诸子笔会2023 | 陈圣:现代企业管理中的数据隐私和信任
自2023年4月起,“诸子笔会2023第一季”正式拉开帷幕。10位专家作者组成新一届“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取万元高额奖金以外,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
现代企业管理中的数据隐私和信任
文 | 陈圣
陈圣
中通快递高级安全专家,15年以上内控及内审监察、IT审计、信息安全管理等工作经验,目前深耕并专注于网络安全、隐私保护、数据合规管理、风险评估等领域。
在已经发布并实施的国内外法律法规、个人信息保护、数据合规及相关涉及隐私保护规范和标准的同时,用户不断增强的自我保护意识也逐步上升到一个前所未有的高度,企业终究是无法再随意收集用户数据了。不合规不仅会给企业带来上亿的罚款,糟糕的数据隐私管理方式还会使企业成为网络犯罪分子的目标,并随时有可能损害企业来之不易的客户声誉(信誉)。
有没有发现一个问题?随着ChatGPT等智能AI的普及,我们生活和工作的时代发生的变化比以往任何时候都快。在技术领域、数字领域、隐私领域更是如此,因为云以及机器学习和人工智能方面的能力。使企业和个人能够比以往更快地学习和创新。与此同时,用户的期望和需求也越来越高,他们希望联系更紧密、意识更强、工作效率更高,并且可以更自由地以最能赋予他们能力和权力的方式实现目标。
随着企业为用户提供更具赋权和变革性的工作体验,企业在用户使用的所有设备上为员工赋权的方式正在迅速改变。企业希望采用一致且统一的方式在所有设备上为用户提供支持,并且正在寻找有关实现这一目标的最佳方式的指导,既授权又安全。所有的体验都有一个最为基础的需求,那就是安全。从人身安全到隐私安全,这些都离不开常被称为现代化管理的范畴。现代管理的重要前提就是合规性,它使IT能够将企业数据治理环境更好地转变为“受用户喜爱,受IT喜爱,受所有人信任”的整体。
现代管理和安全的核心是为用户提供安全的信息保障,使他们能够在使用公司产品和系统上取得更多收益,同时为企业的资产提供所需的安全和保护。用户喜欢这种体验,比如说绝大部分苹果手机用户都认为其是非常安全的,以美国联邦调查局FBI要求解锁某嫌犯的苹果手机却遭到败诉为例,用户可以在他们想要的地方、时间和方式使用你的产品,而不会减少功能或体验。IT喜欢这种体验,因为它提供了一种通用且一致的方法和工具,横跨所有设备管理和处置隐私数据,同时还提供他们所需的安全和保护。用户和IT信任此解决方案,因为用户的隐私及组织的数据和资产都是安全的。
因此,隐私合规管理及数据合规很重要——实际上我们又是如何做到的呢?数据隐私管理是使组织能够真正遵守隐私法律法规并实施其要求的一系列组合拳,或者我将之称为实践方法论。在此,我简单根据自己对隐私管理和数据管理相关书籍学习阅读过程中的所见所想跟大家聊一聊,在我们现在所处的大环境下,什么是数据隐私管理?为什么它很重要?及它与数据安全有何重叠等等方面。
数据隐私管理是什么?数据隐私管理涉及很多方面:
1、所有信息收集和使用的前提就是征求同意——收集用户的个人信息前要做的首要关键事;
2、保护用户的个人数据——老调重提,就是用户的信息企业必须要保证安全;
3、做到及时性响应安全漏洞——安全漏洞不胜枚举,你要做的事就是及时补丁;
4、明确用户个人信息的存储位置——要会“藏”,藏的时候需要借助于专业的加密工具及物理环境保障;
5、了解隐私信息被转移到哪里——全生命周期的维护;
6、运用是否合规——隐私数据的治理工作量巨大,需要合理合法地进行应用。
除了以上所说,Gartner的相关定义其实是将隐私管理作为一个框架或工具,使组织能够评估其数据处理活动,并确保其符合隐私法规。所以站在管理学的角度,这其实就是运用一种结构化的方法,将几个学科结合成框架和政策,使组织能够满足法规遵从性,保护个人权利,以及在各种业务场景下,满足合作伙伴或客户的隐私保护的需求。
为了促进企业内部的数据隐私管理,企业必须进行数据隐私影响评估,履行个人的隐私权,并分析和记录企业数据的流动,包括个人信息和敏感信息的数据,例如:隐私政策,个人信息处理的目的和保留及使用的相关政策。隐私管理工具的使用可以进一步帮助企业及时、准确地跟踪、补救和报告数据泄露事件,并为员工和用户制定成文的隐私政策,履行告知义务。
众所周知,隐私管理跨多个部门及不同的团队,一直到企业层次结构的底层,涉及请求或管理客户数据的人员及方方面面。隐私管理计划可能包括数据保护官DPO、隐私官CPO、合规负责人CCO、隐私分析师CDPSE和安全架构师等。由于涉及多个团队和部门,除了数据摄取点和数据本身的数量不断增加,传统的手动操作驱动的隐私管理工具可能会导致部门之间的沟通不畅,增加处理数据隐私问题的人为错误和更多的违规机会。我想说,现代化、自动化的隐私管理可能是唯一可行解决方案,以确保在整个企业内统一落实数据隐私政策,并最终确保遵守适用的个人信息保护法或外部国家的隐私法案等。
