2065438+2007年6月生效的《中華人民共和國網絡安全法》提出了個人信息保護的要求。從2017到2020年,GB/T 35273-2020個人信息安全標準進行了三次修訂,國家標準規範了個人信息保護和處理的建議。2020年21日,NPC法工委還就《個人信息保護法(草案)》公開征求意見。為了保證合規性,除了如何保護敏感信息,如何處理敏感信息也成為企業需要考慮的重要任務之壹。
數據處理是壹個綜合術語,用來幫助企業采用不同的方法處理敏感數據。這些處置方法符合法律法規、數據保留系統、消費者要求或其他業務需求。企業要建立高效的數據處理方案,就要與業務部門建立合作夥伴關系,這樣才能了解數據的生命周期和流通過程,連接各個層次的數據安全。
可執行數據處理方案通常根據業務需求和數據用例采用以下三種方法中的壹種或兩種。
01.刪除
刪除是指永久徹底地刪除現有系統中的個人數據(如重寫、刪除記錄)。刪除的好處是可以最大限度地減少數據存儲,降低監管風險,但數據不能再用於分析或其他業務需求,企業需要維護刪除記錄。
02.去識別
去身份化是指個人信息的去身份化,比如匿名。優點是可以去除個人可識別性,保留相關數據,同時可以繼續分析去識別信息;但是,這種方法的挑戰是根據其他領域重新識別敏感數據,高效的數據字典和數據處理框架也不可或缺。
03.聚合
聚合是指個人數據的聚合,如匯總、區間等。聚合的好處是可以分析,可以理解大型數據集而不保留底層敏感數據,但可能會從個人信息中移除重要內容,在業務分析需求發生變化時可能無法滿足需求。
隨著數字時代的到來,企業的發展和創新面臨著巨大的機遇,但也伴隨著許多艱難的挑戰,其中之壹就是數據處理。許多企業發現很難跟上其數據生命周期(即數據收集、存儲、保留和刪除)的節奏。要部署高效的數據處置計劃,常見的挑戰包括監管計劃和新出現的合規性要求的擴展、雲或本地數據處理、存儲和使用的激增、超過保留期的歷史敏感數據的收集和存儲、有限的業務集成和所有權、缺乏數據治理能力以及無法管理數據生命周期。
鑒於客戶在數據處理方面面臨的挑戰,安永專註於提供可持續的解決方案,以確保合規性和數據保護要求,同時保持數據可用性。安永的數據處理解決方案以人為中心,以流程為導向,通過專有技術平臺實現。數據在數據處理程序中經歷了不同的階段:
01.戰略和範圍
02.框架開發
03.技術和自動化支持
04.持續改進
安永的數據處理方案在遵守隱私和安全義務方面提供了靈活性,在方案中結合兩種數據處理方法可以獲得最大的利益。壹是預防措施。在個人數據傳輸到所有系統之前,企業會主動采取措施,通過刪除、去識別或聚合來處理個人數據。二是按需處置,業務部門提出請求或者負有隱私保護義務。例如,如果消費者基於被遺忘權請求刪除個人數據,企業應啟動處置流程,並在規定時間內對請求做出回應。
通過數據處理方案,可以實現的好處包括降低風險、數據管理、成本優化、隱私簡化和公司治理要求。企業可以通過刪除、去標識、聚合等方式降低整體數據隱私風險和安全風險,而數據處置可以對企業最重要的數據進行管理和合理化,進壹步實現數據優先和減少重復,使個人和組織的權利得到尊重,包括數據庫分類、隱私控制、業務規則和去標識。
通過數據處置,企業可以確定最敏感的需要首先識別的數據,操作步驟遠少於通常為保護個人信息安全而規定的步驟。最後,通過創建/更新流程和協議,確認所有數據處置方法都已按照與數據保留和刪除相關的現有企業系統、標準和法規實施。
01.定義數據和數據框架:與數據所有者和業務負責人面談,以確定企業業務流程中使用的數據類型、數據元素和系統。
02.了解數據是如何被使用的:通過與業務人員的合作,了解在業務流程和數據分析過程中,數據是如何被創建、提取、增強、存儲和享用的。
03.確認數據相互依賴:確定數據元素的關聯和交叉引用,以了解數據譜系以及不斷變化的數據對企業的影響。
04.應依法保留與保留計劃相關的數據:應根據法律法規的要求保留數據並制定相應的保留計劃,以確保戰略要求滿足最短保留期。
05.設計數據去標識和數據處理方案:設計數據去標識或數據處理的方法(刪除、加密、匿名等)。)實現業務拓展,滿足留存和處理的要求。
06.制定和實施數據處理計劃:制定實施數據處理程序、控制流程和解決方案的項目,以滿足數據保留和處理要求。
07.制定計劃實施路線圖:優先實施數據處置項目,預估部署和穩態成本,確定項目實施計劃。
為了最大限度地提高企業數據處理的有效性,它必須與整體數據保護戰略和企業戰略保持壹致。重點包括將數據處置融入數據治理、管理和轉換,以及元數據管理、數據隱私、數據保護等。為了更好地了解企業數據處理需求的範圍,並制定最佳策略來識別和降低主要風險,每個流程(如數據發現)都必須支持數據的持續維護和管理。這些要點有助於支持和定義數據保護策略,從而在不中斷業務功能的情況下降低數據風險。
企業可以重新考慮數據保留方法以及數據保護和數據處置的控制方法,並通過以下措施管理和降低風險:
成功因素包括:
為了使數據處理程序更加有效,企業應了解該程序與其他數據保護和隱私保護措施之間的關系。安永團隊基於我們在數據保護和隱私方面的所有核心服務經驗,幫助客戶戰略性地建立符合安全和隱私概念的數據處理程序。我們幫助企業采用這種整體方案,並了解其對更廣泛的數據保護和隱私的影響,以便企業能夠成功地控制和降低主要風險。
01.數據保護戰略和轉型:評估、設計和改進整體數據保護戰略計劃及其治理的服務。
02.隱私保護程序的評估和改進:該服務支持確定數據隱私策略,並在隱私轉換過程中為客戶提供支持。
03.高價值信息資產保護(HVIA):設計和實施HVIA保護計劃的服務,包括高價值信息的識別、分類、治理、保護和處置。
04.數據保護技術支持:協助客戶選擇和部署關鍵數據保護和隱私保護方案的技術解決方案。
05.管理服務:幫助客戶持續運營和實施數據保護和隱私流程的服務。
06.數據保護戰略和轉型:幫助客戶開發和部署加密解決方案以處理和保護信息的服務。
本文旨在提供壹般信息,並不旨在成為可靠的會計、稅務、法律或其他專業意見。請向您的顧問咨詢具體建議。