数据视角下的隐私合规2

简介: 接上篇,我们从数据视角探讨了个人信息影响安全评估、处理活动记录、告知与同意、主体权利响应、个人信息保护、数据留存管理、第三方管理、数据泄漏响应这8个专题的关联性,这篇文章将从数据另外一个视角,数据处理活动的事前和事后来探讨这8个主题的内在逻辑,同时探讨目前市场对隐私合规的几个误区。

接上篇,我们从数据视角探讨了个人信息影响安全评估、处理活动记录、告知与同意、主体权利响应、个人信息保护、数据留存管理、第三方管理、数据泄漏响应这8个专题的关联性,这篇文章将从数据另外一个视角,数据处理活动的事前和事后来探讨这8个主题的内在逻辑,同时探讨目前市场对隐私合规的几个误区。

见本而知末

       当下市场存在的误区之一是从数据发现或者流量检测层面出发来治理隐私合规,但实际上这是一定程度的“舍本逐末”。最简单的一个逻辑就是一旦你监测出了违规,实际上已经违规了。所以在《个保法》中都明确说明了数据处理活动需要“事前”评估,围绕隐私合规的8个专题当中有4个都是事前合规要求,分别是个人信息影响安全评估、处理活动记录、告知与同意、第三方管理,比如:

个人信息影响安全评估&处理活动记录:个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录 ————《个保法》第55条

告知与同意:个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项 ———— 《个保法》第17条

第三方管理:个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督 ———— 《个保法》第21条

数据出境:数据出境安全评估坚持事前评估持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。 ———— 《数据出境安全评估办法》

       “事前”是隐私合规与数据安全非常大的区分点, 隐私合规的整个逻辑是建立在“见本而知末”之上,即敏感数据的处理需事前记录及评估,后续的实际处理应该与事前记录一致。那数据发现或者流量检测在隐私合规领域是否就一无是处呢,我们认为也不是,他可以起到后续的持续监督作用做到及时补救,以及在隐私合规体系冷启动的时候,帮助做已上线业务的数据梳理

       当下市场存在的误区之二是隐私合规是合规、法务的事情,与业务、技术无关,但实际上这也是一种错误的意识。最简单的一个逻辑就是隐私合规评估的对象本身就是业务和技术,是需要业务技术深度参与甚至主动发起的。那如何将合规、法务、产品、技术在隐私合规层面形成好的配合效果,用九智汇也做了非常多的创新探索,Privacy Scan便是其中之一,它以代码扫描作为手段切入研发流程中来帮助梳理数据流图并发现合规风险点,在之后的文章会做详细介绍。



执一而应万

       当下市场存在的误区之三是隐私合规全是事前的Paper工作,与实际数据无关。这个问题我们在上一篇中也做了说明,围绕隐私合规的8个专题当中有4个都是和“事后”落库数据相关,分别是主体权利响应、个人信息保护、数据留存管理、数据泄漏响应。而他们“执一而应万”的核心就是数据发现,解决Know your data的问题,解决数据在哪,数据是什么,数据主体是谁,数据留存期限,数据谁在用等问题,比如

主体权利响应需要数据发现和处理活动记录作为输入,利用处理活动记录找出涉及到的应用和三方以生成行权流程,利用数据发现能力找出具体应用中的个人数据,以满足复制权/查阅权/删除权

个人信息保护需要数据发现作为输入,利用数据发现能力找出所有敏感数据分布,并加入相应的管控措施

数据留存管理需要数据发现及隐私政策作为输入,利用数据发现能力找出所有敏感数据分布,综合隐私政策和行业法规,执行留存策略

数据泄漏响应需要数据发现作为输入,利用数据发现能力找出所有敏感数据分布及数据主体,对比泄漏数据判断泄露点并做影响分析,执行应急策略

       当下市场存在的误区之四是数据合规治理就是做数据分类分级。在数据安全的体系下,数据发现可以认为就是数据分类分级,以满足数据管控的要求,但如果加入隐私保护的体系,我们认为数据合规治理的含义会更广,除了数据分类分级之外,他还需要引入主体识别的能力、留存期限的问题、处理目的等问题以满足主体权利响应、个人信息保护、数据留存管理、数据泄漏响应的合规要求,用九智汇在数据合规治理层面也做了非常多的创新探索,标识实验室便是其中之一,它以开放模型平台的方式帮助数据治理同学自主完成数据识别建模,加快数据合规治理效率。


