本篇介紹:創建數據保護合規制度
本篇爲第2篇/共5篇
上一篇:企業安全隱私合規體系建設經驗總結(一)
下一篇:企業安全隱私合規體系建設經驗總結(三)
引子
在去年前三季度(2019年),我有幸主導了公司的安全隱私合規體系建設。幾乎是從零開始,完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等級保護三級、CCPA等安全隱私合規認證,其中也寫了一些零零碎碎的心得和研究筆記。
而在今年春節(2020年),由於武漢肺炎疫情嚴重,假期延長,我決定系統的回顧和總結一下關於企業安全隱私合規體系建設的經驗,以讓後來人及自己以後都少走彎路。
2.1 先指定負責人
不管是什麼事情,總得有人負責做。對於安全隱私合規體系建設,通常是由法務部、技術部或人力資源部來主導負責,公司所有部門配合完成,當然有些大公司可能還會有專門的合規部,那就不用說了。
以塗鴉爲例,我們的隱私合規項目是劃分給技術部下的安全部主導,其他各部門配合。而作爲主導人,除了要研究瞭解相關法律條款,還要懂公司實際業務情況以及技術實施,少一樣都很難推動隱私合規體系建設。而還有一樣技能在隱私合規體系建設中也極爲重要,那就是英語能力。
不瞭解法律條款,就不懂需求是什麼;不瞭解公司實際業務情況,就很難針對性着手;不瞭解技術實施,就很難和實際執行人員溝通問題;不懂英語,就不能輕鬆的閱讀外文文獻或者和國外相關部門或客戶交流。
2.2 與內部利害相關部門和外部顧問協作
內部利害相關部門
在企業裏開展某項合規制度時,需要內部各個部門配合,如何讓內部各個部門願意配合協作是一門學問。通常,用問答體準備一份簡短的情況說明能夠有效的提升企業內部各個部門的意識並爭取到相應的支持。
另外,公司一把手(董事長/CEO/總裁等)的明確支持是推行合規開展的必要條件,如果公司一把手不表態不過問,合規制度根本無法開展。例如有一項合規需求需要人力資源部配合,那你作爲主導人,首先你要說服人力資源部總監,而不是直接找底下的執行人員,因爲每個人手頭都有各種工作,如果沒有領導發派安排,他們沒時間也不願意支持你的需求,而這時候如果沒有一把手的表態作爲依靠,你就很難說服人力資源部總監接受你的需求,合規項目開展就會受阻。
外部顧問
對於企業不熟悉的法律形式和語言,僅憑藉自身要搞清楚合規形式義務和實質義務的準確性質和細節太費時費力。因此,多數情況下,聘請或合作一個外部顧問是有必要的。
在選擇外部顧問時,要綜合考慮多種因素,從而選擇個人外部顧問還是團隊外部顧問。同時,在向外部顧問諮詢時,不僅要向外部顧問諮詢實質上和形式上的紙面規定,還要讓顧問說明務實中的執行情況。例如可以提出如下問題:
某項規定在實踐中是被嚴格遵守,還是形同虛設?
對於某個問題,監管部門和厲害主體是否常常吹毛求疵?
在某項要求方面,其他企業曾遭遇過哪些風險和問題?
