本篇介绍:创建数据保护合规制度
本篇为第2篇/共5篇
上一篇:企业安全隐私合规体系建设经验总结(一)
下一篇:企业安全隐私合规体系建设经验总结(三)
在去年前三季度(2019年),我有幸主导了公司的安全隐私合规体系建设。几乎是从零开始,完成了ISO 27001、ISO 27017、ISO 27018、GDPR、等级保护三级、CCPA等安全隐私合规认证,其中也写了一些零零碎碎的心得和研究笔记。
而在今年春节(2020年),由于武汉肺炎疫情严重,假期延长,我决定系统的回顾和总结一下关于企业安全隐私合规体系建设的经验,以让后来人及自己以后都少走弯路。
不管是什么事情,总得有人负责做。对于安全隐私合规体系建设,通常是由法务部、技术部或人力资源部来主导负责,公司所有部门配合完成,当然有些大公司可能还会有专门的合规部,那就不用说了。
以涂鸦为例,我们的隐私合规项目是划分给技术部下的安全部主导,其他各部门配合。而作为主导人,除了要研究了解相关法律条款,还要懂公司实际业务情况以及技术实施,少一样都很难推动隐私合规体系建设。而还有一样技能在隐私合规体系建设中也极为重要,那就是英语能力。
不了解法律条款,就不懂需求是什么;不了解公司实际业务情况,就很难针对性着手;不了解技术实施,就很难和实际执行人员沟通问题;不懂英语,就不能轻松的阅读外文文献或者和国外相关部门或客户交流。
在企业里开展某项合规制度时,需要内部各个部门配合,如何让内部各个部门愿意配合协作是一门学问。通常,用问答体准备一份简短的情况说明能够有效的提升企业内部各个部门的意识并争取到相应的支持。
另外,公司一把手(董事长/CEO/总裁等)的明确支持是推行合规开展的必要条件,如果公司一把手不表态不过问,合规制度根本无法开展。例如有一项合规需求需要人力资源部配合,那你作为主导人,首先你要说服人力资源部总监,而不是直接找底下的执行人员,因为每个人手头都有各种工作,如果没有领导发派安排,他们没时间也不愿意支持你的需求,而这时候如果没有一把手的表态作为依靠,你就很难说服人力资源部总监接受你的需求,合规项目开展就会受阻。
对于企业不熟悉的法律形式和语言,仅凭借自身要搞清楚合规形式义务和实质义务的准确性质和细节太费时费力。因此,多数情况下,聘请或合作一个外部顾问是有必要的。
在选择外部顾问时,要综合考虑多种因素,从而选择个人外部顾问还是团队外部顾问。同时,在向外部顾问咨询时,不仅要向外部顾问咨询实质上和形式上的纸面规定,还要让顾问说明务实中的执行情况。例如可以提出如下问题:
某项规定在实践中是被严格遵守,还是形同虚设?
对于某个问题,监管部门和厉害主体是否常常吹毛求疵?
在某项要求方面,其他企业曾遭遇过哪些风险和问题?
……
这些问题的答案可以帮助企业全面了解情况,分出任务的轻重缓急。
例如,涂鸦在GDPR和CCPA的合规建设中聘请的外部咨询方是TrustArc团队,TrustArc团队给我们提供全方位的指导意见,我们负责形式执行(撰写相关合规文档)和落地执行(实际落实),最终TrustArc团队负责审核以及出具合规报告。
根据《欧盟通用数据保护条例》,欧洲经济区成员国如果涉足特别敏感的数据处理,则必须指定数据保护官。关联公司集团可以任命一位数据保护官负责集团内几家或全部实体的数据保护事宜,但应当以这些分散在各地的实体都能联络到这位数据保护官为前提。
另外,大多企业在任命了数据保护官之后,会把这个合规模式套用在全球所有地区,这样做可以方便全球统一管理。不过这并不是强制的。
首先,数据保护官的候选人必须具备数据保护法规、信息技术和公司运营方面的经验、知识或训练。其次,候选人必须可靠,且不得与数据保护工作存在利益冲突。最后,企业必须为数据保护官能够履行法定义务提供保障,还要求企业为数据保护官提供信息和培训,减少数据保护官的其他工作职责,以保障其在数据保护方面的工作时间。
任命外部人员和任命内部人员各有利弊。
任命内部人员后,在辞退该员工(数据保护官)时会在原本就困难基础上变得更加困难;而辞退外部数据保护官则很轻松。
任命内部人员后,可以确保所有信息留在公司内部和保密;而任命外部数据保护官则意味着把公司的系统、流程、安全措施和数据开放给外人。
内部数据保护官往往对实际操作、流程和问题更加熟悉,也更容易了解员工顾虑和安全弱点方面的信息;而外部数据保护官则可能对行业标准掌握更为扎实,比非全职负责数据保护的内部数据保护官更有经验,也更加专业。
最后,还要考虑任命外部数据保护官的财务成本。
此外,GDPR和欧盟各国法律目前没有要求必须任命本土员工担任数据保护官。这也意味着可以任命欧盟境外的员工担任数据保护官,且无需常驻欧盟。
