謝永志-隱私保護實踐（13頁）.pdf

1、1健合集團 -謝永志 Aaron2020年9月3個人介紹及公司介紹謝永志 Aaron Xie健合集團-全球信息安全高級經理,Group DPO2001年開始從事信息安全相關工作，先后在國家測評中心，公安網監，銀行等企業負責信息安全、內部審計、企業風險管理、內部控制等工作。擁有豐富的信息安全管理體系建設、信息技術架構設計與評估、企業風險管理、個人信息保護的實踐經驗。4隱私保護立法全球格局DATA PROTECTION LAWS OF THE WORLD主要參考的法規及標準中國中國網絡安全法個人資料(私隱)條例App違法違規收集使用個人信息行為認定方法GB/T 35273:2020 信息安全技術

2、個人信息安全規范中華人民共和國數據安全法(草案)信息安全技術 出入境安全評估指南（征求意見稿）信息安全技術 個人信息去標識化指南（征求意見稿）信息安全技術 個人信息安全影響評估指南（征求意見稿）歐洲GDPR-Grenarel Data Protection ReguraltionARTICLE 29 Guidelines on Data Protection Impact Assessment(DPIA)澳洲Privacy Act-澳洲Ext.Australiancyber-security-strategy-2020美國 CCPA-美國加州印度2019個人數據保護法案國際 ISO/IEC 2

3、7701:2019 隱私信息管理要求與指南ISO/IEC 29151:2017 個人身份信息保護實踐指南等https:/ 2020 DLA Piper.5隱私保護實踐核心框架6隱私保護及合規-組織架構DPO定義與任命（集團DPO）隱私管理小組（CEO+DPO+風險總監+法務總監+CIO+信息安全部）制定和發布隱私保護體系 進行隱私體系宣傳和落地推行 提供隱私咨詢 進行隱私合規檢查隱私專員（地區PO）跟蹤各地區隱私相關項目并向隱私管理小組匯報 協助隱私管理小組進行隱私宣傳和落地 協助隱私小組進行檢查并督促改善集團法務的職責 協助起草相關Privacy Policy及法律文件 協調當地監管機構，獲

4、得特殊時期隱私政策資料（如有）集團IT的職責 執行隱私保護的技術實現，做到Privacy By Default&Design業務部門的職責 隱私保護的第一責任人（部門最高管理者），風險管理第一道防線 及時獲得隱私管理小組的項目或業務流程隱私咨詢并按要求改善Group DPO隱私專員業務部門業務部門集團法務集團IT隱私專員隱私管理小組Group CEO7隱私保護及合規管理體系核心政策與流程集團個人信息保護基線風險評估及PIA流程Data Breach 流程主要工具 隱私政策模板（員工、消費者）及檢查表 Info Security&Privacy Screening Data Inventory

5、Personal Data Handle Question List Transfer Agreement Outsourcing Agreement職責定義隱私保護原則隱私管理關鍵流程隱私權政策選擇和同意收集使用、保留和處置訪問第三方披露安全Data Breach8隱私保護及合規隱私意識教育 培訓教育 年度隱私合規專項培訓（HR、IT、市場、營銷、研發、財務、采購.）隱私合規融入全員入職培訓 第三方人員的隱私保護培訓 內容包含：隱私海報 安全意識Email 隱私合規事件演練 融入企業文化 隱私合規融入員工行為規范 隱私合規融入獎懲管理辦法9隱私保護及合規融入業務流程關鍵點：關鍵行動建立渠道獲

6、取涉及到個人數據的相關業務流程 利用信息安全管理體系中各部門的“信息安全管理員”建立業務流程變更信息獲取渠道進行Data Inventory的梳理并識別風險新業務流程的隱私評估（PIA）修正業務制度及SOP-年度隱私合規融入績效考核（行為能力績效）Privacy By DefaultPrivacy By Design（PbD）10隱私保護及合規融入項目管理關鍵點：寫入相關管理制度或流程，盡早的參加到項目中。建立項目信息獲取渠道：PMO；采購部門；法務部門。項目管理全過程進行管控：需求調研、供應商選擇、項目方案、方案執行、驗收上線、試運行。對項目過程中涉及到的隱私進行識別和保護：數據遷移，數據分

7、析，項目人員信息，測試數據等。關鍵實踐動作 每項目必須填寫Security&Privacy Screening 對于涉及到個人信息處理的項目填寫Security&Privacy Question List 大型項目或敏感地區個人信息相關項目進行PIA 根據項目情況（業務范圍、業務區域、人群影響程度等）給出具體的隱私保護要求（從整個信息生命周期角度）所有項目的測試驗收節點必須包括隱私及安全測試與驗收內容 項目運行一段時間（1個月至半年），進行隱私保護情況評估Privacy By DefaultPrivacy By Design（PbD）11隱私保護及合規融入系統開發關鍵點：把隱私保護納入到系統開

8、發流程中產品需求調研（評審）產品設計（評審）編碼測試及驗收定期針對新法規、標準和最佳實踐，更新流程文檔，并對需求分析、產品設計、編碼、測試、運維人員進行培訓。Privacy By DefaultPrivacy By Design（PbD）12隱私保護及合規融入第三方管理 關鍵點：推動強化隱私合規生態+建立和強化雙方的信任基礎 供應商入圍管理中融入基本的隱私要求 應具有相應資質認證或可證明其具備良好的隱私保護能力（根據項目的影響、相關地區法規、行業現狀給出具體入圍要求）隱私的安全保護水平 隱私保護在行業的貢獻 過往相關項目中隱私保護的考量案例 年度評審時包含隱私保護水平評審要求 隱私管理系統完善程度 隱私相關認證情況 隱私事件情況 隱私培訓情況 對于項目的隱私保護改善建議13P-D-C-AReview 隱私保護體系執行情況（年度）隱私保護實踐核心框架復盤