GRC: 个人信息保护法, 个人隐私, 企业风险合规治理

声明

个人原创, 转载需注明来源 https://www.cnblogs.com/milton/p/15885344.html

个人信息保护的历史和现状

个人信息保护的立法可追溯至德国黑森州1970年《资料保护法》。此后，瑞士（1973）、法国（1978）、挪威（1978）、芬兰（1978）、冰岛（1978）、奥地利（1978）、冰岛（1981）、爱尔兰（1988）、葡萄牙（1991）、比利时（1992）等国都发布了个人信息保护法。

1973年美国发布“公平信息实践准则”报告，确立了处理个人信息处理的五项原则：

1. 禁止所有秘密的个人信息档案保存系统；
2. 确保个人了解其被收集的档案信息是什么，以及信息如何被使用；
3. 确保个人能够阻止未经同意而将其信息用于个人授权使用之外的目的，或者将其信息提供给他人，用作个人授权之外的目的；
4. 确保个人能够改正或修改关于个人可识别信息的档案；
5. 确保任何组织在计划使用信息档案中的个人信息都必须是可靠的，并且必须采取预防措施防止滥用。

在“公平信息实践准则”所奠定的个人信息保护基本框架之上，美国还制定了《消费者网上隐私法》《儿童网上隐私保护法》《电子通讯隐私法案》《金融服务现代化法》（GLB）《健康保险流通与责任法》（HIPAA）《公平信用报告法》.

个人信息保护法中的企业职责

中国的 《个人信息保护法》 在2021年8月20日通过, 其中对企业(机构)的监管要求有(节选)

• 第二十八条 敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息
• 第四十七条 有下列情形之一的，个人信息处理者应当主动删除个人信息；个人信息处理者未删除的，个人有权请求删除, 第三点 个人撤回同意；
• 第五十四条 个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
• 第五十五条 有下列情形之一的，个人信息处理者应当事前进行个人信息保护影响评估，并对处理情况进行记录
• 第六十一条 履行个人信息保护职责的部门履行下列个人信息保护职责, 第三点 组织对应用程序等个人信息保护情况进行测评，并公布测评结果

《个人信息保护法》

• 对隐私数据的界定作出了更为明确的定义
• 规定了个人信息处理者(企业和机构)的行为要求: 合规, 审计, 报告, 测评.
• 规定了数据处理要求: 分类, 分级, 授权和销毁

企业的GRC管理

GRC是Governance, Risk, Compliance的缩写, 换成中文就是"治理,风险,合规", 按中文习惯可以称为风险合规治理. 个人信息保护法中的企业职责, 属于GRC的功能范围. 在国内, 这一片还基本属于空白, 小企业基本忽视, 大中型企业的这部分职能主要由法务和公共关系部门承担, 但是仅仅停留在人工处理层面, 看见问题处理问题, 没看见的也很难提前处理. 在 《个人信息保护法》 实行后, 靠人工进行GRC管理就变得不现实了.

从市场角度看GRC产品

2016年11月7日通过的 《网络安全法》 已经自2017年6月1日起施行, 在网络安全法中产生了一个新名词叫网络安全等级保护, 对企业信息的安全进行分级和监管, 在安全行业促成了一个由安全等保测评机构, 解决方案集成商和相关安全软硬件厂商组成的市场, 2021年开始, 做过等级备案的企业应该是要强制每年测评了.

而 《个人信息保护法》 的发布, 几乎可以确定会出台配套的个人信息等级保护监管细则, 在这个新需求之下将产生新的市场. 如果说 《网络安全法》 是对企业端单方面的数据的存取进行监管, 那么 《个人信息保护法》 就是加强对数据定级和授权的监管, 而且形态不再是企业一方行为, 而是企业和个人的双方行为.

在欧美已经有企业在这一领域开展服务, 2016年成立的 OneTrust 是这个领域的头部企业 Gartner Review, 总部在亚特兰大和伦敦, 雇员超过1500人.

