建设实践方法
(一)识别监管要求建立企业或组织合规体系
首先,企业或组织应充分理解监管要求。2021 年 11 月 1 日 起,《个人信息保护法》正式颁布实施,标志着我国个人信息保护 立法体系进入新的阶段。《个人信息保护法》的出台为个人信息权 益保护、信息处理者的义务以及主管机关的职权范围提供了全面 的、体系化的法律依据,涵盖个人信息收集、存储、使用、加工、 传输、提供、公开、删除等多个环节以及自动化决策、个人信息、 跨境提供等特定场景,与《民法典》《网络安全法
》《数据安全 法》等共同构成了我国个人信息保护的法律框架。5 月,国家网信 办等四部委联合制定的《常见类型移动互联网应用程序必要个人信 息范围规定》正式实施,明确 App不得强制收集非必要个人信息。 11 月,国家网信办会同相关部门研究起草的《网络数据安全管理条 例》公开征求意见,其中“个人信息保护”章节详细规定了知情同 意、最小必要、权利保障、生物特征信息等方面的要求,并明确提 出处理一百万人以上个人信息应视为重要数据处理者进行管理。
现有法律法规和标准规范已提出了较为系统全面的个人信息保 护要求。企业或组织处理个人信息的过程包括收集、存储、使用、 加工、传输、提供、公开、销毁等每个生命周期过程中充分考虑合 规制度的建设及落实。企业或组织收集个人信息的主要工具包
括 App、小程序、网站等,在构建这些收集工具的时候,应当在设计、开发、运维等阶段将合规活动嵌入进去,如 App强制要求用户打开 非必要权限问题、App超范围收集个人信息的问题、知情同意前收 集个人信息或频繁、误导收集个人信息等问题、隐私政策不合规问 题、收集敏感个人信息未进行明示问题、SDK越权收集问题等。企 业或组织需要对自身的个人信息保护成熟度和个人信息现状进行识 别,并在产品或服务功能设计阶段进行个人信息收集使用相关的合 规评审活动,并充分考虑到第三方 SDK准入审核要求,提升整体个 人信息保护工作落地的质量和有效性。
随着监管机构对合规问题越来越重视,未来会有更多的个人信 息处理服务会被纳入监管的检测、通报和下架的范围之中,如何在 业务持续不断开拓创新与为用户提供更好更安全更尊重的个人信息
保护体验之间,建立有力的可落地完备的个人信息保护管理体系是 当前合规的主要目标,通常,建设企业或组织的个人信息保护管理 体系首先应建立个人信息保护管理组织,组织由企业或组织高层管 理者牵头,安全团队、业务团队、法务合规团队共同组成。该组织 的工作职责包括但不限于:制定个人信息保护战略,统筹企业或组 织不同部门的个人信息保护工作重心、工作方法和计划,与业务发 展进行平衡,并协调公司的安全、IT、产品线、测试线、法务等多 个部门才可体系化的完善公司个人信息保护合规方案,避免公司运 营过程中的个人信息保护合规风险。
(二)嵌入全流程的个人信息合规管理
在个人信息收集、存储、使用、加工、传输、提供、公开等流 程中,需要将管理制度落实到每个具体的活动,同时确保管理制度 落实的效果。在不同的环节里需要特定的技术手段进行辅助,提升 合规管理的效果。在企业或组织内部,这些流程又可以根据研发、 测试、运维、法务等参与角色的不同,分为产品设计、研发、发 布、运营等阶段,每个阶段应进行相应的过程管理。
在个人信息收集前端工具的设计过程中,可采用 PbD的设计原 则进行产品设计及实施策略的制定。在研发过程中,可通过合规培 训、SDK准入审核、合规评估等策略进行研发过程管理,避免由于 研发人员对合规要求不了解、第三方 SDK自身风险等造成合规隐 患。在发布阶段通过技术手段进行整体的合规评估,根据风险容忍 能力进行执行上架发布动作,并建立风险清单。在运营阶段通过安 全防护技术、访问控制
策略、风险评估、应急处置预案等方式进行 存储、使用、加工等流程中的管理及保障工作。
(三)个人信息前端收集工具合规评估
