业务导向甲方网络安全策略设计#3隐私政策
接续
之后,来到了属于近年来常被提及的领域:隐私。
笔者:国际认证信息系统审计师、软考系统分析师
隐私政策的问题在于,并不是每个人都能读懂,更不用说能理解。法律上,比如国内的《中华人民共和国个人信息保护法》,欧盟的《通用数据保护条例》等,本质上都是面向法律专业人士。但对于企业组织,要确保合法合规经营,就必须理解、执行,并把这类法律法规转化为企业组织的网络安全策略。
需要注意的是,企业的隐私政策属于企业对外公开的法律文件,大多数的国家都已经要求企业必须制定隐私政策才符合合规经营的要求。作为法律文件,必然也是冗长且无趣的。而为了避免阅读者直接忽略而在未来引起争议,通常还要在最前面用普通的语言表达出最重要的内容,强调说明。
之所以把隐私政策放在第四部分,也是因为良好的隐私政策的基础主要是前面第一部分和第二部分的内容,即数据管理和数据限制,同时也间接地基于第三部分停机管理的内容。
要创建能良好执行的隐私政策,首先需要了解自己拥有什么类型的数据,以及客户对隐私的要求,无论是个人客户抑或组织客户。基于这些基础,再分解出哪些客户要求是企业可以满足的,哪些是要声明不承担责任的。
接下来,要对隐私政策的责任人详细培训和解释。每个人都应该知道他们什么时候可以帮助用户或客户,比如客户已经忘记了他们的密码。你还应该说明客户需要支持时,什么情况下应通过服务系统转给正式的支持部门处理,而不是直接向客户透露某种信息。
实际上在大多数情况下,管理者通常都是通过威权去迫使工作人员不能做什么。而且反过来,员工会冲动地打破政策直接处理问题,而不是让客户把问题升级到后续的客服层次。这些情况都会导致隐私政策在某一天完全失效。所以,需要通过良好的企业内部沟通和书面的约束条款来防止这种情况发生。
为了能使隐私政策在企业内部更加明确,应用易懂的、非法律用语的描述方式,列出隐私政策的要点,表述清楚对于收集到的信息,企业不会进行什么操作,而会进行什么操作。使得关心隐私政策的人在阅读这个列表时能更容易地找到自己关注的要点。
参与制定隐私政策的人不能只是企业的IT人员。由于隐私政策的复杂性和法律性,需要通过跨领域的合作团队共同参与进行政策制定。这个团队的成员应来自以下部门:
-
网络安全及信息化管理部门
-
数据管理部门(如果和IT部门分离)
-
合规管理部门
-
行政管理部门(推动隐私政策在企业内全方位落地)
-
法律顾问(熟悉隐私法律,能在隐私政策发布前执行尽职调查和提供意见)
-
第三方业务合作伙伴(可能希望企业提供客户信息以实现市场营销或研究,因此必须向其灌输可以提供给他们的信息的局限性)
-
需要访问敏感信息的兼职员工,或者外包服务商(因为这些信息对其工作的执行有直接影响)
而具体到隐私政策中应涵盖的要素可以分为“传播和营销”以及“法律、合规和信息化”两大类,具体包括:
-
对客户或利益相关者的承诺
-
如何收集和使用客户信息
-
如何共享客户信息
-
客户可以根据他们的信息被对待的情况自行选择加入或退出
-
客户隐私权
-
客户对隐私问题存在疑问时企业的责任联系人信息
以及:
-
如何跟踪记录客户账号活动
-
如何向第三方提供客户信息
-
数据保护和安全
-
信息日志记录
-
隐私合规性
-
员工隐私实践情况
-
数据保留
向客户发布的隐私政策声明应该从公司关于如何保护客户信息的立场声明开始。最常见的说明是向客户解释,他们的数据将被加密并保持安全,而且这些数据不会卖给其他人。客户可以随时获得隐私政策的内容。一旦隐私政策发生变化,客户都会获得通知。
对客户所承诺的隐私政策,应能解释企业计划如何使用客户信息,以及企业计划为此目的收集哪些客户信息。典型如为了改进企业的服务而需要收集客户的基本信息、服务内容偏好等。尤其是如果需要收集个人敏感信息,必须紧密围绕法律法规去设计,比如客户的个人信息、定位信息等等。
隐私政策应向客户说明客户信息会被分享到的任何一个组织。一般来说这些其它组织会是企业(集团)的附属企业或第三方业务合作伙伴,通常目的是围绕客户提供可选的增值服务。
