新基建企業面臨的風險與挑戰：信息安全與隱私保護

作為新基建系列活動之一，2020年7月8日，SGS攜手中關村融創企業開放創新促進會成功舉辦融|大咖分享會新基建系列第四期——新基建企業面臨的風險與挑戰：信息安全與隱私保護講座。促進會特別邀請了SGS認證及企業優化部新產品和服務開發副總監游天鴻先生，聚焦企業信息安全與隱私保護兩個方面，重點講解了國內和國際隱私保護法規的原則和要求，點明了國內企業隱私保護的痛點，提出了企業隱私管理規范化、系統化的主要途徑，為組織信息安全和隱私安全保障提供了解決思路。

一、內容提要
1. 歐盟《通用數據保護條例》（GDPR）、中國GB/T 35273-2020個人信息安全規范對信息保護的要求。
2. 企業目前在隱私保護上的管理痛點和誤區。
3. ISO/IEC 27001:2013與ISO/IEC 27701:2019的標準和使用。
4. 企業隱私管理體系的規范和構建。
5. 新基建領域的隱私保護規范。

二、活動效果
新基建系列活動在疫情期間通過線上直播的方式，吸引了新基金創新企業及關注信息安全及隱私保護方面的人員報名參與。
本次游老師的分享不僅讓大家了解到國際、國內隱私保護的相關重要法規標準，還使參與活動的人員意識到了學習隱私法規和構建企業隱私管理體系的重要性。

三、企業面臨的5大痛點分析
1. 在歐盟《通用數據保護條例》（GDPR）對信息保護的要求中，強調了六大原則和八大數據主體權利，而這些原則和權利在中國GB/T 35273-2020個人信息安全規范中都有涉及，說明各國專家在隱私保護方面的著眼點是一致的。處置過程的安全性是國內多數企業對隱私保護唯一關注的領域，意味著多數企業只注重到六大原則中的安全性，而其他原則、權利卻少有顧及。

2. 企業目前在隱私管理方面的痛點有：
①隱私管理很大程度僅僅只是與機密性有關而已，多數企業只關注數據的加密方式、包括存儲位置、誰有權限訪問數據等。
②其它隱私要求比如數據最小化、存儲保留最短化等做得不到位，甚至沒有關注到。
③企業的角色也沒有明確定義，數據處理者和數據控制者的責任有差別。
④不清楚是否有第三方（外部公司或自己的子公司/集團公司）的數據處理未識別。

這些痛點反映在企業內部管理表現為：
①隱私要求/法規的培訓不足。
②培訓材料側重于保密性。
③無系統化的數據流分析。
④許多策略和文檔都是根據個別隱私法規要求而創建的，很多時候這些文檔規定的要求沒有責任人，組織也沒有系統化去管理這些文檔。
⑤數據泄露不被視為安全事件，對數據泄露沒有結構化的事件處理程序。

3. ISO/IEC 27001:2013作為信息安全管理體系的國際標準，在隱私保護方面要求略顯不足。在ISO/IEC 27001:2013的基礎上，ISO/IEC 27701:2019建立了一個隱私管理架構，增加了相應的隱私控制點，確保隱私原則和數據主體的權力得到保障。其標準包含附加的管理要素，補充了31項 ISO/IEC 27002的控制要求、用于信息控制者的31個附加控制要求和用于信息處理者的18個附加控制要求，是一個可認證標準。

4. 隱私管理與人事管理、質量管理、環境管理等，都應該是組織整體管理的一個有機組成部分。作為管理流程的一部分，組織在設計流程和服務交付時，就應該考慮隱私的相關要求，而不是在交付后進行篩查。

5. 隱私信息管理體系通過如下三個途徑確保組織以系統化的方式管理數據隱私問題。
第一、技術控制要求，確保不僅是數據安全，數據主體權利和數據處理原則也都要控制。
第二、管理架構，如高層參與、公司政策、KPI、企業架構、培訓和意識、文檔控制等。
第三、監視和改進，如內部評審、管理評審等。