企业或组织内部在做合规的过程中,由于多角色跨部门协作, 多学科交叉协作,在协作过程中可能存在信息传递的误差,所以仅 仅依靠制度要求,很难保证合规实施的质量。技术辅助能在合规过 程中对客观信息进行描述,进而对各方反馈的信息进行审核和校准,帮助合规团队对实质风险进行发现。同时技术手段辅助能够让 实施流程标准化,提高合规工作效率和质量。以 App合规为例,合 规要求内容多且覆盖面较广,大多数的合规内容依靠人工分析会消 耗大量的时间和精力,如第三方 SDK违规收集,如果依靠研发人员 对嵌入的第三方 SDK进行识别和分析,那么可能会由于 SDK嵌套、 对 SDK行为不了解等原因造成信息反馈不准确。另外用户同意前收 集、后台静默收集、高频收集等违规问题的发现,也需要技术手段 辅助检查才能准确发现。
在合规问题发现和整改的过程中,不同角色关注的信息又有所 区别,法务人员关注的是带来的法律风险,产品设计人员关注的是 对产品本身的影响,研发人员则更关注的问题是具体代码位置及整 改带来的额外成本。因此,技术辅助工具必须能同时为不同的角色 提供辅助,让合规工作参与的多方能有一个共同协作的平台。在检 测评估工作的实施过程中,通常会为了追求效率使用自动化检测技 术进行辅助,但由于自动化技术本身的限制,在具体功能场景下收 集的个人信息内容往往无法通过自动化技术进行覆盖,如下单、支 付、客服、注销账号等。过度追求自动化会让部分隐私行为被忽 略,从而在合规检测评估的过程中造成漏报的风险。这种情况下, 需要检测实施的人员进行功能的逐一验证,是否出现违反合规要求 的情况出现。
相比于应用上架发行后发现合规问题,在设计研发阶段提前发 现合规问题能极大地降低合规风险带来的成本。这里需要结合企业或组织的 DevOps平台,为产品研发测试过程进行赋能。嵌入研发流 程的关键过程之一是:在版本迭代过程中,持续进行技术检测,排 查合规风险。根据 App版本规划及迭代开发进度要求,可在软件版 本提测时同步进行收集使用个人信息合规风险检测排查。通常该阶 段需要合规专员介入进行技术检测及合规评估工作,在实践过程中 发现,此过程中的功能测试工作与 Q&A有着一定的共同之处,所以 在部分合规场景下,企业或组织也可以 Q&A承担一部分合规检查的 工作,将检查结果反馈给研发、产品、法务等角色。在这个阶段通 常产品的功能还并不完善,部分合规场景的检测评估尚不具备实施 条件,企业或组织可对关键的检测场景使用自动化/半自动化的检 测。常规的自动化检测技术在检测覆盖率上会存在一定的缺失,需 要介入一定的人工操作进行辅助,这样才能比较全面的排查合规风 险。
(四)个人信息使用过程中的风险管控
个人信息最小化与匿名化:企业或组织在收集和使用个人信息时 应遵循最小必要原则, 在功能可实现的前提下应在最小范围内收集 使用个人信息。最小必要原则要求在个人信息收集阶段应符合功能所 需的最小必要范围,在存储阶段应符合最小的存储期限要求,在流转 使用过程中应限定个人信息流通的内容和范围。在个人信息流转使用 过程中,企业或组织可通过使用如联邦学习、差分隐私等个人信息保 护计算技术来降低个人信息处理过程中的风险。
个人信息分类分级处理:综合考虑个人信息属性、特点、数量、 质量、格式、重要性、敏感程度以及违规使用、信息泄漏后对个人造 成的影响等因素,建议将个人信息进行分类分级处理,针对不同类型、 不同级别的个人信息内容,采用不同的保护机制,以降低个人信息安 全风险的发生。个人信息分类分级相关的标准目前尚未出台,企业或 组织可结合一般个人信息、个人敏感信息的定义,以及企业或组织业 务的实际情况进行内部的分类分级处理。针对高敏感级别的个人信息, 建议采用高强度的安全防护技术及严格的访问控制策略,并在运营过 程中持续对个人信息使用的记录进行风险评估和审计。
