freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

隐私计划管理(一)--隐私治理
2023-06-29 20:59:52
所属地 上海

1.全球隐私现状

1.1隐私需求现状

隐私已成为全球范围内的重要议题。因此,组织无法再忽视相关法律法规以及行业最佳实践对于保护个人信息的规定。政府会继续实施更严格的法律法规,消费者也会继续要求其所选择的组织为自己的信息提供更多保护。因此,为满足此类要求,组织必须对其所保管的信息实施更多控制措施、流程和程序。迫于当前的诸多影响和压力,全球隐私团队必须尝试跟踪、管理和监测可能不断发生的动态变化。

1.2国际全面隐私法现状

根据IAPP官方2022年4月发布的全球综合隐私法映射图,能够通过该份报告看到目前全球约有143个国家或地区发布了全面的隐私保护立法,以下列出部分重要国家或地区隐私立法情况。

国家或地区立法名称主管机构
中华人民共和国中华人民共和国个人信息保护法中国国家互联网信息办公室 (CAC)公安部工业和信息化部
欧盟成员国通用数据保护条例欧盟数据保护委员会及各成员国数据保护监管机构
巴西General Data Protection Law国家数据保护局(ANPD)
加拿大The Personal Information Protection and Electronic Documents Act加拿大隐私专员办公室 (OPC)
新加坡PERSONAL DATA PROTECTIONACT个人数据保护委员会 (PDPC)
韩国Personal Information Protection Act个人信息保护委员会 (PIPC)

1.3美国隐私法现状

美国与欧盟和许多国家不同,从联邦层面美国目前没有统一的、综合的联邦层面数据与隐私安全立法,主要是通过行业立法和州立法来保护隐私。
美国联邦层面也在积极推进《美国数据隐私保护法》(American Data Privacy and Protection Act,以下简称“ADPPA”),该法案的目标是建立一个强有力的国家框架,保护消费者的数据隐私和安全,不过目前各州存在反对声音,其最终走向及效果仍需要时间来检验。

1.3.1美国行业立法

美国联邦根据行业特点,专门制定了行业隐私法律,以下为部分行业立法:

所属行业立法名称主管机构
金融服务The Gramm-Leach-Bliley Act(GLBA)FTC,联邦银行机构和其它联邦监管机构,以及各州保险监督机构
未成年人保护《儿童在线隐私保护法》(COPPA)FTC
健康卫生个人健康保险流通与责任法案 (HIPAA)HHS

1.3.2美国州立法

为保护本州居民个人信息权益,美国各州积极推进和完善自己的隐私数据保护政策,同时美国所有50个州都通过了数据泄漏方面的立法,以下列表为迄今为止已签署的法律:

所属州立法名称生效时间
CaliforniaCalifornia Consumer Privacy Act2020年1月1日
CaliforniaCalifornia Privacy Rights Act2023年1月1日
ColoradoColorado Privacy Act2023年7月1日
ConnecticutConnecticut Data Privacy Act2023年7月1日
IndianaIndiana Consumer Data Protection Act2026年1月1日
IowaIowa Consumer Data Protection Act2025年1月1日
MontanaMontana Consumer Data Privacy Act2024年10月1日
TennesseeTennessee Information Protection Act2024年7月1日
TexasTexas Data Privacy and Security Act2024年1月1日
UtahUtah Consumer Privacy Act2023年12月31日
VirginiaVirginia Consumer Data Protection Act2023年1月1日

下图为IAPP发布的美国州隐私法追踪地图:
image

2.隐私计划管理

2.1什么是隐私计划管理

隐私计划管理是一种将多个项目合并到一个框架和生命周期中的结构化方法,用以保护个人信息和个人权利。通过实施和维持合理的结构化隐私计划,组织能够遵守法律法规要求,满足客户预期,同时预防和减轻隐私风险。

2.2为什么需要隐私计划管理

  • 法律法规要求

    • 履行合规义务

    • 符合各地区隐私法

    • 降低员工和消费者诉讼的风险

  • 降低数据泄漏风险及开拓市场

    • 降低数据泄漏风险

    • 实现全球运营并进入新市场

    • 增加营收

  • 超越法律和合规

    • 增强企业品牌形象和公众信任

    • 增强消费者信任

    • 提高企业竞争能力

3.隐私计划框架

3.1如何做好隐私治理

要构建强大的隐私计划,需要从建立合适的治理计划开始,下图为治理计划建立路线:
image

3.2隐私保护愿景和使命

1.组织的隐私愿景和使命宣言至关重要,是奠定隐私计划的其余部分基础的关键因素。隐私愿景应符合组织更广泛的目的和经营目标,根据具体的业务发展方向,这些目的和目标可能会发生变化。
2.隐私愿景通常由若干短句组成,主要简单描述隐私部门的存在理由。组织的整体使命宣言或行为守则中也可能包含隐私的相关要求。
下表举例说明了部分企业的隐私使命和愿景声明。

