新基建企业面临的风险与挑战：信息安全与隐私保护

作为新基建系列活动之一，2020年7月8日，SGS携手中关村融创企业开放创新促进会成功举办融|大咖分享会新基建系列第四期——新基建企业面临的风险与挑战：信息安全与隐私保护讲座。促进会特别邀请了SGS认证及企业优化部新产品和服务开发副总监游天鸿先生，聚焦企业信息安全与隐私保护两个方面，重点讲解了国内和国际隐私保护法规的原则和要求，点明了国内企业隐私保护的痛点，提出了企业隐私管理规范化、系统化的主要途径，为组织信息安全和隐私安全保障提供了解决思路。

一、内容提要
1. 欧盟《通用数据保护条例》（GDPR）、中国GB/T 35273-2020个人信息安全规范对信息保护的要求。
2. 企业目前在隐私保护上的管理痛点和误区。
3. ISO/IEC 27001:2013与ISO/IEC 27701:2019的标准和使用。
4. 企业隐私管理体系的规范和构建。
5. 新基建领域的隐私保护规范。

二、活动效果
新基建系列活动在疫情期间通过线上直播的方式，吸引了新基金创新企业及关注信息安全及隐私保护方面的人员报名参与。
本次游老师的分享不仅让大家了解到国际、国内隐私保护的相关重要法规标准，还使参与活动的人员意识到了学习隐私法规和构建企业隐私管理体系的重要性。

三、企业面临的5大痛点分析
1. 在欧盟《通用数据保护条例》（GDPR）对信息保护的要求中，强调了六大原则和八大数据主体权利，而这些原则和权利在中国GB/T 35273-2020个人信息安全规范中都有涉及，说明各国专家在隐私保护方面的着眼点是一致的。处置过程的安全性是国内多数企业对隐私保护唯一关注的领域，意味着多数企业只注重到六大原则中的安全性，而其他原则、权利却少有顾及。

2. 企业目前在隐私管理方面的痛点有：
①隐私管理很大程度仅仅只是与机密性有关而已，多数企业只关注数据的加密方式、包括存储位置、谁有权限访问数据等。
②其它隐私要求比如数据最小化、存储保留最短化等做得不到位，甚至没有关注到。
③企业的角色也没有明确定义，数据处理者和数据控制者的责任有差别。
④不清楚是否有第三方（外部公司或自己的子公司/集团公司）的数据处理未识别。

这些痛点反映在企业内部管理表现为：
①隐私要求/法规的培训不足。
②培训材料侧重于保密性。
③无系统化的数据流分析。
④许多策略和文档都是根据个别隐私法规要求而创建的，很多时候这些文档规定的要求没有责任人，组织也没有系统化去管理这些文档。
⑤数据泄露不被视为安全事件，对数据泄露没有结构化的事件处理程序。

3. ISO/IEC 27001:2013作为信息安全管理体系的国际标准，在隐私保护方面要求略显不足。在ISO/IEC 27001:2013的基础上，ISO/IEC 27701:2019建立了一个隐私管理架构，增加了相应的隐私控制点，确保隐私原则和数据主体的权力得到保障。其标准包含附加的管理要素，补充了31项 ISO/IEC 27002的控制要求、用于信息控制者的31个附加控制要求和用于信息处理者的18个附加控制要求，是一个可认证标准。

4. 隐私管理与人事管理、质量管理、环境管理等，都应该是组织整体管理的一个有机组成部分。作为管理流程的一部分，组织在设计流程和服务交付时，就应该考虑隐私的相关要求，而不是在交付后进行筛查。

5. 隐私信息管理体系通过如下三个途径确保组织以系统化的方式管理数据隐私问题。
第一、技术控制要求，确保不仅是数据安全，数据主体权利和数据处理原则也都要控制。
第二、管理架构，如高层参与、公司政策、KPI、企业架构、培训和意识、文档控制等。
第三、监视和改进，如内部评审、管理评审等。

四、Q&A精选干货
1. Q：
前几日杭州举办了隐私计算论坛，其中提到将区块链与隐私计算技术结合起来，将企业数据通过区块链技术与众多企业互联互通，实现数据的“可用不可见”，您觉得这种方法是否与国际标准的相关要求冲突呢？

答：没有冲突。区块链是一个安全技术，它能做到共享数据的同时加密数据且使之不可见，在数据保护方面是一个很好的手段。但目前一些区块链组织在数据治理方面仅关注到了数据的保密性、完整性、可用性，这是我们通常说的信息安全。而对于数据的隐私安全要求，诸如我们前文提到的欧盟GDPR的数据处理六大原则及数据主体的八大权利以及国内GB/T35273-2020个人信息安全规范，大部分组织在合规性上还有很大的差距。所以不能仅靠区块链技术来做好数据的隐私管理。

2. Q：
在大数据时代，企业特别是中小型企业应该如何做好隐私保护工作？

答：举个例子：企业作为数据收集方，从管理和合规性而言都需要要取得数据主体的同意，数据主体要求删除时就必须删除，跟数据大小没有关系，处理的原则还是一样，这个是法规的一部分。另外一方面，数据庞大可能会影响处理隐私数据的有效性和速度，但不应该因为数据庞大的问题而增加或减少隐私保护方面的份量。

3. Q：
在中国本土企业走向海外的过程中，有哪些隐私安全方面的事宜是需要和国际接轨的？

答：第一，中国的隐私法虽然没公布，但现有的国标其实是写得不错，所以并不意味着国外的隐私法规写得更好，我们一定要向国外学习。
第二，国内企业要和国际接轨，从技术角度来看国内的企业肯定能做到。然而国内隐私管理现有的问题在于，大部分企业对隐私法规不了解，通常局限在信息安全里面，前文提及的那些原则、权利，很多企业都很陌生，企业在走向海外的同时，应充分识别适用的隐私法规，运用国际标准来规避组织可能面临的隐私安全风险。

4. Q：
可以预见数据将成为新基建所有经济部门提高生产效率的新动能，然而大力保护隐私与向客户提供精准个性化服务常常冲突，怎么化解这个矛盾呢？隐私保护的边界在哪里？

答：个性化服务跟隐私保护没有冲突，客户不知情的信息搜集、买卖数据、超范围的信息搜集等才是与隐私保护相冲突的地方。法规没说大数据分析和个性化服务有错，它们强调的是要在客户知情且充分授权的情况下才能做，但现在很多APP都没做到这一点。

5. Q：
企业将数据保存在第三方云服务商上，合规是由自己承担还是第三方云服务商承担？

答：企业作为数据的收集方是数据控制者，云服务提供商作为供应商替企业处理数据，是数据处理者，如果违规，两个都要承担责任，根据过往的案例企业面临的处罚会更重一些。

五、免费回放入口
如您错过直播回放，可以扫描下方二维码进入回看。
限时免费回看倒计时还有不到2天，7月11日恢复原价69.9，赶快来学习吧。

直播回放链接（点击查看详情）

六、作为国际公认的检验、鉴定、测试和认证机构，SGS致力于为各行各业提供企业优化服务，在信息安全和个人信息及隐私管理服务范围内，包括：
ISO/IEC 27001 信息安全管理体系
ISO/IEC 27701隐私信息管理体系
ISO/IEC 20000 IT服务管理体系
ISO/IEC 27017 云服务信息安全规范
ISO/IEC 27018 公共云个人信息（ PII）处理者的信息安全控制规范
ISO 22301 业务连续性管理体系
CSA STAR 云安全联盟云安全评估认证
GDPR相关的培训和认证服务。

（本文著作权归SGS所有，商业转载请联系获得正式授权，非商业转载请注明出处）