新基建企業(yè)面臨的風險與挑戰(zhàn)：信息安全與隱私保護

作為新基建系列活動之一，2020年7月8日，SGS攜手中關(guān)村融創(chuàng)企業(yè)開放創(chuàng)新促進會成功舉辦融|大咖分享會新基建系列第四期——新基建企業(yè)面臨的風險與挑戰(zhàn)：信息安全與隱私保護講座。促進會特別邀請了SGS認證及企業(yè)優(yōu)化部新產(chǎn)品和服務開發(fā)副總監(jiān)游天鴻先生，聚焦企業(yè)信息安全與隱私保護兩個方面，重點講解了國內(nèi)和國際隱私保護法規(guī)的原則和要求，點明了國內(nèi)企業(yè)隱私保護的痛點，提出了企業(yè)隱私管理規(guī)范化、系統(tǒng)化的主要途徑，為組織信息安全和隱私安全保障提供了解決思路。

一、內(nèi)容提要
1. 歐盟《通用數(shù)據(jù)保護條例》（GDPR）、中國GB/T 35273-2020個人信息安全規(guī)范對信息保護的要求。
2. 企業(yè)目前在隱私保護上的管理痛點和誤區(qū)。
3. ISO/IEC 27001:2013與ISO/IEC 27701:2019的標準和使用。
4. 企業(yè)隱私管理體系的規(guī)范和構(gòu)建。
5. 新基建領(lǐng)域的隱私保護規(guī)范。

二、活動效果
新基建系列活動在疫情期間通過線上直播的方式，吸引了新基金創(chuàng)新企業(yè)及關(guān)注信息安全及隱私保護方面的人員報名參與。
本次游老師的分享不僅讓大家了解到國際、國內(nèi)隱私保護的相關(guān)重要法規(guī)標準，還使參與活動的人員意識到了學習隱私法規(guī)和構(gòu)建企業(yè)隱私管理體系的重要性。

三、企業(yè)面臨的5大痛點分析
1. 在歐盟《通用數(shù)據(jù)保護條例》（GDPR）對信息保護的要求中，強調(diào)了六大原則和八大數(shù)據(jù)主體權(quán)利，而這些原則和權(quán)利在中國GB/T 35273-2020個人信息安全規(guī)范中都有涉及，說明各國專家在隱私保護方面的著眼點是一致的。處置過程的安全性是國內(nèi)多數(shù)企業(yè)對隱私保護唯一關(guān)注的領(lǐng)域，意味著多數(shù)企業(yè)只注重到六大原則中的安全性，而其他原則、權(quán)利卻少有顧及。

2. 企業(yè)目前在隱私管理方面的痛點有：
①隱私管理很大程度僅僅只是與機密性有關(guān)而已，多數(shù)企業(yè)只關(guān)注數(shù)據(jù)的加密方式、包括存儲位置、誰有權(quán)限訪問數(shù)據(jù)等。
②其它隱私要求比如數(shù)據(jù)最小化、存儲保留最短化等做得不到位，甚至沒有關(guān)注到。
③企業(yè)的角色也沒有明確定義，數(shù)據(jù)處理者和數(shù)據(jù)控制者的責任有差別。
④不清楚是否有第三方（外部公司或自己的子公司/集團公司）的數(shù)據(jù)處理未識別。

這些痛點反映在企業(yè)內(nèi)部管理表現(xiàn)為：
①隱私要求/法規(guī)的培訓不足。
②培訓材料側(cè)重于保密性。
③無系統(tǒng)化的數(shù)據(jù)流分析。
④許多策略和文檔都是根據(jù)個別隱私法規(guī)要求而創(chuàng)建的，很多時候這些文檔規(guī)定的要求沒有責任人，組織也沒有系統(tǒng)化去管理這些文檔。
⑤數(shù)據(jù)泄露不被視為安全事件，對數(shù)據(jù)泄露沒有結(jié)構(gòu)化的事件處理程序。

3. ISO/IEC 27001:2013作為信息安全管理體系的國際標準，在隱私保護方面要求略顯不足。在ISO/IEC 27001:2013的基礎上，ISO/IEC 27701:2019建立了一個隱私管理架構(gòu)，增加了相應的隱私控制點，確保隱私原則和數(shù)據(jù)主體的權(quán)力得到保障。其標準包含附加的管理要素，補充了31項 ISO/IEC 27002的控制要求、用于信息控制者的31個附加控制要求和用于信息處理者的18個附加控制要求，是一個可認證標準。

4. 隱私管理與人事管理、質(zhì)量管理、環(huán)境管理等，都應該是組織整體管理的一個有機組成部分。作為管理流程的一部分，組織在設計流程和服務交付時，就應該考慮隱私的相關(guān)要求，而不是在交付后進行篩查。

5. 隱私信息管理體系通過如下三個途徑確保組織以系統(tǒng)化的方式管理數(shù)據(jù)隱私問題。
第一、技術(shù)控制要求，確保不僅是數(shù)據(jù)安全，數(shù)據(jù)主體權(quán)利和數(shù)據(jù)處理原則也都要控制。
第二、管理架構(gòu)，如高層參與、公司政策、KPI、企業(yè)架構(gòu)、培訓和意識、文檔控制等。
第三、監(jiān)視和改進，如內(nèi)部評審、管理評審等。

