在经过两年的过渡期后,欧盟的《通用数据保护条例(简称GDPR)》将于2018年5月25日正式生效。据测,众多大型企业近来一直致力于制定相关合规性计划。随着该条例生效日期的临近,不少组织发现保障合规性远比预期的要复杂。
《通用数据保护条例(GDPR)》
GDPR 旨在取代1995年颁布的《数据保护指令(Directive 85/46/EC)》,新的法规极大扩展了要求范围,并反映了过去二十年来主要技术变化以及对个人数据保障缺陷的担忧。
值得注意的是,企业违规带来的罚款将高达其全球年营业额的4%,如对于上市企业道琼斯而言,平均罚款将高达4.8亿美元。更重要的是,企业还要确保,GDPR 的推出所带来的恐惧感与不确定性因素不会对其自身的计划和决策带来干扰。而企业内部还会因具体的实际控制方式、资源引导方式、设计和管理合规计划的人选等原因导致争议,将进步一增加企业处理事务的复杂性。
吸纳主要利益相关者的不同观点
在这样的背景之下,企业内不同业务部门领导层间的合作将成为决定合规计划设计与实施工作成功与否的关键所在。具体来讲,计划的规划、范围界定、阶段设计以及实施与持续管理必须与法律、IT管理、隐私以及信息治理能力得以切实结合。
合规性工作将涵盖IT系统、人员配置、政策与合同等多个方面,且企业或组织同时还需要避免高度依赖 IT 专业知识这一常见陷阱。成功的 GDPR 合规计划必须能够结合整个组织内各关键利益相关者的观点。
解决方案设计与独特风险状况相匹配
除了促进利益相关者与各业务部门间的合作与协作外,企业还应为GDPR做些什么?
对大多数组织或组织而言,建立衡量机制可能是最好的起点。因此,了解自身所面临的最大的 GDPR 风险至关重要。首先应检查企业或组织收集及/或处理欧盟消费者个人数据的方式,如果核心业务涉及对此类信息的处理,那么其面临的风险将远远高于那些主要从事 B2B 交易的企业或组织。
如果按照 GDPR 的要求建立记录处理活动的协议,则能够确定需要修复的安全性与流程缺陷。然而,供应商驱动型模板与方法通常会带来规模庞大的顾问团队,这意味着可能已经“用力过猛”且与企业或组织的具体需求不能完全匹配。
事实上,绝大多数企业并不需要规模庞大且成本高昂的一流解决方案。相反,企业或组织应该制定一种逻辑方法,根据自身组织的独特风险状况而定制方案。对于大多数组织而言,这种方式往往更具可行性与实用性,并能够在利用现有数据保护功能与管理流程的同时,将 GDPR 合规性提炼为一套核心的可操作组件。
大多数合规性计划应当优先考量的新要求与限制。根据新的法规,企业必须:
- 识别并明确记录与处理欧盟数据主体的个人信息相关的一切活动,包括确保每项处理活动皆具有合法目的。
- 确保收集个人数据时始终向数据主体发出充分的通知,告知对方其被收集的数据有哪些,并明确说明目前正在处理的数据内容。
- 为回应欧盟民众的数据主题访问请求(简称 DSAR)以及其它权利主张做好准备。GDPR 规定各企业需要在30天时限之内回应相关请求。
- 建立一套隐私影响评估流程,对数据保护及个人隐私权影响作出正式分析,并将其引入任何新的业务流程或系统。
- 通过充分、得到认同且有约束力的企业规则或其它合同条款以保护被转移至欧盟之外的个人数据。
- 审查访问控制、加密、化名与技术安全措施,以保护由企业控制的个人信息。
- 在发生危及欧盟公民个人信息的安全事件后的72小时之内,向欧盟数据保护机构发出通报。
- 任命一名数据保护官,负责对数据保护工作进行定期及系统性监测,同时负责内部教育、培训以及合规性审计事务。此人还将负责企业与GDPR监管当局之间的沟通,以及与数据主体间的交互。此要求适用于一切拥有高度敏感数据,或处理及/或存储大量欧盟个人数据的组织——无论这些主体是否属于组织外的员工或个人。
组织或企业需要全面了解欧盟个人数据是如何经由组织或企业系统进行流动、数据存储地在哪里以及数据控制权归属谁等问题。建议组织或企业利用自动化调查工具进行文件处理活动,同时亦充分参考内部利益相关者的意见。在此流程图当中,组织或企业亦需要考量第三方供应商能够提供的帮助。随着工作的进一步发展,组织或企业应严格审查 CRM 系统、人事记录、市场营销数据库等结构化数据源的数据保留策略。相当一部分组织保留的个人数据远远超出了其业务价值的合理性。企业还应利用自动化调查工具与利益相关方的建议识别并记录处理活动,从而确定欧盟个人数据以及受保护数据类型的具体保留位置。
确保包括电子邮件在内的任何非结构化的数据源是此项工作的重要组成部分。在电子邮件方面,企业应采取措施,以保证个人用户能够意识到保留及共享欧盟主体个人数据所存在的相关风险以及当此类信息未得到严格保护时可能给企业及个人带来的潜在后果。目前,许多企业都会考虑通过加密、化名以及/或者电子邮件监控等方式加强相关安全协议。
三、在流程图制定完成后,企业或组织应制定一个全面的书面计划。
各组织应将 GDPR 合规性计划视为全面重新审视自身个人数据安全控制体系的绝佳机会,并借此找出差距与缺陷。这方面的工作包括审查访问控制、漏洞修复以及漏洞管理的能力等。此项计划还必须考虑到事件检测及响应能力。此外,还需审查供应商及其它商业合同中的 GDPR 合规性水平,并及时协商必要的新条款——包括任何必要的数据处理协议。
需对 GDPR 中“要求各组织在72小时之内向监管机构提交违规通报”这一新规定予以重视。如果企业或组织还未建立详尽的事件响应计划,则需要制定一套明确的流程,用以说明由谁向内部利益相关者进行通报、由谁联系及如何联系监管机构、何时向客户作出通报及通报哪些内容等等。这些协议以及其它细节在不同组织内往往难以实现标准化,且具体方案在很大程度上取决于所在组织的实际风险状况。
为了更全面地了解潜在风险,企业可尝试引入隐私影响评估(简称 PIA)方案,用以评估组织是否满足隐私法律、监管与政策要求的能力;识别并评估与个人数据相关的潜在风险;并提出具体措施以管理这些风险因素。若想要加快规划进程,也可以考虑聘请认证隐私专家审查现有文件并提供新的或额外的政策性建议。
合规性还要求企业或组织创建一个应对流程,用以响应欧盟数据主体对其个人信息的访问、修改或删除请求。对于多数组织而言,可以考虑通过具有资质的第三方履行这一义务,这将减轻内部员工面临的工作负担与压力。
四、企业或组织在制定合规计划时还应重视另一大极易遭到忽视的关键部分——针对员工的教育与培训工作。
企业或组织必须确保员工清楚了解企业在 GDPR 方面承担的义务与风险。可在在整个规划过程中发布执行简报,同时制定并实施适用于当前信息与安全系统、风险状况以及企业文化的隐私培训课程,并确保每个人都参与其中。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