GRC 产品功能

因为国内还没有相应的成熟产品, 借用OneTrust的产品体系列一下功能清单

• 隐私管理: 评估, 咨询, 培训, 实施隐私影响评估、数据保护影响评估、设计隐私以及其他内部隐私和安全评估, 维护数据流, 跨境传输和完整处理记录,
• 数据发现和分类: 对IT系统中的数据进行分析和分类，维护数据映射和合规性
• 供应商风险管理: 管理供应商的整个生命周期，评估供应商的隐私和安全实践，将供应商与您的处理记录联系起来，并与供应商合作评估跨境数据传输的影响
• 应急事件处理: 制定事件响应计划和预案，提供完整的违规通知法律的自动违规通知指导, 快速补救潜在风险因素
• 隐私权(DSAR)合规(咨询): 使用针对GDPR、CCPA、LGPD和其他有隐私权利要求的隐私法规的预建工作流和指南，管理从接收到履行的完整隐私权利(DSAR)请求工作流
• 目标数据治理: 利用机器自动化完成隐私权利请求所需的手动任务，包括发现、删除和更新其他IT系统中的个人数据
• DSAR编辑: 利用人工智能驱动的分类来扫描和编辑文件和电子邮件，作为隐私权(DSAR)履行过程的一部分
• CCPA免费电话号码: 通过利用共享或专用线路的托管服务选项，或与您现有的IVR提供商集成，满足CCPA对消费者权益免费取号选项的要求
• Cookie检测: 扫描网站以识别cookie收集机制，生成特定的cookie授权提示
• 移动应用检测: 扫描移动应用程序, 生成应用中分析、广告和其他类型移动跟踪的许可
• 政策和通知管理: 集中创建、编辑和分发隐私政策、通知和披露
• 信息技术安全风险管理: 识别、衡量、报告、响应和监控业务数据风险
• 审计和控制管理: 通过有指导的工作流程简化审计工作，以满足报告要求
• 供应商风险管理: 通过自动化集中管理供应商生命周期和跨团队工作
• 策略管理: 将业务实践映射为符合内部规则和外部法规的标准

从上面可以看到, 产品形态主要可以分成三类: 评估咨询, 合规方案, 系统服务, 针对的目标不仅是客户自身, 还包括客户的行业上下游.

从企业角度看GRC实施

GRC的实施将是对现有数据形态的一种挑战, 因为对数据的分类分级, 授权和治理的成本将远超企业业务本身的成本, 在监管细则推出前, 还无法细致评估这些职能的实现难度, 但是可以预见的, 这将对企业的数据存储方式带来变革.

GRC的实施将可能有三种形态

形态一: 企业主体维护

作为一个独立实体, 企业自行维护数据的安全, 分类, 分级, 授权和销毁, 过程可能是自研和采购第三方服务(私有化实施). 这种形式将负担所有的成本, 也获得最大的自由度.

形态二: 第三方平台

将隐私数据与非隐私数据切割, 所有隐私数据都由第三方平台处理, 企业仅保留非隐私部分, 这种形态GRC的成本由第三方平台承担, 企业仅需要为服务付费, 或者以数据价值作为交换不需付费. 这种形式的好处是减小成本, 缺点是隐私数据走SAAS服务, 业务要承担第三方平台的风险.

形态三: 国家平台

与形态二相同, 但是隐私数据由国家机构负责维护运行, 企业需要认证接入, 类似于现在国家征信中心的形态, 这种形态由于政府机构的低效, 无法应对数量巨大的企业, 会变通为国家集中, 渠道认证的方式, 由市场化经营的渠道, 在一定许可下为企业提供服务.

最后

这是一个新产生的监管需求, 和 《网络安全法》 一样, 需要观察两三年等待监管部门的确定, 行政部门的执法细则.

对于安全行业的企业, 可以提前布局, 评估对当前互联网服务软硬件的影响.