企业名称愿景/使命
斯坦福大学以透明且符合道德标准的创新方式使用个人数据,助力斯坦福驾驭隐私领域充满活力的未来
微软助力全球每个人和每个组织达成更多成就。为此,我们正在建立智能云,重塑生产力和业务流程,以及提供更加个性化的计算技术。在此过程中,我们不仅会保持隐私的永恒价值,而且也会保留您对您数据的控制权
苹果隐私是每个人的基本权利,同时也是我们的一项核心价值观。因此,我们设计产品和服务的理念就是保护隐私,并坚信这才是真正的创新
腾讯腾讯一直以“数据向善”为原则。我们相信,用户信息安全与隐私保护是创造安全、优质产品及用户体验的首要前提。在此原则下,我们坚持保护用户数据的隐私和安全,对数据的使用始终坚持从用户受益出发,致力改善产品与服务,并严格遵守适用的法律及法规
中兴中兴通讯高度重视隐私保护,遵守业务所在国家和地区适用的隐私保护法律法规,将隐私保护作为“法律遵从、信任共建、道德履行”的重要基线
百度百度的使命是用科技让复杂的世界更简单。我们希望通过不断地研发新技术、推出新服务,以产品和业务不断提升的智能化推动您的生活更加高效、更加便利。 百度的愿景是成为最懂用户,并能帮助人们成长的全球顶级高科技公司。我们希望以多年的技术积累和持续创新的产品,为用户、客户、伙伴提供最贴心的服务;我们将一如既往的重视您的隐私的保护,并将持续提升隐私控制功能,使您可以控制您的隐私

3.3定义隐私管理范围

每个组织都应履行特定的合规义务,确保遵守相关法律法规,因此,您需要确认具体适用的隐私和数据保护法律法规。以下是用于确认范围的方式,包括以下两个步骤:

  • 确认收集和处理的个人信息

  • 确认适用的隐私和数据保护法律法规

3.3.1确认收集和处理的个人信息

3.3.1.1信息收集方式

为了解您的组织收集、使用、存储和以其它方式处理的个人信息,可根据组织实际情况选择不同的方式开展信息收集工作,以下列出两种不同的方式,它们各有优缺点。

  • 通过安排与职能部门(通常负责收集、使用、存储和以其它方式处理个人信息)进行信息收集访谈,以此确定数据在整个组织中的位置

    • 轻松自己麻烦别人,当然隐私管理是整个集团的工作目标

  • 通过第三方协助完成信息收集工作(外部咨询公司、数据自动化发现工具)

    • 适用于复杂的数据环境

    • 更具条理的数 据确认工作有助于形成更加准确、详细的数据清单、地图和其它辅助文件

    • 维护成本低

3.3.1.2部分关键问题

为提高效率,以下列出了部分关键问题以方便确定范围:

  • 谁负责收集、使用和维护有关个人、客户和员工的个人信息?

  • 收集什么类型的个人信息,收集信息的目的是什么?

  • 数据存储在哪里(应用程序、系统以及国家 地区)?

  • 数据传输的对象是谁?

  • 内部和外部谁有权访问数据(如第三方)?

  • 何时(例如,交易或雇用过程中)以及如何(例如,通过在线方式)收集数据?

  • 数据保留时间是多久,如何删除数据?

  • 目前有哪些保护数据的安全控制措施?

3.3.2确认适用的隐私和数据保护法律法规

为确认组织对于数据承担的相关隐私义务,除遵守当地数据保护和隐私法律外,对于向身在其它国家地区的个人提供服务的组织,或者在海外设有办事处的组织而言,可能还需要遵守全球隐私义务。
若您的组织计划在数据保护法规不健全或未制定数据保护法规的司法管辖区内开展业务,请按照可实现的最高标准制定组织的要求、政策和程序,而不是降低标准迎合业务所在国的隐私保护水平。最佳实践是选择限制性最强的政策,而不是限制性最弱的,这会减少组织所面临的隐私相关风险。
确认范围过程中同样面临着挑战,若想制定全球性计划需要了解文化规范、差异以及隐私保护方式。

