数据合规管理已成刚需,企业如何更好应对相关风险与挑战?
京东到家某员工离职当天将平台系统代码删除;
A1 Hrvatska数据泄露事件影响约20万客户;
谷歌因违法收集生物识别数据将赔偿1亿美元;
……
这些真实存在的安全事件,映射出企业数据合规和风险治理能力的不足。在企业数据合规逐渐成为刚需的当下,如何加强企业数据安全和个人隐私保护已经成为关系个人权益、社会稳定和国家安全的核心议题。
企业合规现状和痛点
近年来,我国迎来了个人信息保护以及数据安全领域的两部专属立法:《中华人民共和国个人信息保护法》与《中华人民共和国数据安全法》。这两部法律与“网安法”共同构建了中国数据合规及隐私保护的基础法律框架,对数据安全和个人信息保护提出了方向性和基础性指引及监管要求。
一方面是国家在数据安全、网络安全、个人信息保护层面的监管力度持续增强,一方面是频频出现的企业数据安全事件,加强企业合规管理已成为当下企业发展的必要性、基础性内容。然而,通过对企业合规管理现状的分析,我们发现企业在合规管理方面,往往存在以下难点、痛点问题。
错综复杂的数据如何分类分级?
个人信息合规监管环境日益严格,企业如何应对?
海量的数据,如何识别并掌握数据的流向和分布?
与监管、同行、合作方多渠道数据交换如何保证安全?
数据多层级、多系统、多角色的使用、提取中,如何确保整个业务敏感数据合规使用?
……
这些都是当前企业数据安全和个人信息保护层面面临的风险和挑战。
数据安全与信息合规产品解决方案
针对当前企业数据安全和个人信息保护层面临的风险和挑战,派拉云身份管理平台(简称SSO360)从数据主体、数据处理者两方面进行考量,提供完整、闭环的数据安全和数据生命周期的全链路个人信息合规解决方案,满足安全等级保护合规建设,提升数据安全能力,保障数据在流通与融合过程中的“可用不可见”,实现数据价值的转化和释放,促进数据开发利用。
▲数据安全与信息合规产品体系
破局角度一:数据主体角度
1、同意授权管理
企业可以通过个人信息主体同意授权管理平台(CMP),解决在收集、使用或共享过程处理用户数据的合法记录和管理用户同意授权问题,保证数据在不同阶段的处理活动均给予“告知-同意”的原则。CMP涵盖三大功能:
1. 收集用户同意
用户首次使用某一产品或产品下某一功能时,若涉及到用户信息的收集,必须以弹窗或其他形式通知用户该产品收集哪些数据、如何使用这些数据等信息。用户可以选择同意或拒绝。
授权通常包括两种类型:
1)将个人信息授权给当前产品;
2)将个人信息授权给第三方应用或SDK(如当前产品的服务提供方、当前产品关联方、合作方)
2. 同意记录
征得用户同意后,需保存用户同意记录。例如“谁同意(电子邮件、cookie、设备 ID) ,何时给予同意(时间戳), 用户同意的内容(使用个人数据的特定目的列表) ,是否以及何时撤回或更改同意”。企业可查看同意记录的数据库,也可导出记录数据用于监管机构的安全审查。
3. 提供查看、撤销授权入口
根据个人信息保护法规定,同意不是永久性的,用户可以随时撤回他们的同意。用户应该有权查看、撤销授权。
2、个人信息主体权利管理
根据个人信息保护法规定,个人在信息处理活动中的享有:
a. 享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理
b. 个人有权向个人信息处理者查阅、复制其个人信息
c. 个人请求将个人信息转移至其指定的个人信息处理者,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径
d. 个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
数据安全与信息合规产品解决方案围绕个人信息保护法规定的个人信息主体权利,制定个人行权响应与行权机制,满足个人信息合规要求,维护个人信息主体权益。
破局角度二:数据处理者角度
数据生命周期覆盖数据收集、存储、使用、加工、传输、提供、公开、删除等环节,针对数据全生命周期的安全管理也是企业开展数据安全管理的核心工作。数据安全与信息合规产品解决方案从数据的“采、存、管、用”展开 ,提供从技术到产品,产品到流程的全流程数据安全管理解决方案,助力企业挖掘数据最大化价值。
1、数据收集