       这篇我们通过“见本而知末,执一而应万”介绍了隐私合规在数据处理层面存在事前与事后的两面性。下篇我们将从数据流转层面介绍隐私合规的两面性,此处先用两句偈语埋个伏笔。

身是菩提树,心如明镜台,

时时勤拂拭,勿使惹尘埃。

菩提本无树,明镜亦非台,

本来无一物,何处惹尘埃。


阅读原文:

数据视角下的隐私合规1

数据视角下的隐私合规2

数据视角下的隐私合规3

相关文章
|
7月前
|
安全 数据处理 数据安全/隐私保护
企业出海数据合规:何为数据脱敏
数据脱敏并非简单技术手段,其涵盖法律与技术双重维度。法律上,脱敏是保护个人隐私的一种效果,技术上则是采用不可逆或难以还原的方法,降低数据泄露风险。GDPR下,个人身份、账户和健康信息等应脱敏处理,程度可根据数据敏感性确定。脱敏常见方法包括随机化、掩码、加密等,旨在保护数据安全与隐私。
205 0
|
1月前
|
存储 安全 网络安全
网络安全法律框架:全球视角下的合规性分析
网络安全法律框架:全球视角下的合规性分析
46 1
|
2月前
|
存储 人工智能 安全
数据治理:强化数据安全与隐私保护的基石
在当今这个数字化时代,数据已成为推动社会进步和企业发展的核心驱动力。从个人消费习惯到企业运营策略,从政府决策支持到科研创新突破,数据无处不在,其价值不言而喻。然而,随着数据量的爆炸性增长和流通范围的扩大,数据安全与隐私保护问题也日益凸显,成为制约数据价值最大化利用的重要瓶颈。因此,构建完善的数据治理体系,特别是强化数据安全与隐私保护,成为了时代发展的必然要求。
|
4月前
|
监控 安全 数据安全/隐私保护
确保数据安全与隐私保护的数据治理最佳实践
【8月更文第13天】随着数据成为企业最重要的资产之一,数据安全和隐私保护变得至关重要。本文将探讨数据治理中的一些最佳实践,并提供具体的代码示例来说明如何实施这些策略。
960 4
|
6月前
|
监控
如何评估合规培训体系的效果
【6月更文挑战第25天】如何评估合规培训体系的效果
72 2
|
7月前
|
人工智能 自然语言处理 安全
AI失控风险、内容安全合规、数据伦理与隐私应得到更多关注
【1月更文挑战第10天】AI失控风险、内容安全合规、数据伦理与隐私应得到更多关注
351 1
AI失控风险、内容安全合规、数据伦理与隐私应得到更多关注
|
存储 安全 数据处理
数据视角下的隐私合规
2016年6月,通用数据保护条(GDPR)正式发布,其长臂管辖权对全球企业在隐私合规领域产生了深远的影响,在GDPR 5周年之际,截止2023年3月1日,GDPR累计罚款27.7亿欧元(Numbers and Figures | GDPR Enforcement Tracker Report 2022/2023 (cms.law))。
188 0
|
新零售 边缘计算 安全
数据视角下的隐私合规3
接上,自从《个人信息保护法》颁布以来,对于金融/汽车/新零售等处理大量个人敏感信息的企业来讲,个人数据使用在企业内部变成一个“谈虎色变”的问题,有合规意识的业务开始拉上合规、法务、安全团队开启评估审批,但在很多没有PbD(Privacy by Design)机制的企业来讲,遇到这类问题的合规/法务同学往往会很头疼,“合法性事由”的适用性在不断压缩,告知同意/PIA/第三方管理/DSAR犹如一道道天堑,如果整改那么业务要延迟甚至推倒重来,如果不整改业务要带隐私合规风险上线,变成了鱼和熊掌不可兼得的问题。今天这篇文章我们来谈谈个人数据使用环节的合规问题。
71 0
|
数据挖掘
深度分析:EDPB跨境数据合规指南-BCRs认证
在中国企业的出海国际化浪潮中,如何保证出海业务的数据合规性,一直是大家非常关注的问题,今天用九智汇给大家带来了在欧盟地区开展业务的情况下,可以被企业选择采用的一种有力的数据合规工具——BCRs认证。
272 0
|
存储 云安全 监控
[云架构 ]云安全和隐私:法律合规与风险管理指南,第1部分
[云架构 ]云安全和隐私:法律合规与风险管理指南,第1部分