3.4制定和实施隐私框架

为落实个人信息处理和保护过程中所需的控制措施,应通过合适的隐私框架制定有效的隐私计划,该做法具有如下优势:

  • 有助于组织从实质上遵守其适用的各类隐私法律法规

  • 通过体现组织在个人信息保护方面的重视,赢得信任,从而获得竞争优势

  • 支持对利益相关者、客户、合作伙伴以及供应商提出的商业承诺和目标
    可使用NIST的《隐私框架》确认和管理隐私风险,该框架是供各种规模的组织广泛使用的自愿性工具,并分成三个关键部分:

  • "核心"隐私保护活动,隐私计划应考虑此类活动,并以此为基础

  • 关注"概况",这部分是组织希望基于风险偏好、未来预期和资源等因素定制的活动

  • "层级",该部分要求组织考虑可在特定情况下实现的运营成熟度水平,同样以关键标准为依据

此外可将隐私保护设计(又名“Pbd”或“数据保护设计”)加入到隐私治理框架中,Pbd是一种根据七大基本原则制定隐私计划和设计系统的方法,Pbd的总体意图是确保在生命周期开发的各个阶段(即系统、产品、特征和流程)考虑隐私要求和相关因素,七大基本原则如下:

  • 主动而非被动;预防而非补救

  • 将隐私作为默认设置

  • 将隐私嵌入设计

  • 完整功能正和,而不是零和

  • 端到端安全全生命周期保护

  • 可见、透明 保持开放性

  • 尊重用户隐私以用户为中心

目前国际上也有其他一些隐私框架可供组织选择,如:" (OECD)《关于隐私保护和个人数据跨境流动指南》、(APEC)《隐私框架》、ISO/IEC 29101《隐私架构框架》等",同时国内也在逐步推出适合中国国情的隐私框架。

3.5制定隐私策略

下一步便是制定整体隐私策略,"一个链条的坚固程度取决于它最薄弱的环节 ",这句话非常适合形容组织处理隐私计划的方式,本质上隐私策略是一种组织用于沟通和
支持隐私计划及其愿景的方法,具体的隐私策略包括但不限于以下各项:

  • 为隐私团队提供资源和装备

  • 为重要的隐私强化资源和技术提供资金

  • 开展培训和意识教育,并对未能遵守隐私政策和程序的员工追究责任

  • 确保业务联系人数据的安全,并尊重这些个人的选择

  • 整合有效的安全控制措施,构建安全的网站,以及创建适当的解决方案

  • 保障个人数据(硬拷贝和电子方式) 在收集、存储和传输过程中的安全

3.5.1确定利益相关者和内部合作伙伴

最有挑战的工作是认同“将隐私作为必要的业务条件”,因此在构建隐私计划和必要的支持性策略的过程中需要分阶段建立并与组织管理层成员乃至最高执行领导达成共识,大致工作内容如下:

  • 获得支持的最佳实践是从所在部门的最高领导开始,然后沿着管理链向上,必要时可进行初步的介绍说明,并获得认同/建议

  • 确定隐私计划发起人,计划发起人应该是理解隐私重要性的人员,还应成为您以及该计划的拥护者,通常情况下,发起人会在组织内担任风险或合规主管,也可由首席信息安全官、首席合规官或总法律顾问共同担任计划发起人

  • 开发内部合作伙伴,以下是一些最佳实践:

    • 参考其他组织处理和查看个人信息的方式

    • 了解商业背景下的数据使用情况

    • 协助在持续项目中构建隐私要求,进而降低风险

    • 在提出减少个人信息暴露风险的解决方案的同时,帮助员工实现自身目标

    • 邀请员工加入隐私倡导小组,推进实施隐私相关的最佳实践

  • 针对支持隐私计划开发和启动工作的利益相关者(包括专门的隐私委员会)定期举行研讨会,通过为组织定义隐私、说明市场预期、解答问题和减少混淆,以拉齐大家对隐私的认识水平

  • 关键的内部利益相关者组建指导委员会,以明确资产和责任的归属

3.6组建隐私团队

组建隐私团队通常是组织正规化其隐私处理方式的最后一个目标,根据具体业务需求为隐私办公室选取合适的治理模型,以及建立职责定义和报告关系的适当组织模型。

3.6.1隐私团队治理模型

根据自身的业务运营状况,考虑仅在特定地理区域内还是全球范围内应用该模型,无论选择哪种模型,均需考虑下述关键任务,确保所选模型最适合企业目的:

  • 邀请高层领导加入

  • 邀请利益相关者加入

  • 开发内部合作伙伴

  • 提供灵活性

  • 进行沟通

  • 开展合作

3.6.1.1集中式

集中式治理模式比较常见,特别适合单一业务的组织使用,在此类组织中,通常由同一小组完成规划和决策。只需一个团队或一个人负责隐私相关事务,其他所有人或组织都通过这个单一联络点开展工作。
优点:

  • 组织的运营效率高

  • 流程较简单

缺点:

  • 团队成员无法自行决策,必须寻求更高层级的同意

3.6.1.2分散式

分散式是指将决策权下放至组织的较低层级,分散式组织的组织架构层级较少,控制范围广,能够形成自下而上的决策和观点流动。
优点:

  • 可创建和管理自己的商业实践

缺点:

  • 存在重复流程

  • 效率低下

3.6.1.3混合式

混合式治理模型可以实现集中式和本地治理的综合运用,组织任命一名员工或者一个部门主要负责隐私相关事务,向组织其他部门发布政策和指令。然后由本地实体实施和支持来自该总部的政策和指令。
优点:

  • 减少了员工受到的外部干扰

  • 实现员工价值

  • 组织资源集中

  • 维护了共同的使命、价值和目标

  • 实现全球层面或本地层面的预期目标

  • 工作效率高

  • 保持决策的可见性和一致性

缺点:

  • 不适合单一业务组织

3.6.2隐私组织架构

在建立整体组织隐私模型时,必须考虑与策略、合作和管理相关的组织架构,明确职责和报告机制,以下是架构中各单元职位:

岗位职责
首席隐私官该岗位属于企业领导者,主要负责制定公司隐私策略,运行隐私计划。该岗位常见于大型全球性组织。需要注意的是,该岗位并非总是直接向执行委员会报告,具体取决于组织架构
隐私总监/经理该岗位属于中层岗位,通常向或同等职位报告,负责协助实施隐私策略计划。在大型组织中,该职位主要负责具体公司业务活动的一个特定子集(例如,广告隐私 经理)
隐私分析师该岗位属于初级岗位,通常负责协助战术性的隐私计划工作,比如通过研究协助制定关键决策,或帮助客户支持部门处理具体的隐私咨询
业务线隐私负责人该岗位属于高级管理岗位,常见于大型跨国企业,此类企业中往往存在多条业务线、品牌或独立区域
隐私/法律顾问组织通常需要法律专业知识来支持组成隐私计划的多个工作流(例如,开展第三方尽职调查, 就合同、泄露、事件、定期通知和投诉等事务与DPA进行协商)。这些岗位的人员可能在隐私团队,法律职能部门,或是外部顾问,或者是前述人员的组合,具体由组织决定
第一响应人该岗位主要为某些场景中的特定隐私流程提供支持(例如,事件响应团队成员)
数据保护官(DPO)该岗位通常专为有规定要求设立DPO一职的公司保留(例如,根据GDPR第三十七条的要求)
隐私工程师该岗位属于相对较新的岗位,侧重于在产品设计中涉及隐私要求的技术实施,负责整个组织中隐私保护原则的落实工作
隐私技术专家指在隐私保护技术或采用技术保护隐私方面发挥作用的技术专家们。包括但不限于审计、风险和合规经理/数据专家/数据架构师/数据科学家/系统设计师及开发人员/软件工程师/隐私工程师

组织利用具体框架高效地维持架构并开发必要流程。相关考虑因素包括:

  • 指挥层-由高级管理层、领导和执行团队组成,负责建立责任体系

  • 角色定义-明确职责的定义,确定个人预期和表现

  • 成果评估-用于确定优势和劣势,以及在必要时予以纠正或增强的方法

  • 组织架构变更-为满足当前目标,采用新技术或应对竞争,保持灵活并在必要时做出改变的能力

  • 重要性-复杂结构通常适用于大型组织,扁平结构适用于小型组织

  • 架构类型-产品组织架构、功能组织架构和其它

  • 客户-根据组织所提供的产品和服务的特点,考虑各种不同的需求

  • 利益-对于组织、客户和利益相关者而言,与目的和目标保持一致

3.7总结

制定合适的计划是一项复杂且充满挑战的工作。在隐私治理方面,并没有一种万能的方法每个公司都有着独特的全球业务、资源可用性、风险偏好、文化和业务重点,这些都影响着计划的最终制定方式,因此了解业务所在地区的法律法规及企业内部业务特性成为了计划建立的重中之重。

以上,就是关于隐私治理的一些个人观点,部分数据来自IAPP欢迎大家多多指正。

# 企业安全 # 隐私合规 # 个人隐私安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录