……
這些問題的答案可以幫助企業全面瞭解情況,分出任務的輕重緩急。
例如,塗鴉在GDPR和CCPA的合規建設中聘請的外部諮詢方是TrustArc團隊,TrustArc團隊給我們提供全方位的指導意見,我們負責形式執行(撰寫相關合規文檔)和落地執行(實際落實),最終TrustArc團隊負責審覈以及出具合規報告。
2.3 任命數據保護官(DPO)
根據《歐盟通用數據保護條例》,歐洲經濟區成員國如果涉足特別敏感的數據處理,則必須指定數據保護官。關聯公司集團可以任命一位數據保護官負責集團內幾家或全部實體的數據保護事宜,但應當以這些分散在各地的實體都能聯絡到這位數據保護官爲前提。
另外,大多企業在任命了數據保護官之後,會把這個合規模式套用在全球所有地區,這樣做可以方便全球統一管理。不過這並不是強制的。
任命數據保護官的要求:
1、資質要求
首先,數據保護官的候選人必須具備數據保護法規、信息技術和公司運營方面的經驗、知識或訓練。其次,候選人必須可靠,且不得與數據保護工作存在利益衝突。最後,企業必須爲數據保護官能夠履行法定義務提供保障,還要求企業爲數據保護官提供信息和培訓,減少數據保護官的其他工作職責,以保障其在數據保護方面的工作時間。
2、外部和內部人選對比
任命外部人員和任命內部人員各有利弊。
任命內部人員後,在辭退該員工(數據保護官)時會在原本就困難基礎上變得更加困難;而辭退外部數據保護官則很輕鬆。
任命內部人員後,可以確保所有信息留在公司內部和保密;而任命外部數據保護官則意味着把公司的系統、流程、安全措施和數據開放給外人。
內部數據保護官往往對實際操作、流程和問題更加熟悉,也更容易瞭解員工顧慮和安全弱點方面的信息;而外部數據保護官則可能對行業標準掌握更爲紮實,比非全職負責數據保護的內部數據保護官更有經驗,也更加專業。
最後,還要考慮任命外部數據保護官的財務成本。
此外,GDPR和歐盟各國法律目前沒有要求必須任命本土員工擔任數據保護官。這也意味着可以任命歐盟境外的員工擔任數據保護官,且無需常駐歐盟。
以塗鴉爲例,作爲一家總部在中國杭州的公司,塗鴉任命的數據保護官爲中國人,常駐中國杭州。
3、任命形式
根據《歐盟通用數據保護條例》,企業必須把數據保護官的聯絡方式(如直線電話和電子郵件地址)提交給數據保護機關,同時公開發布。大多企業會採用通用的電子郵件名稱作爲數據保護官的聯繫方式,以避免每次數據保護官換人之後還要更新隱私通知。
以塗鴉爲例,塗鴉的數據保護官的郵箱是:[email protected]
4、數據保護官的職責
數據保護官負責監督企業是否遵守相關數據保護法,並記錄企業的數據處理活動。同時,數據保護官獨立行事,不受制於企業管理層的指示(理論上是這樣的,實際上如何此處不做討論)。
數據保護官的日常工作包括:協助記錄數據處理流程,評估和完善數據保護和安全規程,建議、遴選和實施技術安全措施,起草用於數據保護的文書和合同,篩選參與處理個人數據的員工、服務商和其他第三方,監督數據隱私、安全措施以及數據處理程序的正當使用,處理數據保護和違法違規的投訴,員工培訓,準備、提交和維護提交給數據保護機關的報告材料。
企業自願任命
《歐盟通用數據保護條例》明確允許企業自願任命數據保護官,且這種方式對使用全球系統和流程的公司尤爲有益,因爲由一個人統一管理數據保護的方式效率最高。
對於自願任命數據保護官的企業,在自願任命數據保護官之前,應當找準自己的定位,考慮方方面面的利弊,並以書面形式寫清楚數據保護官的職責和任務,這樣被任命的人員才能清晰的理解該職位的權利、義務和預期,同時降低發生不利後果和衝突的風險。
例如:如果中國公司自己任命的全球數據保護官將自己的職責理解成與歐盟數據保護官一樣獨立,主要承擔公共職能,那麼他可能很快就會把發現的問題報告給中國政府機關了。
任命數據保護官的具體措施
1、確認在哪些地區必須任命數據保護官以滿足該地區法律要求,則這些地區需要任命數據保護官。