以涂鸦为例,作为一家总部在中国杭州的公司,涂鸦任命的数据保护官为中国人,常驻中国杭州。
根据《欧盟通用数据保护条例》,企业必须把数据保护官的联络方式(如直线电话和电子邮件地址)提交给数据保护机关,同时公开发布。大多企业会采用通用的电子邮件名称作为数据保护官的联系方式,以避免每次数据保护官换人之后还要更新隐私通知。
以涂鸦为例,涂鸦的数据保护官的邮箱是:[email protected]
数据保护官负责监督企业是否遵守相关数据保护法,并记录企业的数据处理活动。同时,数据保护官独立行事,不受制于企业管理层的指示(理论上是这样的,实际上如何此处不做讨论)。
数据保护官的日常工作包括:协助记录数据处理流程,评估和完善数据保护和安全规程,建议、遴选和实施技术安全措施,起草用于数据保护的文书和合同,筛选参与处理个人数据的员工、服务商和其他第三方,监督数据隐私、安全措施以及数据处理程序的正当使用,处理数据保护和违法违规的投诉,员工培训,准备、提交和维护提交给数据保护机关的报告材料。
《欧盟通用数据保护条例》明确允许企业自愿任命数据保护官,且这种方式对使用全球系统和流程的公司尤为有益,因为由一个人统一管理数据保护的方式效率最高。
对于自愿任命数据保护官的企业,在自愿任命数据保护官之前,应当找准自己的定位,考虑方方面面的利弊,并以书面形式写清楚数据保护官的职责和任务,这样被任命的人员才能清晰的理解该职位的权利、义务和预期,同时降低发生不利后果和冲突的风险。
例如:如果中国公司自己任命的全球数据保护官将自己的职责理解成与欧盟数据保护官一样独立,主要承担公共职能,那么他可能很快就会把发现的问题报告给中国政府机关了。
1、确认在哪些地区必须任命数据保护官以满足该地区法律要求,则这些地区需要任命数据保护官。
2、对于没有法律要求任命数据保护官的地区,要考虑如何最优化的实现和保持企业合规,确认自愿任命数据保护官是否对企业有帮助,如果有帮助,则任命数据保护官。
涂鸦的做法是:对于欧盟地区,任命一名数据保护官(中国人),而对于其他地区,因为法律上没有数据保护官这一概念,即不做讲究(实际上还是这个人)。但是对于合规落地实现,全球统一使用GDPR标准(美国地区落地实现稍有差异)。
一旦确定了负责人,下一步就要准备任务清单并记录执行情况和重点。
建立任务清单并监督执行有助于把握重点、做好规划、管理复杂情况以及妥善完成项目执行的交接。
在指定任务清单之前,首先必须要了解企业掌握了哪些数据、适用哪些法域的法律、这些法律对数据隐私合规有哪些具体的要求、如何能最优化的满足这些要求。
由于数据隐私法和信息技术的快速演进,设计和实施数据隐私合规制度最有效的方法往往是分阶段进行。在设计和执行阶段,集中关注高风险的法律要求和易处理的问题。在设计整个制度的时候就可以先把重点任务做起来。
数据隐私合规法律任务 | 目的 |
---|---|
设定全球数据保护官的职责和任命文件;如有特别法律规定,任命当地数据保护官 | 管理风险,满足合规义务 |
了解各国政府关于数据隐私保护的申报规定,准备并提交申报材料 | 管理风险,满足合规义务 |
盘点,准备数据库和数据流的记录 | 为通知、协议、申报打基础;满足记录和保留规定 |
基于欧盟标准合同条款和其他使跨国数据传输合法化的措施,准备和实施集团内的数据传输协议 | 克服跨国数据传输的法律限制 |
审阅、修改、翻译发送给消费者、企业客户代表和业务伙伴的隐私政策和通知 | 满足通知要求 |
审阅并准备发送给员工的员工数据处理通知,包括: 1、全球人力资源信息系统 2、监控工具(如反垃圾邮件、防病毒、网络浏览保护、数据丢失防护、防火墙)和调查 3、举报热线 4、工资、服务、股票期权 |
符合通知要求 |
审阅并准备与包括服务商、客户、中间商等业务伙伴所签协议中关于分享和处理数据的标准模板、保准数据传输合同、集团内规程,审阅、准备数据处理合同和规程 | 满足数据安全义务,把数据作为资产保护,降低未授权访问或破解的风险等 |
针对数据访问、数据保留、信息安全、事件响应和来自执法机关、监管部门、民事诉讼当事人等的信息披露要求等事项,审阅并制定企业内部规程和流程 | 满足合规义务,保护消费者和员工隐私 |
直接营销:执行全球范围或各个法域的加入和退出流程 | 满足各个法域的合规义务 |
常规培训、审核 | 管理风险,满足合规义务 |
首先应考虑企业使用了哪些个人数据。《欧盟通用数据保护条例》规定必须对数据处理活动保留更加正式和详细的记录,包括:
1、企业名称、详细的联系方式、欧洲经济区代表人及数据保护官(如有);
