会议概况
7月24日,数据安全实践分享会在深圳召开。本届交流分享会汇聚华南区数据安全领域的优秀企业CIO、甲方客户CSO、业界专家等,从实践角度出发,就数据安全方面多个主题展开对标学习、场景化问题深入探讨,研究在数据安全治理实践中的经验、成果与未来方向,共同提高、共同进步。全知科技作为新一代数据安全引领者,受邀参与盛会。
会议焦点
分享会上,数据安全领域企业首先就各自实践经验进行了干货分享,然后进入“听甲方谈安全”环节,甲方客户就数据安全治理中出现的问题、关注的焦点提出了思考。全知科技在会上的干货分享和交流环节中的独到见解,得到此次参会人员的支持与肯定。
图 | 数据安全实践分享会现场
分享会上,重点就现场甲方客户关注的数据安全问题思考展开了热烈的讨论,为帮助更多遇到同样或类似问题的客户,全知总结如下:
思考1:关于撤回授权数据,已经流了很多环节,用户撤回授权所有环节都要暂停使用他的数据,企业内部系统相当于要大改。企业如何有效解决这个问题?
全知参考建议:
最好的方式是在用户点击撤回授权后,下次用户使用前,需重新提示打勾隐私政策,在重新授权之前,业务系统前后端设置不再调用用户数据,如用户注销账户,则自动删除用户相关信息,有相关法律法规规定的除外,例如金融交易记录。PS: 部分授权可以在手机设置上进行取消授权的,例如读取短信、读取通讯录等。
思考2: 《数据安全法》实施在即,企业如何应对有效落实数据分类分级保护制度?
全知参考建议:
第一、确定数据分类分级决策组织、相关部门、负责人及人员;
第二、对本单位数据资产信息识别,明确本单位数据的类型、敏感程度、重要程度等,形成数据资产清单;
第三、先看国家或本行业是否已发布数据分类分级相关标准或规范;如果有相关国家或本行业相关标准发布,则以此为依据制定符合本单位的数据分类分级标准;如没有,也可参考其他行业已发布的标准或根据本单位实际情况,制定符合实际的内部标准;
第四、根据已制定的数据分类分级标准,对已识别的数据资产进行分类分级;
第五、对数据分类分级的结果进行审议批准。
思考3:企业是否有必要设立数据安全官?按照GDPR的相关规定再对标国内《数据安全法》如何衡量必要性?目前很多律所也在积极开展数据保护合规服务,其中提及个人信息保护负责人,这个职业是否属于DPO范畴?如何界定其职责边界?是否有标准规范界定其责权范围?
全知参考建议:
一、 DPO设立必要性问题
GDPR并未规定所有企业必须设立DPO,根据GDPR要求,核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定数据保护官DPO。以下企业建议设立DPO:
(1) 企业主要业务需要对数据主体进行大规模的定期系统监测,比如以精准投放为主业的在线广告公司,或者可穿戴智能设备公司等;
(2) 企业主要业务需要大规模处理特殊数据,特殊数据指健康、生物、基因数据等,比如医院、体检中心,人脸识别公司等。这类公司均需要设立数据保护官。
图 | 全知科技华南区技术负责人 包亚鹏
二、DPO职责问题
GDPR规定了数据保护官的如下职责:
(1) DPO需要向服务的企业和企业员工提供GDPR数据保护方面的信息和建议;
(2) 对企业GDPR合规以及数据保护方面所做的工作进行监管;
(3) 对企业DPIAs方面工作的参与和管理;
(4) 作为沟通渠道同欧洲GDPR监管部门保持联系,负责数据外泄的紧急汇报;
(5) 负责同数据主体沟通和联系,协助实现数据主体的数据权利;
(6) 客观独立的履行自己的职责,不应因雇主行政命令而影响客观事实和结论;
(7) 有权限可直接向企业最高管理决策层汇报工作。
个人信息保护负责人的职责在国标35273也有相关明确。
三、范畴问题
(1) DPO和个人信息保护负责人都是主要针对个人信息的安全保护,《个人信息安全规范》和欧盟的GDPR对于DPO的角色定位存在差异,尤其体现在“独立性”方面。欧盟第29条数据保护工作组在《指引》中指出,某些公司虽设有隐私官员或其他负责数据保护工作的岗位,但他们并不一定能符合GDPR对于DPO的要求。当他们无法保证工作的独立性时,他们就不能被认为是GDPR下的DPO。
(2) GDPR要求DPO行使其职责时能有足够的自主权,除有权监管机关之外,不得有任何人指令、控制DPO的工作。或者说GDPR下的DPO需要向上汇报和负责,但不被“领导”。但《个人信息安全规范》要求企业要明确“法定代表人或主要负责人对个人信息安全负全面领导责任”,这种意义上的DPO是应当接受上级领导的。
(3) DPO如果同时承担其他工作,必须确保没有利益冲突,例如DPO不得决定处理个人信息的目的和方式。因此,如果企业需要按照GDPR的要求任命DPO,需要特别注意GDPR的特殊规定。
思考4:面对目前如火如荼的数据治理,企业该做到什么程度才算实现数据基础保护?对于数据保护目前还有很多细节方面的内容并未细化,如同等保一样,在没有实施指南前企业应该先从哪些方面着手自身的数据保护工作?
全知参考建议:
一、企业先成立数据安全管理机构,明确数据安全负责人及数据安全岗位人员;
二、可以从合规性进行数据保护,例如依据国家的法律法规、标准规范、政策文件等进行合规保护;
三、可以从风险角度进行数据保护,例如定期开展数据安全风险检测、处置等;
四、可以从技术角度进行数据保护,部署数据安全相关产品,例如数据安全监测平台、数据脱敏平台、数据库审计系统、DLP系统、API安全监测系统、数据地图等;
五、可以考虑制定完善的数据安全制度体系,并依据制度执行落实。