趋势与观点 | 你的组织为数据隐私法规做好准备了吗?

自2018年欧盟《通用数据保护条例 (GDPR)》 成为法律以来,全球隐私立法态势发生了巨大变化。在GDPR出台之前,唯一类似的重要法律是美国保护患者健康信息的《健康保险便携性和责任法案(HIPAA)》和保护信用卡信息的标准《支付卡行业数据安全标准(PCI-DSS)》。自GDPR颁布以来,还出台了几个关键的数据隐私法,比如巴西的《通用个人数据保护法案(LGPD)》,《美国加利福尼亚州消费者隐私法案(CCPA)》,《中国个人信息保护法(PIPL)》,《新西兰隐私法案》,《塞尔维亚数据保护法》和泰国《个人数据保护法案(PDPA)》 均已颁布。这些法律大多以GDPR为模型,因此,GDPR似乎可以被定义为所有最新数据隐私法的先驱。由于COVID-19,数据隐私法律法规版图的夸张在2020年和2021年有所延缓,但仍有一些法律法规如印度的《个人数据保护法案(PDP)》预计将很快公布。

随着许多不同国家/地区推出数据隐私法规,组织如何确保其准备好遵守每一部必须遵守的新法规?当一个组织在全球范围内与全世界的客户开展业务时,这一问题就变得更加复杂——由于引入了跨境数据传输的元素,给这一难题增添了另一重维度的复杂性。组织的最佳途径是利用流程和工具实现完善的且可扩展的数据隐私底座,以遵守新的法律法规。尽管无法预测需要实施哪些控制措施才能遵守即将出台的法律,但组织需要使用数据隐私参数进行自我评估,并为即将出台的隐私法规做好准备。

个人数据和相关属性

通过回答一些基本但具体的问题可以对个人数据的属性进行检查:

  • 组织拥有哪些个人数据?企业需要确定他们拥有的个人数据类型。它可能是个人可识别信息 (PII),如姓名,电话号码,电子邮箱或物理地址,也可能是敏感个人信息(SPI),如银行信息,政府身份识别码(ID)或健康数据。PII和SPI的定义因国家/地区而异,各组织必须考虑差异性。数据清单对于准备遵守现有和新的数据隐私法律法规至关重要。

  • 组织拥有谁的个人数据?这会解决数据主体的位置问题。由于数据隐私法律法规针对的是每个国家/地区,而地域范围是判断法规适用性的关键要素。因此了解被访问的个人数据的主体所在的地理位置至关重要。例如,GDPR适用于对欧盟境内的数据主体的个人数据处理的情况。

  • 个人数据在哪里?数据流的一个关键组成部分是确定PII/SPI在组织中的存储位置 (即数据库,服务器,云,备份媒体,邮件服务器,网站)。当数据存储库已知时,会更容易实施控制措施。

  • 谁有权访问个人数据?是否仅组织的员工亦或者还有合作伙伴、供应商和其他第三方可以访问个人数据?如果数据被第三方访问,那么所采用的数据保护技术措施(比如访问控制、数据传输、保密协议(NDA)和审计准则)会有所不同。

控制者或处理者

组织必须了解它们是数据处理者还是控制者,或者两者兼有。数据控制者决定处理个人数据的目的和方式,而数据处理者仅代表控制者处理个人数据。明确数据处理的角色是组织必须自己提出的最基本的问题之一。对于不同的数据集,组织可能既是控制者又是处理者。数据处理,安全控制措施和跨境数据传输取决于组织是控制者还是处理者。通常情况下,对控制者会实施更加严格的处罚和要求,而处理者也需履行几项法律义务。

数据隐私法律法规的适用性

访问PII的组织迫切需要确定哪些数据隐私法规适用于其当前的活动。如果PII在巴西进行处理,或者向巴西境内的个人提供商品或服务,则LGPD适用;如果处理的是塞尔维亚的个人数据,则适用《塞尔维亚数据保护法》。大多数隐私法规包括对违规行为的严厉处罚。再加上不合规可能对品牌造成的影响,使得组织专注于确保遵守法规要求。如果具备以下条件,则大多数生效的数据隐私法律法规均将适用:

1. 处理是由建立在特定地理区域/国家/地区的控制者或处理者执行,无论处理是否在该地区/国家/地区进行。

2. 处理是由没有建立在特定地理区域/国家/地区的控制者或处理者执行,其处理行为是:

  • 向该地理区域的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付费用

  • 对数据主体的活动/行为进行监控,只要这些活动/行为发生在特定的地理位置

基本评估和数据流图可用于确定适用的法律法规,但需要包含适当的问题。在评估中使用的一些合适问题示例包括:

  • 正在处理其个人数据的数据主体的位置是在哪里?