2、数据处理的目的;
3、数据类型、数据主体类型;
4、接受企业所披露数据者的类型,包括数据处理者(若企业本身为数据处理者,则包括其客户)的类型;
5、数据的国际传输和具体安全措施;
6、删除的时间期限;
7、技术上和组织上的安全措施。
通常,如果一个企业从零开始的话,建议先从粗放式的盘点数据开始。
不同的企业对建设数据隐私合规体系的目标和重点不同,有的是为了超越竞争对手形成商业竞争优势,有的是为了不被监管机构处罚。因此,了解清楚企业建设数据隐私合规体系的目标很重要,这样才能确保确立此项工作合适的任务重点。
通常情况下,企业应当主动先找出并解决最有可能造成严重后果的问题或者通过很少的资源和努力就能解决的问题。
预算有限的情况下可以先从成本低的问题做起,或者确定哪些具体措施是法律规定的,并依先例行事。
如果想成为行业的领军企业,则必须考虑如何对法律规定和商业需求做更全面的评估。
对于听从政府机关指导方面,应当确定政府的指导意见是否在实践中被广泛遵守或者是会遭到法院质疑和撤销,如果政府的指导意见只是形式,则没有必要遵守。
即企业的业务适用于哪些法律,需要遵守哪些法律,考虑跨国法律适用问题。
全球有很多很多国家和地区,每个国家和地区都有自己的法律,对于全球各地区法律的遵守选择问题上,可以把执法风险特别高的地区作为重点关注对象。一般来说,那些拥有子公司、员工、重大资产、关键客户的国家的法律应当被重点关注。除去商业考量,还应该考虑合规的难易度(如语言障碍、当地法律制度、总部所在地是否接近等)。
除了要关注狭义的数据隐私法之外,企业在设计数据隐私合规制度时还要考虑一些其他规定:
1、劳动法、消费者保护法、不正当竞争法规定的法律义务;
2、合同义务(如数据安全标准条款、事件通报条款、纳入隐私声明的条款等);
3、在隐私政策和通知中向数据主体作出的在先承诺;
4、客户预期和其他商业需求。
企业要遵守其在通知、规程、网站隐私声明和合同中承诺的限制性规定。同时,无论是在调整通信内容,还是调整实际做法,企业必须始终确保通知、隐私声明、合同和其他隐私相关通信准确、及时。
企业必须采取合理的安全措施保护保密数据不受未授权的访问和传播。企业收集、存储、使用、传输及以其他方式处理个人数据的程度取决于其收集和保存信息的业务需求和法律义务。
一项成功的数据安全制度通常包括以下方面:
1、采取手段对数据的存储位置、安保措施、目的及所需期限进行追踪(并记录数据处理活动);
2、对场所、网络和设备(包括加密、强认证、密码等)进行现场保护和技术保护;
3、对组织内的访问进行控制;
4、开展员工培训;
5、安全删除已经没有用的数据(废弃设备上的数据、纸面上的数据等);
6、对数据安全进行持续监控以及不定期审核、调查;
7、审慎选择、管理、监督和签订服务商;
8、为每一起数据安全事件制定计划方案,主动采取措施避免相同事件重演;
9、在任何数据处理活动发生重大改变之前,主动评估隐私影响和安全设计。
首先,我们应确定企业是否有书面规程或不成文的流程,以处理上述问题,是否有专人负责制度的执行。其次,我们可以对企业现有的措施做一次总结,评估这些措施是否满足了法定义务及合约义务,是否足以充分应对威胁企业的风险。最后,我们可以外聘数据安全顾问验证这些制度的有效性,确保这次制度符合行业惯例。
另外,根据欧洲数据保护法,企业还必须满足其他若干实体性要求:
1、对数据的处理和保存应当最小化;
2、通过更新、纠正和删除等手段保持数据的完整性;
3、当数据主体提出访问要求时,向其开放访问权限;
4、寻求数据主体的同意或其他正当理由。
即要求企业创建某种通知、向政府提交申报材料或其他书面材料的数据隐私合规规定,是一种形式上的要求。形式合规更容易实现,形式违规风险更高。
形式合规要求通常包括如下内容:
1、任命数据保护官的任命文件;
2、留存数据处理活动的记录;
3、记录数据安全措施并存档;
4、与关联企业、服务商、其他业务伙伴签订适当的数据传输协议;
5、向数据主体发送通知或征得其同意;
6、向数据保护机关提交申报材料或寻求其批准。
一旦准备好实现数据隐私法律合规的具体任务清单,就应该进入执行环节。可以先从容易操作或者能够减轻重大风险的任务开始。通常也可以从制作向数据主体发送必要的通知做起,在制作通知的过程中,自然而然的就会审视合规现状并能够妥善的弥补漏洞,顺带解决其他问题。而最不可取的就是因为千头万绪无所适从而寸步不前。
本篇介绍:创建数据保护合规制度
本篇为第2篇/共5篇
上一篇:企业安全隐私合规体系建设经验总结(一)
下一篇:企业安全隐私合规体系建设经验总结(三)