企业在建立管理框架的同时需要建立隐私管理框架——数据的巨大扩散使得企业很难跟踪公司数据,包括个人信息和敏感个人信息。如果没有对数据的深入了解,企业很难评估哪种数据类型受哪种监管要求的约束。如果没有一个完善的隐私管理解决方案,没有这些见解或确保法规遵从性的后果可能是相当严重的。在任何隐私管理框架的核心,都需要有一定的基本原则,使框架保持在一起,使其透明,增加可信度,并确保组织的数据处理活动符合全球隐私法律。根据大多数全球数据隐私法(包括GDPR和个保法),其中一些原则包括:
一、合法性、公正性和透明度:各企业必须确保其数据收集和处理活动一定是“合法、公平和透明”。为了确保合法性,企业必须有处理个人数据的权限(授权)。仅仅因为他们能够收集个人的个人数据并不意味着他们应该这样做,需要有与其业务职能相关的理由或合法理由来证明其数据收集和使用是合理的。为了做到公平和透明,组织必须确保他们对用户保持透明,他们的隐私政策对用户来说易于访问和理解,包括关于数据收集、数据处理、数据控制者、第三方和数据主体权利的所有细节。
二、目的限制:各企业只能为任何合法、具体或明确的目的收集和处理数据。
三、数据最小化:必须确保数据范围及目的有限、相关性和充分性,足以实现收集数据的处理目的。
四、准确性原则:要求各组织检查数据的正确性和完整性,如果不正确,则必须及时删除或更正。
五、存储限制:数据只能存储或保留到实现收集目的为止,在实现处理目的之后不得保留。
六、完整性和保密性:各组织应采取数据保护措施,防止数据泄露和未经授权的访问。
我们再来说说隐私与数据安全。虽然两者重叠,但隐私和数据安全并不是同类词。尊重隐私权意味着将个人数据的控制权交还给个人。它使他们能够决定如何以及何时可以使用和共享他们的数据。在保护个人数据隐私方面,责任很大程度上取决于我们所需要遵守的具体法律。法律可能会为消费者提供某些权利而不是其他人,可能会规定某些最后期限,规定具体的保护措施或由用户自行决定等等。
数据安全意味着保护个人的数据免遭盗窃、未经授权的访问或损坏。与数据隐私相反,企业将在如何保护用户信息及数据方面拥有更广泛的授权,除非您受到更具体的监管。隐私和数据安全齐头并进难分伯仲,通常,数据隐私法要求遵守最低级别的安全措施,尽管这些法律通常将安全措施的具体细节相告知。此外,当人们遵守隐私相关法规时,还可以最大限度地减少可能在数据泄露中暴露的个人数据。
大家都听说过知名公司因数据泄露而被罚款,这是因为违规行为可能暴露了不合规的安全性及个人信息的不合规使用。数据隐私管理支持这方面的数据安全,如果企业有一个规范、全面的数据隐私管理流程,那么企业内部自然而然地变得更加安全。企业了解高风险数据所在的位置,能够将其作为工作目标以提高安全性和警惕性;此外,一旦数据不再有用,就会成为企业的风险来源和攻击者的诱人目标。
数据隐私管理是一个复杂的过程,不是一个人可以完成的事情。法律团队、技术团队、人力资源、开发——几乎任何公司的任何团队都会在某个时候涉及数据隐私。
最大限度地降低风险需要围绕不同团队的数据隐私责任进行积极的沟通和协作。以下几本书籍,可以很好地给到我们借鉴和启发。
编辑:何渊、陈皓
出版:上海人民出版社
《亚太数据合规手册》介绍了日本、韩国、印度、澳大利亚、新加坡、越南等亚太主要国家,以及我国香港和澳门地区的《个人信息保护法》《网络安全法》等数据相关立法,为研究数据立法提供理论储备和参考依据,更为中国企业未来在亚太国家的数据合规提供实践指导。
从法律业务看,不正当竞争和反垄断、重组并购、企业上市、刑事辩护、侵权法、知识产权、企业合规、诉讼仲裁等领域都可能涉及数据合规问题。
作者:IT Governance隐私小组/刘合翔译
出版:清华大学出版社
这本书对GDPR进行了详细的评论,解释了企业,特别是涉及欧洲国家业务需要对数据保护和信息安全制度进行的更改,并确切地告诉需要采取什么措施以避免严重的经济处罚。产品概述EU GDPR?C实施和合规性指南是该数据保护法清晰而全面的指南,解释了该法规,并通过易于理解的术语列出了数据处理者和控制者的义务。任何组织中接触个人数据的人员都应该掌握相关知识。
作者:雪莉·大卫杜夫(Sherri Davidoff)/马多贺等译
出版:机械工业出版社
数据泄露会影响组织的经济,浪费资源,破坏组织的声誉。世界上的每个组织都面临着数据泄露的风险,因此开发出有效、可扩展的策略来管理数据泄露是至关重要的。本书介绍了真实的企业数据泄露案例,读者在了解这些案例的过程中,会深刻地明白,为什么数据等于风险,影响数据泄露的五个因素,数据泄露为何是危机也是机遇,数据泄露响应模型DRAMA的含义,常见的数据泄露,针对特定行业数据泄露的响应策略,以及技术供应链上的风险转移。
推荐阅读
2023诸子笔会第一季
【5月主题:读书会:我读过的管理书】
杨文斌 刘志诚 于利新 孙琦
刘顺 李玲 王忠惠 李彦斌
【4月主题:读书会:我读过的专业书】
杨文斌 刘顺 于利新 刘志诚 孙琦
王忠惠 李玲 李彦斌 陈圣 赵锐
推荐阅读
2022第二届诸子笔会
推荐阅读
2021首届诸子笔会