  • 数据处理者在哪?

  • 数据控制者在哪?

  • 该组织是否向位于特定地理位置的个人提供任何商品和服务?

数据事件管理流程

这是处理个人数据的组织需要实施的关键流程之一。所有安全事件和数据泄漏都应通过有组织的安全事件管理流程来关注安全事件识别、告知、调查、解决、恢复和关闭进行处理。自GDPR宣布对数据泄露进行罚款以来,这一流程显得尤为重要。罚款最高金额为两千万欧元或处以上一财政年度全球年营业额的4% (两者以较高者为准)或一千万欧元或处以上一财政年度全球年营业额的2% (两者以较高者为准)。

安全意识

安全意识计划是一项正式/有组织的计划,旨在培训员工如何避免造成可能使组织数据面临安全事件风险的情况。其目标还包括加强对组织遵循的安全实践的意识。该计划应涵盖新员工和长期雇佣的员工,并应定期对其意识予以加强。一个良好的行业做法是将供应商或第三方资源纳入意识计划中。

跨境数据传输

跨境数据传输是指信息在跨国家/地区的服务器之间移动或传输。当组织处理个人信息时,一个关键考虑因素是数据是否传输到该国境外。欧盟已经确定了充分性认证国家的清单,即允许个人数据从欧盟流向这些国家,而无需采取任何进一步的保护措施。对于向未列入该清单的国家传输个人数据,有几种已获批准的数据传输机制,如标准合同条款 (SCC)。

基准安全控制措施

大多数法规强调实施技术性和组织性措施(TOMs)来保护个人数据,因此如果组织已经实施了强大的技术控制措施,例如加密,匿名化,访问控制,漏洞管理,端点检测,入侵防御,补丁管理和安全意识,组织将更容易确保TOMs适用于大多数即将出台的法规。数据隐私法律通常都是高层级的要求而不会规定某些具体安全措施,理解这一点将很有帮助。

行业认证

国际标准化组织(ISO)/国际电工委员会(IEC)ISO/IEC 27001,ISO/IEC  27701 和支付卡行业数据安全标准(PCI DSS)等行业认证是组织为进行数据保护和保护数据免于泄漏而实施独立验证的控制措施的好方法。这些认证也是对客户的一种保证,即组织对安全和数据隐私非常重视。

数据隐私协议

这些协议通常是控制者和处理者之间具有法律约束力的合同,详细说明了正在处理的数据的范围和性质。处理者和分包处理者之间也需要签署相关协议,将控制者的要求向下传输到分包处理者。某些法规比如GDPR,LGPD和 LPDP强制要求使用此类协议。 

结论

考虑本文中讨论的数据隐私因素将会为组织准备任何即将出台的法规起到作用。然而应该注意的是,许多数据隐私法规都有特定的要求,这些要求需要单独的解决。
 

编者注:本文首次发表于2021年12月13日ISACA官网News and Trends /Industry News。尾注略。文章内容仅代表作者本人观点。
作者:Nivedita Malhotra , CISA , CRISC , CISM , CIPM , CIPP(E) , ISO 27001 LI , PCI , PMP,在领导安全,隐私和技术团队向内部和外部客户提供安全和隐私服务方面拥有20多年的经验。
翻译:唐雅琪(Andrea Tang),FIP, CIPP/E, CIPM,ISO 27001 LA,ISACA微信公众号特邀通讯员小组组长,任职于安永企业咨询有限公司。
校对:蔡俊磊(Joe Cai),CDPSE、CISA、CISM、CGEIT、CRISC、Cybersecurity Audit、CISSP、CIPP/E、FIP、CIPM、CIPT、CIPP/A、EXIN DPO、ISO 27001 LA、EXIN DPO,ISACA中国技术委员会主任,ISACA微信公众号特邀通讯员,ISACA上海社区Leader,现任某金融科技集团CSO。