据工匠俱乐部
微信号:zgsjgjjlb
专注数据治理,推动大数据发展。