数据视角下的隐私合规

简介: 2016年6月,通用数据保护条(GDPR)正式发布,其长臂管辖权对全球企业在隐私合规领域产生了深远的影响,在GDPR 5周年之际,截止2023年3月1日,GDPR累计罚款27.7亿欧元(Numbers and Figures | GDPR Enforcement Tracker Report 2022/2023 (cms.law))。

千呼万唤始出来,犹抱琵琶半遮面

       2016年6月,通用数据保护条(GDPR)正式发布,其长臂管辖权对全球企业在隐私合规领域产生了深远的影响,在GDPR 5周年之际,截止2023年3月1日,GDPR累计罚款27.7亿欧元(Numbers and Figures | GDPR Enforcement Tracker Report 2022/2023 (cms.law))。

       2018年6月,美国加州立法机构颁布了CCPA,但颁布之后引发了很多争议,立法机构进行了多次修订,对多种场景进行了豁免。2年之后的2020年11月3日,加州选民绕过了立法机构投票通过了第24号提案,也就是《2020年加州隐私权法》(CPRA),对CCPA做了很多实质性的修订,并创建了一个独立的数据监管机构——加利福尼亚隐私保护局,有效地阻止了加州政府通过未来立法破坏这些变化。

       2003年5月,日本通过个人信息保护法(APPI),并于2005年4月全面实施,是亚洲最早制订隐私合规立法的国家,立法者考虑到信息通信技术日新月异的发展,承诺每隔三年对该法进行一次修改,最新一次的大修订(2020年修订案将于2022年4月1日生效),增强了用户权利、加重了数据处理者的义务、扩大域外适用范围、加重了惩罚措施等条款。

       截止2021年12月,全球已有137个国家对数据和隐私的保护进行了立法,数据处理活动需严格遵守相关国家的合规要求(Data Protection and Privacy Legislation Worldwide | UNCTAD)。


       2021年11月1日,《中华人民共和国个人信息保护法》正式实施,拉开了中国的隐私合规的序幕,也为全球数字治理贡献的中国方案,配套的执行标准也在陆续出台,各行业也在出台行业性的相关标准,包括金融、汽车、医疗、智能终端、政务等(下面仅做部分举例):

       2020年10月1日起实施 GB/T 35273《信息安全技术 个人信息安全规范》

       2020年2月13日起实施 JR/T 0171《个人金融信息保护技术规范》

       2021年6月1日起实施 GB/T 39335《信息安全技术 个人信息安全影响评估指南》

       2021年7月1日起实施 GB/T 39725《信息安全技术 健康医疗数据安全指南》

       2022年9月1日起实施  《数据出境安全评估办法》

       2023年5月1日起实施 YD/T 41871《信息安全技术 汽车数据处理安全要求》

       2023年10月1日起实施 GB/T 42460《信息安全技术 个人信息去标识化效果评估指南》

       2023年12月1日实施 GB/T 42574《信息安全技术 个人信息处理中告知和同意的实施指南》

       ...

      但毕竟《中华人民共和国个人信息保护法》正式实施还不到2年,还有很多领域及行业的执行标准还有待细化,相关处罚也还比较少,犹抱琵琶半遮面,还有待时间去揭开他的全部面纱。本文并不从法律视角去解读各个场景的隐私合规要求,而是尝试用技术视角去看隐私合规的数据脉络。

轻拢慢捻抹复挑,初为霓裳后六幺

      《中华人民共和国个人信息保护法》在框架层面几乎与国际个人信息保护通用原则全面接轨,差异点主要在每项义务的数据定义、场景认定、合规流程事项及罚则上,从大块来拆分数据处理者主要履行的义务有个人信息影响安全评估,处理活动记录,告知与同意,主体权利响应,个人信息保护,数据留存管理,第三方管理,数据泄漏响应等方面。