2、對於沒有法律要求任命數據保護官的地區,要考慮如何最優化的實現和保持企業合規,確認自願任命數據保護官是否對企業有幫助,如果有幫助,則任命數據保護官。
塗鴉的做法是:對於歐盟地區,任命一名數據保護官(中國人),而對於其他地區,因爲法律上沒有數據保護官這一概念,即不做講究(實際上還是這個人)。但是對於合規落地實現,全球統一使用GDPR標準(美國地區落地實現稍有差異)。
2.4 準備任務清單
一旦確定了負責人,下一步就要準備任務清單並記錄執行情況和重點。
建立任務清單並監督執行有助於把握重點、做好規劃、管理複雜情況以及妥善完成項目執行的交接。
在指定任務清單之前,首先必須要了解企業掌握了哪些數據、適用哪些法域的法律、這些法律對數據隱私合規有哪些具體的要求、如何能最優化的滿足這些要求。
由於數據隱私法和信息技術的快速演進,設計和實施數據隱私合規制度最有效的方法往往是分階段進行。在設計和執行階段,集中關注高風險的法律要求和易處理的問題。在設計整個制度的時候就可以先把重點任務做起來。
數據合規初始任務清單
| 數據隱私合規法律任務 | 目的 |
|---|---|
| 設定全球數據保護官的職責和任命文件;如有特別法律規定,任命當地數據保護官 | 管理風險,滿足合規義務 |
| 瞭解各國政府關於數據隱私保護的申報規定,準備並提交申報材料 | 管理風險,滿足合規義務 |
| 盤點,準備數據庫和數據流的記錄 | 爲通知、協議、申報打基礎;滿足記錄和保留規定 |
| 基於歐盟標準合同條款和其他使跨國數據傳輸合法化的措施,準備和實施集團內的數據傳輸協議 | 克服跨國數據傳輸的法律限制 |
| 審閱、修改、翻譯發送給消費者、企業客戶代表和業務夥伴的隱私政策和通知 | 滿足通知要求 |
| 審閱並準備發送給員工的員工數據處理通知,包括: 1、全球人力資源信息系統 2、監控工具(如反垃圾郵件、防病毒、網絡瀏覽保護、數據丟失防護、防火牆)和調查 3、舉報熱線 4、工資、服務、股票期權 |
符合通知要求 |
| 審閱並準備與包括服務商、客戶、中間商等業務夥伴所籤協議中關於分享和處理數據的標準模板、保準數據傳輸合同、集團內規程,審閱、準備數據處理合同和規程 | 滿足數據安全義務,把數據作爲資產保護,降低未授權訪問或破解的風險等 |
| 針對數據訪問、數據保留、信息安全、事件響應和來自執法機關、監管部門、民事訴訟當事人等的信息披露要求等事項,審閱並制定企業內部規程和流程 | 滿足合規義務,保護消費者和員工隱私 |
| 直接營銷:執行全球範圍或各個法域的加入和退出流程 | 滿足各個法域的合規義務 |
| 常規培訓、審覈 | 管理風險,滿足合規義務 |
準備任務清單時,需要注意如下事項
1、盤點數據
首先應考慮企業使用了哪些個人數據。《歐盟通用數據保護條例》規定必須對數據處理活動保留更加正式和詳細的記錄,包括:
1、企業名稱、詳細的聯繫方式、歐洲經濟區代表人及數據保護官(如有);
2、數據處理的目的;
3、數據類型、數據主體類型;
4、接受企業所披露數據者的類型,包括數據處理者(若企業本身爲數據處理者,則包括其客戶)的類型;
5、數據的國際傳輸和具體安全措施;
6、刪除的時間期限;
7、技術上和組織上的安全措施。
通常,如果一個企業從零開始的話,建議先從粗放式的盤點數據開始。
2、定義目標和重點
不同的企業對建設數據隱私合規體系的目標和重點不同,有的是爲了超越競爭對手形成商業競爭優勢,有的是爲了不被監管機構處罰。因此,瞭解清楚企業建設數據隱私合規體系的目標很重要,這樣才能確保確立此項工作合適的任務重點。
3、確定最合適的方式
通常情況下,企業應當主動先找出並解決最有可能造成嚴重後果的問題或者通過很少的資源和努力就能解決的問題。
預算有限的情況下可以先從成本低的問題做起,或者確定哪些具體措施是法律規定的,並依先例行事。
