GDPR正式生效 企业怎样建设隐私数据安全防护？

　　根据RSA[5]对法国、德国、意大利、英国和美国的7500名消费者的调查结论表示，80%的消费者表示银行类和金融类数据丢失是最令人关注的问题。而发生信息泄露后，62%的个人认为他们会责怪商家未尽到责任而不是责怪黑客。在我国，个人信息泄露也是一个重灾区，人民日报2016的报道显示有数据统计，在个人信息保护方面，网民被泄露的个人信息涵盖范围非常广泛，其中78.2%的网民个人身份信息被泄露过，包括网民的姓名、学历、家庭住址、身份证号及工作单位等。

　　GDPR规定对于未遵从该法规的企业将处以最高2千万欧元或企业年度收入的4%(二者取其最高者)。而国内《中国人民共和国网络安全法》(以下简称《网络安全法》)第六十四条针对侵害个人信息的机构提出了处罚违法所得1-10倍的罚款或100万以下罚款(无违法所得)，严重的吊销业务许可或营业执照。此外对直接负责的主管人员或其他直接责任人还有1-10万元的处罚。

　　那么，企业具体应该如何展开建设呢?笔者认为可以从以下五个方面来开展。

　　1. WHAT

　　结合机构自身的业务内容和覆盖范围，组织专项人员学习了解与个人信息保护相关的国内外法律法规和相关标准。

　　制订机构隐私数据保护建设的方向和建设内容

　　2. HOW

　　仔细回顾和评估机构对个人信息数据保护与相应法律法规在合规要求上的一致性和存在差距。评估内容包括个人信息数据在业务开展过程中是以哪种形式被收集的?在收集过程中是否对用户提供清晰的解释并获得了用户的明确许可?包括机构本身以及机构委托或与之合作的第三方机构在内的数据控制与处理主体是如何对收集的数据进行处理及保存?机构是否对用户提供了撤回或删除个人信息的渠道及方式方法?数据控制主体在个人信息数据保护方面(包括对信息数据完整性、可用性、机密性、不可抵赖性、真实性、可控性)具备怎样的保护机制以及保护措施的效果是否达到了与合规要求相符的期望?机构在发生信息泄露时是否具备的应急处置机制，包括在规定时间内的监管上报机制、事件排查及数据恢复机制、与第三方(如云服务商、CERT等)联动处置机制、在规定时间内向客户进行通告的通报机制?

　　3. WHO

　　对业务和数据流进行梳理，明确认知哪些客户的个人信息被收集，是否存在过度收集的情况? 尤其是未成年人以及欧美个人的个人信息。

　　明确在业务处理过程中，机构内部哪些人员具备对个人信息的访问权和控制权。权限的合理性和最小需求设置是否正确。

　　明确在业务处理过程中，来自第三方的哪些外部人员具备对个人信息的访问权和控制权。权限的合理性和最小需求设置是否正确。

　　根据机构情况，建立数据保护小组或相应的部门机构，任命数据保护官员(Data Protection Officer，DPO)，明确其工作职责并保证其工作的独立性。

　　4. WHERE

（编辑：网站开发网_盐城站长网 ）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!