四、Q&A精選干貨
1. Q：
前幾日杭州舉辦了隱私計算論壇，其中提到將區(qū)塊鏈與隱私計算技術(shù)結(jié)合起來，將企業(yè)數(shù)據(jù)通過區(qū)塊鏈技術(shù)與眾多企業(yè)互聯(lián)互通，實現(xiàn)數(shù)據(jù)的“可用不可見”，您覺得這種方法是否與國際標準的相關(guān)要求沖突呢？

答：沒有沖突。區(qū)塊鏈是一個安全技術(shù)，它能做到共享數(shù)據(jù)的同時加密數(shù)據(jù)且使之不可見，在數(shù)據(jù)保護方面是一個很好的手段。但目前一些區(qū)塊鏈組織在數(shù)據(jù)治理方面僅關(guān)注到了數(shù)據(jù)的保密性、完整性、可用性，這是我們通常說的信息安全。而對于數(shù)據(jù)的隱私安全要求，諸如我們前文提到的歐盟GDPR的數(shù)據(jù)處理六大原則及數(shù)據(jù)主體的八大權(quán)利以及國內(nèi)GB/T35273-2020個人信息安全規(guī)范，大部分組織在合規(guī)性上還有很大的差距。所以不能僅靠區(qū)塊鏈技術(shù)來做好數(shù)據(jù)的隱私管理。

2. Q：
在大數(shù)據(jù)時代，企業(yè)特別是中小型企業(yè)應該如何做好隱私保護工作？

答：舉個例子：企業(yè)作為數(shù)據(jù)收集方，從管理和合規(guī)性而言都需要要取得數(shù)據(jù)主體的同意，數(shù)據(jù)主體要求刪除時就必須刪除，跟數(shù)據(jù)大小沒有關(guān)系，處理的原則還是一樣，這個是法規(guī)的一部分。另外一方面，數(shù)據(jù)龐大可能會影響處理隱私數(shù)據(jù)的有效性和速度，但不應該因為數(shù)據(jù)龐大的問題而增加或減少隱私保護方面的份量。

3. Q：
在中國本土企業(yè)走向海外的過程中，有哪些隱私安全方面的事宜是需要和國際接軌的？

答：第一，中國的隱私法雖然沒公布，但現(xiàn)有的國標其實是寫得不錯，所以并不意味著國外的隱私法規(guī)寫得更好，我們一定要向國外學習。
第二，國內(nèi)企業(yè)要和國際接軌，從技術(shù)角度來看國內(nèi)的企業(yè)肯定能做到。然而國內(nèi)隱私管理現(xiàn)有的問題在于，大部分企業(yè)對隱私法規(guī)不了解，通常局限在信息安全里面，前文提及的那些原則、權(quán)利，很多企業(yè)都很陌生，企業(yè)在走向海外的同時，應充分識別適用的隱私法規(guī)，運用國際標準來規(guī)避組織可能面臨的隱私安全風險。

4. Q：
可以預見數(shù)據(jù)將成為新基建所有經(jīng)濟部門提高生產(chǎn)效率的新動能，然而大力保護隱私與向客戶提供精準個性化服務常常沖突，怎么化解這個矛盾呢？隱私保護的邊界在哪里？

答：個性化服務跟隱私保護沒有沖突，客戶不知情的信息搜集、買賣數(shù)據(jù)、超范圍的信息搜集等才是與隱私保護相沖突的地方。法規(guī)沒說大數(shù)據(jù)分析和個性化服務有錯，它們強調(diào)的是要在客戶知情且充分授權(quán)的情況下才能做，但現(xiàn)在很多APP都沒做到這一點。

5. Q：
企業(yè)將數(shù)據(jù)保存在第三方云服務商上，合規(guī)是由自己承擔還是第三方云服務商承擔？

答：企業(yè)作為數(shù)據(jù)的收集方是數(shù)據(jù)控制者，云服務提供商作為供應商替企業(yè)處理數(shù)據(jù)，是數(shù)據(jù)處理者，如果違規(guī)，兩個都要承擔責任，根據(jù)過往的案例企業(yè)面臨的處罰會更重一些。

五、免費回放入口
如您錯過直播回放，可以掃描下方二維碼進入回看。
限時免費回看倒計時還有不到2天，7月11日恢復原價69.9，趕快來學習吧。

直播回放鏈接（點擊查看詳情）

六、作為國際公認的檢驗、鑒定、測試和認證機構(gòu)，SGS致力于為各行各業(yè)提供企業(yè)優(yōu)化服務，在信息安全和個人信息及隱私管理服務范圍內(nèi)，包括：
ISO/IEC 27001 信息安全管理體系
ISO/IEC 27701隱私信息管理體系
ISO/IEC 20000 IT服務管理體系
ISO/IEC 27017 云服務信息安全規(guī)范
ISO/IEC 27018 公共云個人信息（ PII）處理者的信息安全控制規(guī)范
ISO 22301 業(yè)務連續(xù)性管理體系
CSA STAR 云安全聯(lián)盟云安全評估認證
GDPR相關(guān)的培訓和認證服務。

（本文著作權(quán)歸SGS所有，商業(yè)轉(zhuǎn)載請聯(lián)系獲得正式授權(quán)，非商業(yè)轉(zhuǎn)載請注明出處）