个人信息安全防护:使用前端工具收集到的个人信息在传输、存 储、使用、对外提供等过程中,应增加网络安全防护措施并确保有效 性。安全防护策略的制定应在传输过程中,应使用数据加密的传输方 式,避免在传输链路上的信息泄漏事件发生;在接收及获取个人信息 的 Web API接口上,应做好鉴权、防注入、防泄漏等安全防护工作, 通过 API接口使用信息的监测做好安全风险发现及预警工作;在服务 器的数据存储上,应使用多种防护措施确保信息的防泄漏、防篡改、 防破坏等安全防护工作;在个人信息的访问过程中,应制定安全的访 问控制策略,防止信息的越权访问等安全隐患发生。针对个人信息的 安全防护,应定期进行安全风险评估及审计工作,对于发现的安全漏 洞及时制定修复策略,确保安全防护措施的有效性。
(五)建立个人信息安全事件处置机制
根据《个人信息保护法》内容要求,企业或组织内部应建立个 人信息安全事件处置的紧急预案,从制度、人员、技术保障措施方 面进行规划和落实。
预案制定:个人信息安全应急预案应从制度、流程、人员上进 行保障。预案内容应包括应急团队组织架构、相关职责描述、事件 发生时的沟通机制、事件影响评估方案、对应的事中处置策略、与 监管单位的事件上报、安全事件告知、事后审计、总结、追责等内 容。
事前阶段:定期(至少每年一次)组织内部相关人员进行应急 响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;
事中阶段:记录事件内容,包括但不限于:发现事件的人员、 时间、地点,涉及的个人信息及人数,发生事件的系统名称,对其 他互联系统的影响,是否已联系执法机关或有关部门;评估事件可 能造成的影响,并采取必要措施控制事态,消除隐患;及时与监 督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情 况。
事后阶段:对个人信息安全事件进行复盘总结,发现问题原 因,提升个人信息保护水平,并根据事件影响对相关人员进行追 责。
(六)通过个人信息安全影响评估持续改进
企业或组织应建立个人信息安全影响评估制度,定期开展个人信 息安全影响评估活动,评估并处置个人信息处理活动存在的安全风险, 并对评估结果进行归档留存。
个人信息安全影响评估过程需要法务、研发、运维、安全等多方 参与,评估过程中可以根据各方职责制定评估基线模版,并基于客观 数据进行个人信息数据识别和梳理、安全风险识别、个人权益影响分 析活动。这些客观信息的收集需要从个人信息收集使用信息、访问控 制策略、敏感信息访问记录、系统中存在的安全风险等方面进行梳理。
通过持续有效的个人信息安全影响评估活动,可以发现个人信息 保护工作中的风险点,通过对这些风险的跟踪及修复,能够不断提升 企业或组织的个人信息保护建设水平。
面对不断加大的数据安全及个人信息保护监管力度,企业或组织 如何建立健全符合企业或组织管理现状及发展需求的个人信息保护 管理体系,确保个人信息使用安全合法,同时充分发挥数据对企业或 组织发展的积极推动作用,已成为各行各业发展过程中的重大挑战。 针对企业或组织的个人信息保护合规建设,应综合考虑企业或组织自 身的特点以及其服务的行业特点,如互联网服务提供商产品的更新速 率远远超过传统制造型的产品,互联网企业或组织间存在各种各样的投资与并购,这种情况需要重点关注个人信息流转过程中的管理缺失 隐患。
个人信息保护合规建设工作不仅仅是编制隐私政策文件,简单修 改公司产品、增加提醒和通知等内容,企业或组织还要将个人信息保 护真正融入到日常的业务和产品中,才能让个人信息保护不再流于表 面,随着监管执法力度的加强,企业或组织在管理体系建设方面的完 备性和有效性验证,需要管理和技术手段并行,并且嵌入到企业或组 织系统及业务开展过程中,从根本上建立健全个人信息保护管理体系, 为数据价值的发挥助力。
页
红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南
绿盟 漏洞发展趋势报告