论大数据时代下组织内的隐私信息保护管理体系建设
更新时间:2021-03-01
浏览量:688

大数据时代,人们在网络上留下的个人印记越来越多,这给人们的生活带来极大便利的同时,也增加了用户 个人隐私信息泄露的风险。通过运用大数据技术对人们留在互 联网上的痕迹进行采集,挖掘,提炼与分析之后,每个人的精 准画像都被毫无保留地完整暴露在了网络世界中。别有用心的 人们会利用每个人的精准画像给用户定向推送垃圾短信,拨打 骚扰电话,进行网络诈骗,造成了一起又一起的网络安全事 件,严重危害社会。在这种背景下,个人隐私信息的保护就显 得至关重要,这就要求涉及个人隐私信息采集处理的组织加强 组织内的隐私信息保护管理体系建设。本文从组织内隐私保护 管理体系建设的意义,建设思路,产品的隐私保护设计流程, 隐私泄露常见风险及应对策略几个方面来论述。

关键词:隐私信息保护;体系建设;大数据

 

一、组织实施隐私信息保护管理体系的意义

组织实施隐私信息保护管理体系具有重大的意义。站在 消费者的角度考虑,隐私保护管理体系的建立一方面可以切实 保护用户隐私;另一方面也可以让用户看到企业的数据道德。 站在社会和监管的角度考虑,建立隐私保护管理体系既是企业 承担安全合规责任的要求;也是企业树立良好的自身形象所 需。对于组织内部而言,隐私保护管理体系的建设能够帮助企 业树立全员安全责任意识,落实合规流程技术。最后,隐私保 护管理体系的建设降低了企业与关联方的数据之间的流动风 险,更有利于构建合作责任模型。由此可见,在组织内建立隐 私信息保护管理体系是必要的。

二、组织隐私信息保护建设总体思路

如何在组织内开展隐私信息保护管理体系建设呢?体系 的建设首先要遵循法律法规的要求,在个人隐私保护方面可参 考GDPR,CCPA,ISO27701,个人信息安全法,网络安全法,我 们需要从组织,流程,人员,技术四个方面来考虑。第一要管 好组织:战略方面,需找到个人隐私合规与个人创新的平衡点; 组织方面,要加强隐私合规团队能力建设,树立隐私合规团队 权威;体系方面,要将隐私保护与信息安全充分融合。第二要 管好流程:明确好全员职责与责任,定义清晰职责边界;灵活 运用PDCA,PIA,PBD 方法工具进行流程管控;通过制定精简 高效的流程,快速捕捉核心风险。第三要管好人员:这涉及到 组织安全文化建设,安全红线制定,以及安全意识教育;要营 造可信,不做恶的企业文化,建立违规惩处底线机制,做到违 规必究;加强全员信息安全意识,安全合规意识教育。第四要 管好技术:使用代码扫描,渗透测试,隐私合规检测技术保证 软件安全;使用数据发现,数据流动监测,行为审计,DLP 技 术保证数据安全;隐私保护方面要充分运用隐私工程技术标 准,PBD 创新与赋能技术。对技术的管控最终要落到项目研发 出的产品上,也就是大数据时代下,涉及到用户个人信息采集使用的应用产品。组织内对于此类应用产品的隐私保护设计也 是组织隐私保护管理体系建设的重要组成部分。下面就来介绍 组织内研发产品的隐私保护设计流程。

三、组织内应用产品的隐私保护设计流程

组织内应用产品的隐私保护设计需要贯穿软件的全生命 周期研发过程。在商业论证需求评审阶段,开展安全评审, 隐私安全风险评估;在需求分析阶段,进行隐私与安全需求 分析;在设计阶段,开展隐私工程设计和隐私功能设计;在 开发阶段,遵照安全编码规范进行代码开发;在测试阶段, 开展代码白盒检测,灰盒检测和黑盒检测,充分进行隐私与 安全功能测试;产品上线发布前要进行隐私政策更新,隐私 合规评审;上线发布到生产环境后,进行线上的持续安全合 规监测和评估,第一时间捕获隐私合规风险。

四、个人隐私泄露常见风险及应对策略

在组织的隐私信息管理体系建设过程中,最常见的个人 隐私信息泄露存在于以下几个环节:第一是因工作需要,组织 需向第三方(例如政府,媒体,外包方等)披露数据时:组织 的应对策略是遵循严格的对外数据披露流程,与披露对象签订 协议,确保隐私数据仅限被披露对象使用,并约定被披露对象 泄露数据所需承担的责任。 第二是个人隐私信息对外展现时:组织的应对策略是对 于敏感个人信息,在对外展示、共享或存储时应采取假值、屏 蔽、随机、泛化等方式进行敏感信息脱敏。 第三是与第三方共享个人信息时:组织的应对策略是与 第三方合作,对外提供及共享用户个人信息的场景,要有用户 的明确授权或进行了必要的匿名化/ 去标识化处理;与第三方 进行合作并为第三方提供用户引流的场景,在跳转第三方注册 页面时,需要明确提示用户关注第三方相关服务协议及隐私权 政策。 第四是应用产品的研发中涉及到引用采集用户个人信息 的第三方SDK 时:组织的应对策略是引入采集个人信息的第三 方 SDK 需经过评审;隐私政策中公开第三方 SDK 收集行为; 对于敏感个人信息进行不可逆加密传输;第三方 SDK 禁止采 集及上传高敏感用户个人数据,禁止 SDK 启用允许service 之外的服务。

五、总结

大数据时代不应成为侵权时代。个人隐私信息的保护需 要全社会人员的共同努力,尤其需要从源头上防止个人隐私信 息的泄露,而研发采集用户个人信息的产品的组织就是最大的 源头所在,加强组织的个人隐私信息保护体系建设就能在最大 程度上防止用户个人隐私信息泄露。

