*本文作者:阿宽kevin,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
岁末年初是攻城狮们做年终总结和来年规划的时点,如果你在负责GDPR项目或者说隐私合规,可能和我一样在苦恼于如何向Boss汇报:
1) 2018年的隐私现状和工作业绩;
2) 2019年的隐私工作目标;
3) 2019年的资源需求(Boss总是嘴上说重视,手上很诚实:抠门)。
GDPR不是第一部隐私法规,隐私工作是否有像信息安全类似的框架可以参考呢?以下是部分信息安全工框架:
1)偏重合规的ISO27001安全管理框架;
2)老美注重实践的NIST IPDRR模型;
3)安全攻防的Kill Chain模型。
安全合规的经验告诉我隔壁老王一定有现成的隐私框架,功夫不负有心人(但负钱啊,250美刀入会)终于找到了组织:隐私专员国际协会(IAPP,类似于安全的ISC2),组织配发了弹药:隐私成熟度框架!(ISC2、NIST、GAPP也有各自的隐私框架)。
老美习惯把一个工作领域叫做项目(Program),所以隐私项目成熟度框架就是Privacy Program Maturity Model(PM2)。PM2定义5个成熟度级别:
Level5-Optimized,持续优化
Level4-Managed,可管理
Level3-Defined,制度化
Level2-Repeatable,可重复
Leve1-Ad Hoc,初始化
是不是熟悉的味道?如果你做过码农,一定熟悉《软件能力成熟度模型》CMMI,Bingo!老美的实用主义直接复用了过来。当然,PM2框架的5级成熟度的定级标准也是拍脑袋,但总好过拍大腿的2级标准:好与坏。
CMMI解决了隐私成熟度的分级问题,但是隐私工作还是无法开展;不要紧张,砖家们已经帮你把隐私工作分解成了多个领域(domain),主要有GAPP(AICPA/CICA公认隐私保护准则)的十条版本和IAPP的学院派版本,咨询公司的隐私合规方案大多起源与此!如果你是技术出身,如果你看过GAPP,如果你还精神正常,那你可以转行了(做律师)!因为这些标准在实践中非常难以应用。
前文提过,250美金的入会费让我发现了Intel在IAPP会议上分享的实战版成熟度模型。让我们看一下Intel版本PM2的目标和起草原则:
1)目标
制定评估、沟通隐私项目现状和目标的评价体系;
跨组织(公司)评价隐私合规成熟度的通用工具;
模型适用于现场访谈、调查问卷和现场审核。
2)原则
基于 GAPP和其它行业标准;
基于全球隐私要求和隐私合规实践;
与安全风险成熟度模型匹配。
3) PM2的12个领域
问题又来了:Intel是传统、国际大公司,Intel隐私专员面对的主要是内部员工的隐私数据。我们是互联网公司,重点是2C用户的隐私合规。怎么办?只能自力更生、丰衣足食,因此,本文基于Intel PM2框架的12个领域和个人工作实践做了做了微调:
1.访问权和纠正权替换成用户权利
Intel制定隐私模型的时候GDPR尚未生效,所以参照了GAPP框架,即用户权利主要是访问权和纠正权。为了与同学们的实际工作匹配,在此升级成用户权利(GDPR规定的7项数据主体权利)。
2.每个领域的定级标准做取舍
假设1,忽略企业员工数据(Employee Data),仅考虑2C的用户数据为前提定制了每个级别的标准(实践中,公司很少因为处理欧盟员工的数据被违规调查);
假设2,我们是中国企业,区别主要是在跨境传输领域,中国即不符合欧盟的充分保护水平认定标准,也不适用于欧美的隐私盾。
PM2框架将隐私工作分解成12个领域×5个级别,如果你的隐私工作尚未开展,PM2可以作为隐私工作的作战地图;如果已经起步,你可以参照框架的定级原则为自己企业的隐私成熟度打分,相当于自我评估。评估报告(假装是行业基线对标)可以向管理层汇报,以提升管理层合规意识和争取资源支持。
自我评估最常用的是雷达图,直观传达待改善的工作领域;如果基于相同的成熟度标准持续评估打分,就可以将工作进展可视化。
IT行业的专业化分工越来越细,企业经营不可避免的涉及第三方供应商,比如采用各种IaaS、PaaS、SaaS云服务,电话中心和物流仓储的外包已经成为新常态。
如何评价第三方的隐私成熟度呢(即数据保护能力)?最直接的是要求对方获得国际认证,比如ISO27001/27018/29151,SOC2等。
如果对方没有证书,业务逼迫你就范,作为隐私专员如果自保呢?让对方基于PM2框架提交隐私成熟度(数据保护能力问卷)报告,然后睁一只眼闭一只眼的通过(虽然明知对方说谎,但至少你没有过错)。
成熟度达到Level3(相当于及格线60分)基本满足第三方认证要求;如果不幸供应商导致数据泄漏,你也好向老板证明已经尽力了;监管调查你(企业)时,也可以拿出供应商评估(Due Diligence)的证明。
隐私是跨法律和IT两个领域的专业,GDPR的风口让法务和安全人员碰撞在一起:
1) 不出事都想做风口上的猪
2018/5/25 GDPR生效,媒体的宣传做了很好的隐私数据科普工作,同时,律所和咨询公司作为幕后专业级别推手,给企业管理层传递了很强风险意识(恐吓)。法务和安全人员也借势申请资源、扩张地盘。
2) 出事后却相互推责
如果监管发来了问询函、媒体炒作公司的隐私事件,法务和安全都因为怕管理层问责,纷纷不见了踪影。
3)按块划分明确职责
“如果有法律问题就裁掉法务团队,如果有安全问题就裁掉安全团队”虽然是戏说,但却反应真实问题(可以参考三个和尚挑水喝的文章)。
PM2框架将隐私工作分成了12个领域,团队之间可以讨论认领主要负责的领域(RACI矩阵中的Accountable),管理层作为隐私项目的sponsor就可以坐享其成或出事后分别问责了。
2019年大趋势是隐私保护越来越严,但你我无法左右;小趋势是老板开始重视隐私合规,踏实做好本职工作,定期向老板汇报。
知易行难,我们是做事的人,撸起袖子加油干!
本节是白话版(excel版包含定级标准示例)!
12个领域中最虚但是最重要的一个,Excel版本框架中写的比较定级教条,这里简化成一个核心要素:隐私负责人的级别?隐私负责人不一定是DPO(数据保护官)或者干活的人,而是公司治理架构中负责的人,类似于业务分管副总裁。实践中隐私负责人的判定标准是:
1)定期(至少季度)听取隐私项目汇报并统筹资源;
2)为企业的隐私合规最终负责,需要在管理层中形成共识;
3)DPO或一线隐私专员直接汇报给隐私负责人。
Level5-CEO(董事长或执行总经理)
Level4-副总裁(Tier1,汇报给CEO)
Level3-总监(Tier2,汇报给副总裁)
Level2-经理(Tier3,汇报给总监)
Leve1-员工(Tier4,汇报给经理)
这里的隐私制度不是制度本身,而是制度的执法机构和执法权利,执法权利取决于第一点组织架构。
Level5-多党执政(外部审计)
Level4-法治社会(多级考核、申诉渠道)
Level3-执法不严(和谐社会,流程上遵守)
Level2-有法不从(无惩罚措施)
Leve1-无法可依
隐私政策透明度,包括冗长隐私政策(PrivacyPolicy)的透明度和充分的用户增强(二次)告知。
Level5-天下无贼(天眼系统:预防数据吸血大法)
Level4-指标量化、可视化(比如PP动画片)
Level3-有制度有流程(流程检查,形式合规)
Level2-有制度无流程(发布PP,但不能确保业务执行与PP一致)
Leve1-三无产品(缺少PP和弹窗)
GDPR规定了数据主体(即用户)的七项权利,包括访问权、纠正权、清除权、限制处理权、可携带权、拒绝权、自动化决策拒绝权。详情关注公众号:监管与合规,从企业实践探索GDPR用户权利行使。https://mp.weixin.qq.com/s/noKw3kTdxPDu7B8pXqAn2w
Level5-隐私看板(相当自信)
Level4-自动化(用户自助+云端自动)
Level3-流程+半自动(确保SLA和不出错)
Level2-邮箱+协调(制定流程,申请个例处理)
Leve1-没有预案(申请到了再随机应变)
几乎全球各国都有数据跨境的要求,但是受限的数据范围和执法力度不同,从而出现了“高危”区域,比如欧盟、俄罗斯、中国!
