视频一区二区都市激情,国产末成年女片一区二区

通過(guò)ISO29151的經(jīng)驗(yàn)、心得

發(fā)布時(shí)間：2020-12-21 作者：廣匯聯(lián)合來(lái)源：廣匯聯(lián)合

通過(guò)ISO29151的體系認(rèn)證準(zhǔn)備，總結(jié)下來(lái)有以下兩點(diǎn)心得體會(huì)：

（一）明確組織PII角色，選用合適的控制措施

審核老師在初審時(shí)首先就會(huì)詢問(wèn)我們，貴公司是PII信息的控制者還是處理者？

對(duì)于這個(gè)問(wèn)題的判斷直接影響著適用性聲明中相關(guān)控制措施的選擇和描述。事實(shí)上，收集個(gè)人信息的并不一定就是PII控制者。PII控制者是決定PII處理目的和方法的利益相關(guān)方。PII處理者則是代表PII控制者，按照控制者的指示（一般有合同約定）對(duì)PII信息進(jìn)行處理。PII處理者還可能將PII信息再次分包給其他處理者。

舉個(gè)“例子”

在29151附錄A中，A7.3和A7.5兩個(gè)控制目標(biāo)就與PII的處理者和分包處理者有關(guān)。

A7.3披露通知：確保PII處理者向PII控制者通報(bào)任何披露PII的具有法律約束力的請(qǐng)求。

這條控制目標(biāo)的意思是：PII的控制者如果將個(gè)人信息提供給處理者進(jìn)行處理，處理者如果還會(huì)將PII信息對(duì)外披露，則需要書面告知給控制者。

A.7.5披露分包的PII處置“確保PII處理者向PII控制者披露任何分包商的使用情況”

這條控制目標(biāo)的意思是：PII處理者如果使用分包商處理PII信息，則應(yīng)書面告知給PII控制者。

上面這2個(gè)條款在實(shí)操上采取什么控制措施呢？

對(duì)于我司而言，一方面在管理體系文件中增加說(shuō)明：對(duì)于收集到的PII信息如提供給合作伙伴協(xié)助處理的，應(yīng)在合同中明確說(shuō)明處理PII信息的類別和信息保護(hù)要求，合同應(yīng)有保密條款。如合作伙伴需將PII信息提供給分包商處理或?qū)ν馀?，也?yīng)在合同或其他書面協(xié)議中說(shuō)明相關(guān)情況。另一方面也在公司和短信供應(yīng)商、基金公司等相關(guān)合作伙伴的合同中通過(guò)保密條款約定除法律規(guī)定和國(guó)家監(jiān)管要求以外，不得將PII信息對(duì)外披露；對(duì)于管理人使用分包商進(jìn)行基金銷售客戶PII信息處理的場(chǎng)景，也在基金銷售合同中披露PII信息分包處理者券商的情況，以此滿足ISO29151條款的要求。

（二）隱私政策文案需及時(shí)更新，配套技術(shù)措施也要跟上

審核老師在進(jìn)行現(xiàn)場(chǎng)審核時(shí)重點(diǎn)關(guān)注的內(nèi)容就是隱私政策文本和相關(guān)的隱私保護(hù)技術(shù)手段。按照審核老師的說(shuō)法，隱私保護(hù)雖然標(biāo)準(zhǔn)條文很簡(jiǎn)單，但是實(shí)踐過(guò)程中卻是處處是坑。而且隱私保護(hù)的合規(guī)要求變化很快，兩年前的規(guī)定可能兩年后就會(huì)完全改變，企業(yè)需要在監(jiān)管要求出臺(tái)后快速適應(yīng)進(jìn)行業(yè)務(wù)流程和系統(tǒng)改造才能確保滿足合規(guī)要求。我司今年就更新過(guò)3個(gè)版本的隱私政策，以下列舉一些常見的問(wèn)題點(diǎn)和規(guī)避策略。

問(wèn)題點(diǎn)1：客戶端APP是否區(qū)分基本功能和附加功能？

應(yīng)對(duì)策略：客戶端APP如果區(qū)分基本功能和附加功能，且附加功能會(huì)額外收集個(gè)人信息的話，應(yīng)該在隱私政策中獨(dú)立說(shuō)明附加功能收集個(gè)人信息目的和業(yè)務(wù)場(chǎng)景，并讓用戶對(duì)這部分個(gè)人信息的收集處理單獨(dú)進(jìn)行確認(rèn)。

問(wèn)題點(diǎn)2：客戶如何行使拒絕、撤回同意、賬號(hào)注銷的權(quán)利？

應(yīng)對(duì)策略：客戶拒絕隱私政策收集個(gè)人信息，企業(yè)在條件允許情況下需要提供APP的免登錄瀏覽功能；客戶如果想撤回同意或者注銷APP注冊(cè)賬號(hào)，企業(yè)也需要給客戶提供便捷的操作方式（APP自助操作或者客服電話等），一旦客戶撤回同意或賬號(hào)注銷后就不能繼續(xù)收集客戶隱私信息。