四、Q&A精選干貨
1. Q：
前幾日杭州舉辦了隱私計算論壇，其中提到將區塊鏈與隱私計算技術結合起來，將企業數據通過區塊鏈技術與眾多企業互聯互通，實現數據的“可用不可見”，您覺得這種方法是否與國際標準的相關要求沖突呢？

答：沒有沖突。區塊鏈是一個安全技術，它能做到共享數據的同時加密數據且使之不可見，在數據保護方面是一個很好的手段。但目前一些區塊鏈組織在數據治理方面僅關注到了數據的保密性、完整性、可用性，這是我們通常說的信息安全。而對于數據的隱私安全要求，諸如我們前文提到的歐盟GDPR的數據處理六大原則及數據主體的八大權利以及國內GB/T35273-2020個人信息安全規范，大部分組織在合規性上還有很大的差距。所以不能僅靠區塊鏈技術來做好數據的隱私管理。

2. Q：
在大數據時代，企業特別是中小型企業應該如何做好隱私保護工作？

答：舉個例子：企業作為數據收集方，從管理和合規性而言都需要要取得數據主體的同意，數據主體要求刪除時就必須刪除，跟數據大小沒有關系，處理的原則還是一樣，這個是法規的一部分。另外一方面，數據龐大可能會影響處理隱私數據的有效性和速度，但不應該因為數據龐大的問題而增加或減少隱私保護方面的份量。

3. Q：
在中國本土企業走向海外的過程中，有哪些隱私安全方面的事宜是需要和國際接軌的？

答：第一，中國的隱私法雖然沒公布，但現有的國標其實是寫得不錯，所以并不意味著國外的隱私法規寫得更好，我們一定要向國外學習。
第二，國內企業要和國際接軌，從技術角度來看國內的企業肯定能做到。然而國內隱私管理現有的問題在于，大部分企業對隱私法規不了解，通常局限在信息安全里面，前文提及的那些原則、權利，很多企業都很陌生，企業在走向海外的同時，應充分識別適用的隱私法規，運用國際標準來規避組織可能面臨的隱私安全風險。

4. Q：
可以預見數據將成為新基建所有經濟部門提高生產效率的新動能，然而大力保護隱私與向客戶提供精準個性化服務常常沖突，怎么化解這個矛盾呢？隱私保護的邊界在哪里？

答：個性化服務跟隱私保護沒有沖突，客戶不知情的信息搜集、買賣數據、超范圍的信息搜集等才是與隱私保護相沖突的地方。法規沒說大數據分析和個性化服務有錯，它們強調的是要在客戶知情且充分授權的情況下才能做，但現在很多APP都沒做到這一點。

5. Q：
企業將數據保存在第三方云服務商上，合規是由自己承擔還是第三方云服務商承擔？

答：企業作為數據的收集方是數據控制者，云服務提供商作為供應商替企業處理數據，是數據處理者，如果違規，兩個都要承擔責任，根據過往的案例企業面臨的處罰會更重一些。

五、免費回放入口
如您錯過直播回放，可以掃描下方二維碼進入回看。
限時免費回看倒計時還有不到2天，7月11日恢復原價69.9，趕快來學習吧。

直播回放鏈接（點擊查看詳情）

六、作為國際公認的檢驗、鑒定、測試和認證機構，SGS致力于為各行各業提供企業優化服務，在信息安全和個人信息及隱私管理服務范圍內，包括：
ISO/IEC 27001 信息安全管理體系
ISO/IEC 27701隱私信息管理體系
ISO/IEC 20000 IT服務管理體系
ISO/IEC 27017 云服務信息安全規范
ISO/IEC 27018 公共云個人信息（ PII）處理者的信息安全控制規范
ISO 22301 業務連續性管理體系
CSA STAR 云安全聯盟云安全評估認證
GDPR相關的培訓和認證服務。

（本文著作權歸SGS所有，商業轉載請聯系獲得正式授權，非商業轉載請注明出處）