隐私政策应该向客户解释,客户能根据隐私政策的内容,自行选择接受或退出,从而自主保持其信息隐私权。一种比较深入的情况是允许客户拒绝匿名化其数据并用于分析报告(虽然匿名化已经是保护了客户的隐私)。
隐私政策应向客户告知其在法律保护下的隐私权。例如,客户在什么条件下有权要求企业说明是否向任何第三方披露个人信息,以及是哪些第三方;以及,企业是否在未经他们同意的情况下出售了客户的任何个人信息。
公司应始终向客户提供电子邮件、电话号码和物理地址等对外联系方式,以便客户能就有关隐私政策的任何问题与企业联系并获得反馈。
现在很多企业都会建立网站、网上客户支持服务,这些大多数都需要通过cookie技术实现对客户账户活动的跟踪记录。即使是纯线下业务的企业,也存在离线的客户账户,只是活动跟踪记录过程不在线上而是通过其它方式实现。总而言之,要有必须的说明。
企业需要在内部达成共识,决定客户信息在什么条件下、以什么方式能提供给第三方,并且在此过程中如何实施隐私保护。要保有客户的自主权,并从细节区分内部共识的具体操作。再次强调,仅仅是简单的数据匿名化是不足够的。
从法律、法规等角度,对为了保护隐私而部署和实现的安全措施、数据存储和数据保护等实践操作,应形成企业内部标准和操作指导,并由信息化部门积极执行。
在信息化运维活动中产生的各种日志信息,包括硬件设备日志、客户操作日志、客户服务记录等等方面的,都应该在隐私政策中说明如何在企业内部合理使用这些信息,如何保护这些信息以达到保护客户隐私,以及在什么情况下可以共享这些信息。
客户隐私高敏感度的企业,尤其是面对个人客户的企业,比如医疗、金融、保险等,应在隐私政策中说明如何加强对员工的培训,要求员工如何管理和操作客户信息,并在面对客户时如何遵循企业的隐私政策。
尤其是信息化运维管理部门应着重培训和规范部门员工,如何维护和保护各种日志信息,以达到合法合规的要求。
隐私政策中应包括年度审计的要求并定期实施,审计内容需要包括隐私政策本身的变化,以及因变化而对信息隐私保护处理手段的变更、隐私信息本身的
公司应制定政策和程序,最低限度地确保对客户的信息安全和隐私以及其他对企业至关重要的信息的年度审计,审计周期应处理和记录现有信息隐私做法的任何变化。
隐私政策中包含有数据保留的具体要求,由信息化部门执行,并联合企业内业务客服部门、审计部门、法务部门以及法律顾问,定期审查要求内容和执行情况。具体要求的关键是定义敏感数据的最长保留时间。
最后,在隐私政策制定后的执行上,应关注包括以下4点:
企业应该与法律顾问、监管机构和审计人员进行核实,以确定在信息隐私领域需要审计的内容。企业应设计内部审计程序,由自有的审计和合规团队执行。
作为审计和合规过程的一部分,企业应采取措施,确保其隐私政策与最新的法规保持一致,并及时向客户、业务伙伴和其他利益相关者发布政策更新。
务必维护所有更新的历史记录。隐私政策的更新应在批准后立即发布,并对受政策影响的员工进行教育培训。批准人在企业内部应达成一致,并应在任何政策更新生效之前达成。
隐私政策应作为新员工入职培训过程的其中一项。工作上涉及隐私政策内容的员工必须接受培训,理解政策后才能开展工作。企业应保存所有员工接受培训后的签字记录。
违反隐私政策可能会给员工和企业带来严重的后果。因此,员工应被告知,违反隐私政策可能导致纪律处分,导致终止雇佣关系,甚至有可能被依法起诉。
尤其是,承担保护私人信息责任的企业员工应在开始工作之前阅读并签署有关违规和处罚的企业声明。企业应保存员工签署确认书的记录。
业务导向甲方网络安全策略设计#3隐私政策结论:
隐私政策内容取决于企业本身业务特性、客户群特性、行业定位等等因素,在制定符合企业情况的隐私政策时,要从与企业商业模式直接相关的要素开始并给予重点关注,但同时也必须扩展和兼顾其它要素,尽量达到面面俱到,不留死角。
由于隐私政策实在过于专业,企业组织应在专业法律人士的协助下完成政策的起草和发布。目前外国已经有一些能按使用者自选的合规目标而自动生成隐私政策的在线服务,但国内还未见到类似的。而欧美的法律体系和中国法律体系之间的显著不同,也直接制约了此类在线服务的通用性。
本页网址二维码: