积极应对个人信息保护法律合规,妥善管理个人敏感数据

  • 首席数字官

  • 2019-03-19

  • 来源:

文丨李然辉  编辑丨鹿普禾
来源丨首席数字1550725970517966.jpg

作者简介:
李然辉,从事IT行业15年以上,其中拥有数据治理及数据资产管理6年从业经验,获得数据管理专业认证(CDMP),拥有丰富的数据战略规划、数据管理能力成熟度评估、数据治理体系搭建、数据标准管理、企业数据模型设计、数据仓库构建与数据应用等领域的理论和实践经验,先后为政府、能源、金融、互联网等行业提供服务,近几年专注于数据资产价值评估领域研究,拥有扎实的理论和实践经验。


大数据时代,个人信息泄露严重

互联网法治研究中心在对全国100多万份调查问卷进行系统分析研究后披露:超过七成以上的人都认为个人信息泄露问题严重;多达81%的人收到过对方知道自己姓名或单位等个人信息的陌生来电;53%的人因网页搜索、浏览后泄露个人信息,被某类广告持续骚扰;在租房、购房、购车、考试和升学等个人信息泄露后,受到营销骚扰或诈骗的高达36%。

事实上,每个企业或多或少地都会收集、储存、和使用个人身份信息。即使最传统的企业,也会涉及到客户、供应商及其联系人的个人信息,比如姓名、电话、地址等,另外一定还有员工的大量个人隐私信息,比如身份证、工资单、银行账号等。企业需要适当地管理这些个人隐私数据,并采取一切预防措施保护它们免遭丢失、未经授权的访问,盗窃、滥用、丢失或以其他方式损害这些数据,会带来巨大的经济损失,并损害企业的声誉,甚至会导致一个企业倒闭。

个人身份信息都是怎么泄露出去的?

我们来看看国内外数据泄露事件,从中您可以发现一些什么规律? 

微信图片_20190319180600.png

图片来源:首席数字官

就这些事件的分析来看,既有黑客的攻击,更有内部工作人员的信息贩卖、离职员工的信息泄露、第三方外包人员的交易行为、数据共享第三方的数据泄露、开发测试人员的违规等。究其根本原因,既有安全意识的薄弱,也有由于安全体系的老旧或安全策略的过时而导致的数据泄露。

什么是个人身份信息?

首先要明确保护对象,才能有的放矢。根据《信息安全技术-个人信息安全规范》给出的定义是个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

《信息安全技术-个人信息安全规范》又将个人信息中的个人隐私信息划分出来作为个人敏感信息,是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等。

虽然大多数成年人对于公开自己的个人信息都很谨慎,但对于拥有未成年人信息的组织,如学校和医院来说,这个问题尤其敏感。持有个人身份信息的人有责任对其收集和使用保持警惕。

有的数据虽然不能够识别一个独特个体,但是当两个或多个数据块组合在一起时可以识别出一个唯一的个体的话,也属于个人敏感信息数据。根据美国财政部的统计,87%的美国人只需要使用性别、出生日期和邮政编码就可以进行唯一的身份识别。所以需要保护的不仅仅是最明显的个人身份信息,比如银行账号。

制定个人隐私数据使用策略需要考虑的问题

以史为鉴,从以往发生的数据泄露途径来看,传统网络安全中以抵御攻击为中心、以黑客为防御对象的策略和安全体系构建存在重大的安全缺陷,传统网络安全为中心需要向以数据为中心的安全策略转变。制定这种策略需要转变思路,首先您要认真思考以下几个问题:

• 谁需要获得个人身份信息来完成他们的工作?

• 您的企业必须遵守哪些法规要求?

• 您的数据安全漏洞是什么?

• 公司内部可以传输什么数据?发送到外部给第三方? 

• 您的企业拥有或需要哪些数据传输规则和权限? 

• 在传输或存储数据之前,是否需要加密? 

• 谁有权更改或更新个人隐私数据使用策略?

创建个人隐私数据使用策略

绝对的安全意味着止步不前,企业必须在严格控制和保护个人身份信息的愿望与员工使用数据执行工作的需求之间取得平衡。我们的目标是创建和执行个人隐私数据使用策略,清楚地定义哪些数据最敏感,哪些员工可以在工作中访问和使用这些数据。应该组建一个个人身份信息保护团队来帮助识别和保护贵公司所拥有的所有个人身份信息。

该团队通常包括业务部门、IT部门、数据管理部门(如果数据治理团队不属于IT部门的话)以及人力资源和法律部门的代表,他们在合规监管和法律义务方面具有专业知识。这个团队可以帮助您定义组织处理和存储个人身份信息的可接受的保护策略。

制定个人隐私数据使用策略的步骤

每个企业都应该采取以下五个关键步骤来开启防止数据泄露的流程:

• 确定您的组织必须保护的个人身份信息

• 优先考虑保护个人敏感信息

• 找到个人身份信息的位置

• 制定一个个人隐私数据使用策略

• 培训你的员工了解你的个人隐私数据使用策略

如何在您的企业中找到个人身份信息?它可能存在多个地方,比如:数据库服务器、笔记本电脑、个人电脑和可移动设备。

一旦找到了个人身份信息,就需要定义企业的个人隐私数据使用策略来访问和使用它了。个人隐私数据使用策略没有一定之规,因组织而异,但应明确三点:

1. 保护个人身份信息数据

2. 定义谁可以访问个人身份信息

3. 制定获授权雇员如何使用个人身份信息的规则

只有当你的员工认为他们在保护你的个人身份信息中起到了作用时,你制定的个人隐私数据使用策略才会有效。

对员工进行全面的培训和宣贯是一个关键且常常被忽视的步骤。向员工提供培训,并让他们签署一份声明,承认他们将遵守相关政策。这将使每个雇员积极参与执行个人隐私数据使用策略,以及整个组织防止数据丢失和个人身份信息丢失的努力。

选择正确的解决方案

在确定了组织的个人身份信息并为了安全使用而采用个人隐私数据使用策略之后,现在应该考虑如何保护网络、端点、其他设备和应用程序。强大的系统级安全可以防止意外的数据丢失,并在恶意威胁伤害您的组织之前阻止它们,同时确保正确的员工能够访问在已建立的个人隐私数据使用策略中完成工作所需的数据。

实现这些目标没有什么一招制敌的必杀技。相反,它需要深度防御技术或多层安全策略的组合。
微信图片_20190319182958.jpg

 举个栗子:一位人力资源经理需要向某社保局提供重要的文件。该社保局的网络安全解决方案必须提供:

• 加密:如果管理员的笔记本电脑丢失或被盗,这将保证数据的安全。

• 威胁保护:保证他的电脑免受病毒,网络钓鱼和其他威胁。

• 数据丢失预防:提醒他将要发送一个文件与个人身份信息。

• 遵守政策:这将阻止他保存文件到一个未加密的u盘。

总结

当前,很多企业力求通过数字化转型拥抱时代变化,数字化转型的基础是整合内外部数据资产,利用数据驱动业务发展。但是如果不能妥善解决数据大规模增长与数据安全能力滞后的矛盾,必将面临巨大风险,个人身份信息的使用是一把双刃剑。


  • 观点
  • 制造
  • IT/互联网
  • 批发零售
  • CEO
  • CTO
  • CIO
  • 运营
  • 生产制造
  • 网络安全
  • 大数据
  • 物联网

推荐

我要评论