| 关键词:数据 信息 个人 企业 安全 保护 协议 事件 处理 有效 |
![]() ![]() 随着大数据应用领域不断涌现新风口,数据合规话题讨论迅速升温。互联网、大数据、人工智能等信息技术正在引发新一轮科技革命,数据已成为国家基础性战略资源。大数据合规、用户隐私保护备受瞩目。
频发的数据泄露事件,日益严格的监管合规要求,灵活多变的业务和技术战略实施,迫使管理层将个人信息保护提上议事日程。个人信息保护,既不是单一的法律合规事项,也不能单纯通过安全技术方案解决。
纵观国内外有关个人信息保护的立法要求和实施标准,建立健全适应于业务和技术战略及发展的个人信息保护管理框架体系,落实常态化运行机制,自上而下,跨部门、跨地区有机联动,是有效开展个人信息保护、实现监管合规与业务发展共赢的关键。本文主要探讨数字化转型中,对于个人信息保护,企业应关注的哪些重点?并对企业提出部分合规建议。 ![]() 在数字化转型背景下, 个人信息保护给企业带来新挑战
个人信息安全事件频发!
随着互联网的普及,网民规模日益庞大,大量数据的获取、聚集、存储、传输、处理变得越来越迅捷。
中国已成为世界上产生和积累数据体量最大、类型最丰富的国家之一。大数据时代,个人信息已经成为重要的生产要素,因此,被泄露、被滥用的风险空前增大。比如,掌握了某个人的消费记录,就可以分析其消费需求和喜好,从而定向推送产品广告;掌握了某个人的健康状况,就可以向其推介特定药品和医疗信息。
2018年上半年,54%的中国网民在上网过程中遇到网络安全问题,其中遭遇个人信息泄露问题占比最高,达28.5%。
近年来,国内外发生了一系列个人信息保护相关事件,引发各界广泛关注。例如2013年“棱镜门”事件,2016年徐玉玉遭受电信诈骗案,2017年中国多家互联网巨头10亿条数据被暗网市场知名供应商双旗抛售事件。
特别是今年,国内外此类事件更为频发:支付宝年度账单事件引爆全民对于企业个人信息保护的“信任危机”;FaceBook数据泄露案涉嫌影响美国大选,震惊全球;华住酒店集团2.4亿条用户信息泄露案等,既加剧了人们对个人信息保护问题的担忧,也带来了巨大的信任风险和潜在的社会危机,已经成为影响国家公共安全的突出问题,人民群众对依法保护个人信息和重要数据安全的呼声日益强烈。
网络安全是企业进行数字化转型过程中不可避免或忽视的问题。网络安全的核心是数据安全,其中,又以客户个人信息安全为重中之重。
![]() 实施个人信息 保护应关注的重点
个人信息梳理是基础 个人信息梳理是企业厘清个人信息保护工作在企业内部所应覆盖的广度和深度的基础和前提。通过个人信息梳理工作,企业得以建立个人信息数据清单和数据流图,划定个人信息处理全生命周期(收集、使用、保存、传输、处置等)所涉及的业务和运营流程、信息系统及基础架构等,明确相关管控措施所应落实的具体范围。
治理架构是保障 企业应建立健全数据安全治理架构,定义各个层级、各个部门和人员的数据安全角色、分工和职责,建立恰当的绩效和考评机制,实现有效的资源配置,以保障数据安全管理工作能够有效建立和持续施行。
“内外兼修”是核心 不可否认,考虑到目前较高的国内外监管要求和企业自身较低的隐私管理成熟度,对于大多数企业而言,实现完全的个人信息保护合规必将是一个庞杂而长远的工程,涉及的战略层面、流程层面、执行层面和技术层面的变更也是复杂多样的。这其中,确有几项关键工作任务,企业应考虑尽快开展:
个人信息保护任重而道远,企业应立即行动,以有效防控与之相关的合规风险、财务风险和运营风险。
![]()
对企业的合规建议 大数据时代下,企业不仅需要注意防范对手和黑客的暗箭,还要小心自己在不知情的情况下侵犯了别人的权益。企业在数字化过程中,既要着重防止踩踏侵犯公民个人信息犯罪的雷区,也应当采取措施防止自身受相关犯罪行为侵害。 1. 数据获取环节 企业应当把控数据源头的安全,避免涉嫌“非法获取”公民个人信息。
2. 数据提供环节
3. 人员管理方面 在员工劳动合同中,对数据安全及保密相关的义务和责任进行规定。
4. 数据分级管理 数据分级对于数据安全而言不可或缺,我们建议企业均应该建立内部的数据分级机制,严格区分高度敏感信息、敏感信息以及一般的个人信息,分别对各等级信息设置配套的安全措施,并且严格按照数据分级情况进行数据共享或授权使用。明确负责的部门及个人,保障数据安全。
注: [i]“数据抓取”是指搜索引擎未经数据方授权,通过爬虫(spider)程序进行的,需要自行分析网页上的非结构化数据,并会在数据方的网页服务器的相关日志中体现访问记录的互联网技术行为。 [ii]Robots协议(也称为爬虫协议、机器人协议等)的全称是“网络爬虫排除标准”(RobotsExclusion Protocol),网站通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取。 [iii]新浪微博诉脉脉案确立的在OpenAPI开发合作模式中,第三方通过OpenAPI获取用户信息时应坚持原则。
参考资料: 1、企业数字化转型过程中的刑事风险之侵犯公民个人信息犯罪 作者:王伟、朱宣烨等 2、数字化转型中,企业如何应对个人信息保护新挑战? 作者:毕马威中国 3、开启大数据时代个人信息保护新的“对话窗” 来源:法制日报 (本文转载自:CIO发展中心) |
| 本文出处: https://www.toutiao.com/a6661332524221858315/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|