Level5-自动驾驶(公开跨境规则和承诺)
Level4-监控违规驾驶(避免老司机翻车)
Level3-获得国际驾照(持证跨境传输)
Level2-仅识别高危地区(欧盟,俄罗斯等)
Leve1-无知者无畏(缺少跨境风险评估机制)
信息安全中归类为供应链安全(SupplyChain Security),主要考核涉及个人数据处理的供应商,包括信息安全评估和数据处理协议DPA。这里需要引入审计概念:
1)一方审计,企业自查;
2)二方审计,甲方查乙方;
3)三方审计,公正第三方操刀,即通常的审计概念。
Level5-动态监控供应商安全态势和否决权 (国际市场已经有监控SaaS服务了https://securityscorecard.com/ )
Level4-高危供应商二方、三方审计(实质合规)
Level3-全签DPA协议(形式合规)
Level2-仅在敏感数据场景考虑(业务免责行为,没有流程保证)
Leve1-业务自主选择供应商(不经过安全和隐私流程)
个人信息的分类分级是安全防护的前提,GDPR中个人信息包括已识别(侠义PII)和可识别信息(广义PII,即所有从用户和用户设备收集的信息都是个人信息)。
数据分类:用户数据(PII)、员工数据(EPII)、商业数据(BI);
PII分级:敏感个人信息(SPII)、机密个人信息(CPII,不是GDPR要求)和普通个人信息(PII);
传统公司可以基于流程和表格人工去做数据分级,但互联网公司面对的是海量数据,我们需要借助科技的力量。数据分级工具有传统的DLP厂商、数据公司Oracle/SAP/Imperva、国内全知科技等,总有一款适合你。
Level5-风险预警(AI时代)
Level4-数据血缘(自动发现)
Level3-工具自动分级(动态tag)
Level2-核心数据分类(比如手机号被重点保护)
Leve1-一坨数据(没有分类分级)
隐私事件属于安全事件的子集,建议共用安全事件制度和流程,但是需要细化事件通告的范围:增加监管机构和用户。GDPR要求的72小时上报窗口,但并非所有安全事件都需要上报:“可能对自然人的权利和自由造成高风险”的事件,如果你要规避上报带来的PR风险,需要做好书面评估“合法”隐瞒;当然,你也可以毫无隐瞒的将各类事件都选择上报,做个良好公民。
关于上报到欧盟哪个国家的DPA机构,需要你提前选好“代理人”并去注册备案。
Level5-专业、专岗事件响应团队(真正的SOC)
Level4-经历过重大事件,或定期演习
Level3-各种SOP,包括数据影响评估和监管报备细则
Level2-流程太虚,无法指导操作(大多数公司现状)
Leve1-无流程和预案
全体员工的通识培训只能解决形式合规问题,公司的成熟度取决于隐私违规后是否处罚,开除违规员工或降薪效果立竿见影。
互联网公司收集和处理海量的用户数据,因此要对特定岗位的人进行专项培训,比如产品经理、大数据工程师等。
Level5-处罚权、叫停业务
Level4-流程+工具(隐私抓手)
Level3-关键岗位专项培训(抓重点)
Level2-通识培训(形式合规)
Leve1-无培训
隐私影响评估(PIA)是经典称谓,GDPR又定义了数据保护影响评估(DPIA),实践中两个名称通用。PIA需要一个审批流程,形式首先要合规;PIA的有效性取决于隐私专员的经验(当然评估框架才可靠)。
PIA是企业隐私实践中最核心的环节,但并非所有数据操作都需要PIA:
高危操作=敏感字段⊕敏感操作⊕数量巨大
做事的同学可能发现问题了,谁来对于“敏感”和“巨大”定量?只能参考最佳实践,比如WP29(下篇文章给大家分享一个example)。
Level5-公开PIA过程(产品透明)
Level4-量化和可视化PIA(资源充足,DPO安稳睡觉)
Level3-砖家到岗(律师和专员到岗,解决高风险点)
Level2-有流程,无专业能力(形式合规)
Leve1-业务变更不理你(无流程)
归档即数据的保存周期,通常数据的保存周期是基于业务需求的,导致有商业价值的数据永不删除,但是,隐私原则要求完成业务目的(用户视角)后立即删除。
实践中必须强制每个数据表设置TTL,1天/7天、30天、90天、180天、365天等,同时让业务在Data Inventory系统中备案,然后隐私专员抽查。
销毁≠删除:业务同意设置TTL的前提是数据没有商业价值,硬上弓会导致业务和你拼命的(断人财路犹如杀人父母);如果数据还想保留利用价值,可以采取脱敏处理(专业课题,不在此展开)。
Level5-应用匿名技术(保留数据价值)
Level4-公开数据保存周期(用户监督)
Level3-有制度、有工具
Level2-有制度、无工具
Leve1-无制度、无工具
数据安全才是隐私合规的压舱石,如果不幸数据泄露了,监管一定能够发现你的瑕疵(Google、FB案例证明100%合规是不存在的)。但是,数据安全的三板斧还是必须的:数据加密、IAM、DLP。
1)数据在MySQL和Hadoop中存储时要字段加密,避免脱裤;
2)IAM是权限最小化和访问控制;
3)DLP是数据防泄露方案,即包括服务器端的防下载落盘方案,也包括邮件、USB、网盘等办公防泄密方案。
Level5-ISO27018,ISO29151,SOC2
Level4-ISO27001实质落地
Level3-IAM+DLP
Level2-数据加密
Leve1-无流程、无工具
附件:
彩蛋, 下载excel和pdf版本(提取碼 9g2y)的成熟度矩阵,附件包括Intel版隐私框架和分级标准。
*本文作者:阿宽kevin,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。