問(wèn)題點(diǎn)3：PII使用期限到期后是否做了數(shù)據(jù)刪除或去標(biāo)識(shí)化處理？

應(yīng)對(duì)策略：首先要根據(jù)企業(yè)所在行業(yè)的監(jiān)管法律要求明確數(shù)據(jù)保存期限（比如對(duì)我司所在的金融行業(yè)相關(guān)法律要求建立“客戶身份識(shí)別制度”，遵循“投資者適當(dāng)性要求”，反洗錢等法律規(guī)定也要求個(gè)人信息和業(yè)務(wù)信息保留更長(zhǎng)時(shí)間等，這些都是金融科技行業(yè)個(gè)人信息保護(hù)的特殊規(guī)定），其次在PII數(shù)據(jù)使用到期后，停止繼續(xù)收集數(shù)據(jù)，并評(píng)估采用合理的數(shù)據(jù)刪除（包括備份數(shù)據(jù)）或去標(biāo)識(shí)化技術(shù)方案（如脫敏、加密），這些都應(yīng)該在隱私政策中有明確說(shuō)明。

問(wèn)題點(diǎn)4：PII信息是否跨境傳輸存儲(chǔ)？

應(yīng)對(duì)策略：需要事先進(jìn)行PIA隱私影響分析，了解公司收集的PII信息是否有跨境傳輸和存儲(chǔ)的場(chǎng)景，并需要了解各國(guó)在PII數(shù)據(jù)跨境存儲(chǔ)傳輸?shù)暮弦?guī)要求（可以由安全部門與合規(guī)部門共同確認(rèn)），例如歐盟國(guó)家采用GDPR對(duì)數(shù)據(jù)跨境存儲(chǔ)有嚴(yán)格限制，新加坡PDPA要求個(gè)人信息如果跨境存儲(chǔ)需要簽署IT外包協(xié)議明確境外數(shù)據(jù)處理存儲(chǔ)的安全保護(hù)職責(zé)。然后在隱私政策中描述有沒(méi)有跨境傳輸存儲(chǔ)個(gè)人數(shù)據(jù)，如果有的話目前采取了哪些安全防護(hù)措施。

問(wèn)題點(diǎn)5：個(gè)人信息的共享是否在隱私政策里有詳細(xì)說(shuō)明？

應(yīng)對(duì)策略：個(gè)人信息的共享，包括企業(yè)內(nèi)部共享（集團(tuán)和下屬子公司、公司內(nèi)部各應(yīng)用系統(tǒng)）和外部共享兩種情況。對(duì)于這兩種情況，都需要細(xì)化描述具體的個(gè)人信息共享業(yè)務(wù)場(chǎng)景、共享數(shù)據(jù)字段，且用顯著的方式（高亮加粗等）提醒用戶閱讀，才能滿足用戶的知情權(quán)。更好的做法是，在將客戶個(gè)人信息提供給第三方前，通過(guò)彈窗或其他技術(shù)手段再次通知客戶并獲取明確同意，同意選項(xiàng)應(yīng)默認(rèn)不勾選。

問(wèn)題點(diǎn)6：隱私政策用戶操作是否數(shù)據(jù)庫(kù)中記錄操作日志？

應(yīng)對(duì)策略：對(duì)于客戶在系統(tǒng)上進(jìn)行隱私政策同意的操作，系統(tǒng)應(yīng)在數(shù)據(jù)庫(kù)中至少記錄這些操作日志字段信息：用戶賬號(hào)或身份識(shí)別號(hào)、客戶操作結(jié)果（同意/拒絕）、操作日期和時(shí)間、隱私政策版本號(hào)。每一次隱私政策內(nèi)容更新時(shí)都要推送給用戶重新點(diǎn)擊確認(rèn)，操作日志按照《網(wǎng)絡(luò)安全法》的要求至少需要保存6個(gè)月。

建立公司的個(gè)人隱私保護(hù)體系是個(gè)浩大繁瑣的工程，需要滿足合規(guī)要求，建立企業(yè)的隱私保護(hù)組織架構(gòu)、不斷調(diào)整隱私政策，并通過(guò)內(nèi)控制度建設(shè)和安全技術(shù)創(chuàng)新才能有效防范風(fēng)險(xiǎn)。前路漫漫，但隱私保護(hù)應(yīng)該成為企業(yè)義不容辭的責(zé)任和生產(chǎn)力，唯有持續(xù)改進(jìn)方能贏得市場(chǎng)和客戶的信任。

如您想更詳細(xì)的了解ISO29151標(biāo)準(zhǔn)，需要ISO29151標(biāo)準(zhǔn)，請(qǐng)您網(wǎng)絡(luò)搜索廣匯聯(lián)合，快人一步，成就管理者風(fēng)范。

通過(guò)ISO29151的經(jīng)驗(yàn)、心得

通過(guò)ISO29151的經(jīng)驗(yàn)、心得