如果想成爲行業的領軍企業,則必須考慮如何對法律規定和商業需求做更全面的評估。
對於聽從政府機關指導方面,應當確定政府的指導意見是否在實踐中被廣泛遵守或者是會遭到法院質疑和撤銷,如果政府的指導意見只是形式,則沒有必要遵守。
4、確認法律規定和其他要求
即企業的業務適用於哪些法律,需要遵守哪些法律,考慮跨國法律適用問題。
全球有很多很多國家和地區,每個國家和地區都有自己的法律,對於全球各地區法律的遵守選擇問題上,可以把執法風險特別高的地區作爲重點關注對象。一般來說,那些擁有子公司、員工、重大資產、關鍵客戶的國家的法律應當被重點關注。除去商業考量,還應該考慮合規的難易度(如語言障礙、當地法律制度、總部所在地是否接近等)。
除了要關注狹義的數據隱私法之外,企業在設計數據隱私合規制度時還要考慮一些其他規定:
1、勞動法、消費者保護法、不正當競爭法規定的法律義務;
2、合同義務(如數據安全標準條款、事件通報條款、納入隱私聲明的條款等);
3、在隱私政策和通知中向數據主體作出的在先承諾;
4、客戶預期和其他商業需求。
5、確認實體合規要求
企業要遵守其在通知、規程、網站隱私聲明和合同中承諾的限制性規定。同時,無論是在調整通信內容,還是調整實際做法,企業必須始終確保通知、隱私聲明、合同和其他隱私相關通信準確、及時。
企業必須採取合理的安全措施保護保密數據不受未授權的訪問和傳播。企業收集、存儲、使用、傳輸及以其他方式處理個人數據的程度取決於其收集和保存信息的業務需求和法律義務。
一項成功的數據安全制度通常包括以下方面:
1、採取手段對數據的存儲位置、安保措施、目的及所需期限進行追蹤(並記錄數據處理活動);
2、對場所、網絡和設備(包括加密、強認證、密碼等)進行現場保護和技術保護;
3、對組織內的訪問進行控制;
4、開展員工培訓;
5、安全刪除已經沒有用的數據(廢棄設備上的數據、紙面上的數據等);
6、對數據安全進行持續監控以及不定期審覈、調查;
7、審慎選擇、管理、監督和簽訂服務商;
8、爲每一起數據安全事件制定計劃方案,主動採取措施避免相同事件重演;
9、在任何數據處理活動發生重大改變之前,主動評估隱私影響和安全設計。
首先,我們應確定企業是否有書面規程或不成文的流程,以處理上述問題,是否有專人負責制度的執行。其次,我們可以對企業現有的措施做一次總結,評估這些措施是否滿足了法定義務及合約義務,是否足以充分應對威脅企業的風險。最後,我們可以外聘數據安全顧問驗證這些制度的有效性,確保這次制度符合行業慣例。
另外,根據歐洲數據保護法,企業還必須滿足其他若干實體性要求:
1、對數據的處理和保存應當最小化;
2、通過更新、糾正和刪除等手段保持數據的完整性;
3、當數據主體提出訪問要求時,向其開放訪問權限;
4、尋求數據主體的同意或其他正當理由。
6、確認形式合規要求
即要求企業創建某種通知、向政府提交申報材料或其他書面材料的數據隱私合規規定,是一種形式上的要求。形式合規更容易實現,形式違規風險更高。
形式合規要求通常包括如下內容:
1、任命數據保護官的任命文件;
2、留存數據處理活動的記錄;
3、記錄數據安全措施並存檔;
4、與關聯企業、服務商、其他業務夥伴簽訂適當的數據傳輸協議;
5、向數據主體發送通知或徵得其同意;
6、向數據保護機關提交申報材料或尋求其批准。
2.5 執行任務
一旦準備好實現數據隱私法律合規的具體任務清單,就應該進入執行環節。可以先從容易操作或者能夠減輕重大風險的任務開始。通常也可以從製作向數據主體發送必要的通知做起,在製作通知的過程中,自然而然的就會審視合規現狀並能夠妥善的彌補漏洞,順帶解決其他問題。而最不可取的就是因爲千頭萬緒無所適從而寸步不前。
本篇介紹:創建數據保護合規制度
本篇爲第2篇/共5篇
上一篇:企業安全隱私合規體系建設經驗總結(一)
下一篇:企業安全隱私合規體系建設經驗總結(三)