       个人信息影响安全评估,个保法第55条,GDPR Article 35

       处理活动记录,个保法第55条,GDPR Article 30

       告知与同意,个保法第14条,GDPR Article 7

       主体权利响应,个保法第四章,GDPR Article 15-21

       数据留存管理,个保法第47条,GDPR Article 17

       第三方管理,个保法第21条,GDPR Article 28

个人信息保护,个保法第51条,GDPR Article 35

       数据泄漏响应,个保法第57条,GDPR Article 33-34

       每一个主题本身都有非常多的合规点,比如个人信息影响安全评估过程中,可能会引入特殊场景,包括APP合规、数据出境、未成年人保护、自动化决策等,再比如数据留存管理,除了告知同意中的协议规定之外,还需要考虑行业规定综合判断数据留存期限,比如金融领域的反洗钱法规定客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年,医疗领域的医疗机构病历管理规定住院病历,医院保管时间不得少于30年等。

       隐私合规犹如一个三维象限,x是专题(如PIA、RoPA、Consent等),y是各国法规(如个保法、GDPR等),z是行业(如金融、汽车、医疗等),犹如一个魔方,拆来开每块积木,都有丰富的内涵,先挖个坑,未来再来专题讨论。        

嘈嘈切切错杂弹,大珠小珠落玉盘

       我们抛开每个专题的细节,探究各个主题的关联性。个人信息影响安全评估、处理活动记录、告知与同意、主体权利响应、个人权利保护、数据留存管理、第三方管理、数据泄漏响应这8个专题看似独立,他们犹如一个一个珠子独自散落,但内在有一根线将他们串联在一起,而这根线就是“数据”。

PIA&RoPA

       PIA与RoPA有非常强的关联性,尤其在个保法第55,56条中,将两者放在一起规定,常规的实践中,我们会把RoPA作为PIA的前置步骤,也就是先梳理数据流转再来做PIA评估(RoPA->PIA)。但在国内实践PbD的过程中,有些企业会在RoPA之前加入一个“评估前的评估”,我们暂且把他称之为“前置评估”,它的出现主要有两个原因,第一不是所有的业务上线都需要进行RoPA记录,比如不涉及到个人数据的业务场景,轻量的“前置评估”,可以很好对业务分类,在PdD的前提下加快业务开展的同时减轻合规压力。第二RoPA的数据全生命周期梳理本身是比较耗时的,轻量的“前置评估”可以重点关注在采集和传输上,由业务来主导,完整的RoPA由合规来主导,能很好的平衡业务和合规压力。在这种实践的思路下,流程就变成“前置评估”->RoPA->PIA。无论采用哪种方式,都要结合企业实际的业务情况和管理水平来看,选择最优的方式,两种方式的落地,用九智汇的平台都能很好的支持。


      前面谈到了PIA&RoPA的关联与落地,那来看看PIA&RoPA与其他合规事项的关系,PIA&RoPA都是在业务开展之前执行的,与后续的合规事项产生联动。

      To 告知与同意,基于RoPA的变动及时联动告知的协议,及时变更。

       To 主体权利响应,基于RoPA的存储信息及传输信息,制定权利响应的数据收集流程。

      To 第三方管理,基于RoPA的引入(采集或传输)的第三方,管理第三方。

      To 数据泄露响应,基于RoPA的存储信息及传输信息,评估可能的泄漏点及泄漏影响范围。

告知与同意

To 主体权利响应,取消同意也是主体权利响应的场景之一,基于撤回同意的协议,完成对对应数据的处置(删除/匿名化/停止使用)。

To 数据留存管理,基于适用法律法规要求及相关协议中约定的留存期限,来设置相关数据的留存策略。

To 个人信息保护,基于同意的记录,在访问控制层面,做到专数专用,匹配协议中采集的目的及同意的人群。

       隐私合规完美的形态可能是打开任意一个数据,你都能知道他关联了哪个RoPA,场景,方式,目的,关联了哪个PIA,关联了哪个隐私协议,关联了哪些同意记录,关联了哪些实际使用场景,关联了哪些留存策略,关联了哪个数据主体,从而满足主体权利响应,第三方管理,数据留存管理,个人信息保护,数据泄漏响应的合规要求。

东船西舫悄无言,唯见江心秋月白

       之前有位客户问了我们一个问题,隐私合规为什么要做数据治理?这篇文章是我们的一些思路,但是从落地角度是否一定要做,答案是不一定,每个企业的业务复杂度、合规压力、系统复杂度都不同,举个例子,比如工业企业的隐私合规,采集的个人信息以供应商及员工的个人信息为主,PIA和DSAR都可以轻量化的方式实现,以性价比最高的方式落地隐私合规义务。