大数据时代,人们在网络上留下的个人印记越来越多,这给人们的生活带来极大便利的同时,也增加了用户 个人隐私信息泄露的风险。通过运用大数据技术对人们留在互 联网上的痕迹进行采集,挖掘,提炼与分析之后,每个人的精 准画像都被毫无保留地完整暴露在了网络世界中。别有用心的 人们会利用每个人的精准画像给用户定向推送垃圾短信,拨打 骚扰电话,进行网络诈骗,造成了一起又一起的网络安全事 件,严重危害社会。在这种背景下,个人隐私信息的保护就显 得至关重要,这就要求涉及个人隐私信息采集处理的组织加强 组织内的隐私信息保护管理体系建设。本文从组织内隐私保护 管理体系建设的意义,建设思路,产品的隐私保护设计流程, 隐私泄露常见风险及应对策略几个方面来论述。

关键词:隐私信息保护;体系建设;大数据

 

一、组织实施隐私信息保护管理体系的意义

组织实施隐私信息保护管理体系具有重大的意义。站在 消费者的角度考虑,隐私保护管理体系的建立一方面可以切实 保护用户隐私;另一方面也可以让用户看到企业的数据道德。 站在社会和监管的角度考虑,建立隐私保护管理体系既是企业 承担安全合规责任的要求;也是企业树立良好的自身形象所 需。对于组织内部而言,隐私保护管理体系的建设能够帮助企 业树立全员安全责任意识,落实合规流程技术。最后,隐私保 护管理体系的建设降低了企业与关联方的数据之间的流动风 险,更有利于构建合作责任模型。由此可见,在组织内建立隐 私信息保护管理体系是必要的。

二、组织隐私信息保护建设总体思路

如何在组织内开展隐私信息保护管理体系建设呢?体系 的建设首先要遵循法律法规的要求,在个人隐私保护方面可参 考GDPR,CCPA,ISO27701,个人信息安全法,网络安全法,我 们需要从组织,流程,人员,技术四个方面来考虑。第一要管 好组织:战略方面,需找到个人隐私合规与个人创新的平衡点; 组织方面,要加强隐私合规团队能力建设,树立隐私合规团队 权威;体系方面,要将隐私保护与信息安全充分融合。第二要 管好流程:明确好全员职责与责任,定义清晰职责边界;灵活 运用PDCA,PIA,PBD 方法工具进行流程管控;通过制定精简 高效的流程,快速捕捉核心风险。第三要管好人员:这涉及到 组织安全文化建设,安全红线制定,以及安全意识教育;要营 造可信,不做恶的企业文化,建立违规惩处底线机制,做到违 规必究;加强全员信息安全意识,安全合规意识教育。第四要 管好技术:使用代码扫描,渗透测试,隐私合规检测技术保证 软件安全;使用数据发现,数据流动监测,行为审计,DLP 技 术保证数据安全;隐私保护方面要充分运用隐私工程技术标 准,PBD 创新与赋能技术。对技术的管控最终要落到项目研发 出的产品上,也就是大数据时代下,涉及到用户个人信息采集使用的应用产品。组织内对于此类应用产品的隐私保护设计也 是组织隐私保护管理体系建设的重要组成部分。下面就来介绍 组织内研发产品的隐私保护设计流程。

三、组织内应用产品的隐私保护设计流程

组织内应用产品的隐私保护设计需要贯穿软件的全生命 周期研发过程。在商业论证需求评审阶段,开展安全评审, 隐私安全风险评估;在需求分析阶段,进行隐私与安全需求 分析;在设计阶段,开展隐私工程设计和隐私功能设计;在 开发阶段,遵照安全编码规范进行代码开发;在测试阶段, 开展代码白盒检测,灰盒检测和黑盒检测,充分进行隐私与 安全功能测试;产品上线发布前要进行隐私政策更新,隐私 合规评审;上线发布到生产环境后,进行线上的持续安全合 规监测和评估,第一时间捕获隐私合规风险。

四、个人隐私泄露常见风险及应对策略

在组织的隐私信息管理体系建设过程中,最常见的个人 隐私信息泄露存在于以下几个环节:第一是因工作需要,组织 需向第三方(例如政府,媒体,外包方等)披露数据时:组织 的应对策略是遵循严格的对外数据披露流程,与披露对象签订 协议,确保隐私数据仅限被披露对象使用,并约定被披露对象 泄露数据所需承担的责任。 第二是个人隐私信息对外展现时:组织的应对策略是对 于敏感个人信息,在对外展示、共享或存储时应采取假值、屏 蔽、随机、泛化等方式进行敏感信息脱敏。 第三是与第三方共享个人信息时:组织的应对策略是与 第三方合作,对外提供及共享用户个人信息的场景,要有用户 的明确授权或进行了必要的匿名化/ 去标识化处理;与第三方 进行合作并为第三方提供用户引流的场景,在跳转第三方注册 页面时,需要明确提示用户关注第三方相关服务协议及隐私权 政策。 第四是应用产品的研发中涉及到引用采集用户个人信息 的第三方SDK 时:组织的应对策略是引入采集个人信息的第三 方 SDK 需经过评审;隐私政策中公开第三方 SDK 收集行为; 对于敏感个人信息进行不可逆加密传输;第三方 SDK 禁止采 集及上传高敏感用户个人数据,禁止 SDK 启用允许service 之外的服务。

五、总结

大数据时代不应成为侵权时代。个人隐私信息的保护需 要全社会人员的共同努力,尤其需要从源头上防止个人隐私信 息的泄露,而研发采集用户个人信息的产品的组织就是最大的 源头所在,加强组织的个人隐私信息保护体系建设就能在最大 程度上防止用户个人隐私信息泄露。