       用九智汇的产品体系同时能兼容两种客户场景,我们支持帮助客户快速搭建隐私合规体系,同时也支持深度融合数据,实现复杂业务的隐私合规的“数据化”。


阅读原文:

数据视角下的隐私合规1

数据视角下的隐私合规2

数据视角下的隐私合规3

相关文章
|
7月前
|
安全 数据处理 数据安全/隐私保护
企业出海数据合规:何为数据脱敏
数据脱敏并非简单技术手段,其涵盖法律与技术双重维度。法律上,脱敏是保护个人隐私的一种效果,技术上则是采用不可逆或难以还原的方法,降低数据泄露风险。GDPR下,个人身份、账户和健康信息等应脱敏处理,程度可根据数据敏感性确定。脱敏常见方法包括随机化、掩码、加密等,旨在保护数据安全与隐私。
205 0
|
1月前
|
存储 安全 网络安全
网络安全法律框架:全球视角下的合规性分析
网络安全法律框架:全球视角下的合规性分析
46 1
|
2月前
|
存储 人工智能 安全
数据治理:强化数据安全与隐私保护的基石
在当今这个数字化时代,数据已成为推动社会进步和企业发展的核心驱动力。从个人消费习惯到企业运营策略,从政府决策支持到科研创新突破,数据无处不在,其价值不言而喻。然而,随着数据量的爆炸性增长和流通范围的扩大,数据安全与隐私保护问题也日益凸显,成为制约数据价值最大化利用的重要瓶颈。因此,构建完善的数据治理体系,特别是强化数据安全与隐私保护,成为了时代发展的必然要求。
|
4月前
|
监控 安全 数据安全/隐私保护
确保数据安全与隐私保护的数据治理最佳实践
【8月更文第13天】随着数据成为企业最重要的资产之一,数据安全和隐私保护变得至关重要。本文将探讨数据治理中的一些最佳实践,并提供具体的代码示例来说明如何实施这些策略。
961 4
|
6月前
|
监控
如何评估合规培训体系的效果
【6月更文挑战第25天】如何评估合规培训体系的效果
72 2
|
7月前
|
人工智能 自然语言处理 安全
AI失控风险、内容安全合规、数据伦理与隐私应得到更多关注
【1月更文挑战第10天】AI失控风险、内容安全合规、数据伦理与隐私应得到更多关注
351 1
AI失控风险、内容安全合规、数据伦理与隐私应得到更多关注
|
安全 数据处理 数据安全/隐私保护
数据视角下的隐私合规2
接上篇,我们从数据视角探讨了个人信息影响安全评估、处理活动记录、告知与同意、主体权利响应、个人信息保护、数据留存管理、第三方管理、数据泄漏响应这8个专题的关联性,这篇文章将从数据另外一个视角,数据处理活动的事前和事后来探讨这8个主题的内在逻辑,同时探讨目前市场对隐私合规的几个误区。
142 0
数据视角下的隐私合规2
|
新零售 边缘计算 安全
数据视角下的隐私合规3
接上,自从《个人信息保护法》颁布以来,对于金融/汽车/新零售等处理大量个人敏感信息的企业来讲,个人数据使用在企业内部变成一个“谈虎色变”的问题,有合规意识的业务开始拉上合规、法务、安全团队开启评估审批,但在很多没有PbD(Privacy by Design)机制的企业来讲,遇到这类问题的合规/法务同学往往会很头疼,“合法性事由”的适用性在不断压缩,告知同意/PIA/第三方管理/DSAR犹如一道道天堑,如果整改那么业务要延迟甚至推倒重来,如果不整改业务要带隐私合规风险上线,变成了鱼和熊掌不可兼得的问题。今天这篇文章我们来谈谈个人数据使用环节的合规问题。
71 0
|
数据挖掘
深度分析:EDPB跨境数据合规指南-BCRs认证
在中国企业的出海国际化浪潮中,如何保证出海业务的数据合规性,一直是大家非常关注的问题,今天用九智汇给大家带来了在欧盟地区开展业务的情况下,可以被企业选择采用的一种有力的数据合规工具——BCRs认证。
272 0
|
存储 云安全 监控
[云架构 ]云安全和隐私:法律合规与风险管理指南,第1部分
[云架构 ]云安全和隐私:法律合规与风险管理指南,第1部分