面对全球数据保护法规的不断更新和严格执行,确保公司合规和提升自己的数据合规能力显得尤为重要。
作为一名外企的法务新人,我刚踏入数据合规领域一年零一个月。在这段时间里,我从个人信息保护到数据跨境合规,再到网络安全和信息安全,一路摸爬滚打。我和老板一起,一边实践一边摸索,一边进行法律检索一边深入讨论,依靠合规社知识星球社区的知识分享和群内交流,一步步走过来。
可以说,过去的一年,我在数据合规的道路上经历了许多挑战和困难。这个过程并不容易,甚至可以说是痛苦万分的。但我希望下面的内容,能对小伙伴们起到一些参考作用。
01
数据合规可能包含的方面
数据合规又细又杂,游走在法律与技术中间,二者缺一不可,相辅相成。通过这一年多的学习,我自己理解的数据合规大概包含以下方面:
1)网络安全方面;
2)信息安全方面;
3)数据安全方面:数据管理制度、技术制度、技术安全措施等;
4)个人信息保护方面:公司内部制度类的,隐私政策、cookie政策、个人信息主体行权渠道、投诉渠道、有无人员培训及意识宣贯培训等;
5)纯IT技术措施方面:
- 数据传输、存储是否加密,密码算法等
- 数据传输链路及其协议是否安全
- 访问控制逻辑及层级
- 系统访问及控制逻辑
- 底层系统各项安全
- 数据脱敏
6)网络、数据安全管理能力及技术管理能力如何,有无等保等等资质;
7)数据备份;
8)应急响应:信息安全事件、个人信息泄露事件等;
9)灾备恢复及能力;
10)第三方供应商管控;
11)各项管理类或技术类企业资质、人员能力是否配备;
12)企业系统情况,有无清单、部署情况、各系统之间的流程图、第三方供应商情况、存储位置;
13)数据存储位置(考虑境内境外)、存储期限;
14)数据到期后如何处理,删除还是匿名化;
15)企业数据处理场景、涉及哪些个人信息或数据的体量、类型、具体字段等;
16)其他。
我根据目前自己的理解罗列了这些信息。虽然不能说百分百精准,但希望能给大家起到参考作用。我最大的感受是,作为法务人员,一旦涉及到技术问题,哪怕是最简单的问题,我的第一反应常常是“这都是什么?”。这种感觉来源于我对技术领域的不熟悉,因此我意识到自己也需要学习、了解一些信息安全的基础知识。
推荐大家可以考虑CISP,对于初步了解信息安全、技术基础知识还是很有用的,特别是涉及到阅读或了解公司本地、总部层级的网络安全政策时,起码我大概知道在讲什么。
02
应对数据合规领域法律法规的变化
法规的持续变化是数据合规领域的一大挑战。各国法律和规定不仅各不相同,而且经常更新。为了保持合规,我们必须时刻关注这些变化,并迅速调整我们的政策和流程。例如,欧盟的《通用数据保护条例》(GDPR)和中国的《个人信息保护法》(PIPL)都有不同的要求,这要求我们分别制定相应的合规策略。这一过程不仅需要大量的时间和精力,还需要我们不断学习和适应新的法规要求。
我的建议是,对于新法律法规的征求意见稿及正式稿,我们应该逐一详细阅读,并思考可能面临的问题。即使有时候我们难以预见所有问题,阅读法律法规后,可以通过搜索解读文章或参加免费的解读课程来加深理解。之后,应对自己可能涉及的工作方面进行简要汇总和梳理。
最重要的是,理论学习之后,最好再遇到实际操作问题,通过一边检索一边解决的方式,不断积累经验。
03
和技术团队沟通的困难和挑战
数据合规涉及最多的就是与本地或者总部IT团队保持沟通。
说到这个,真的苦不堪言!
在实际操作过程中,我逐渐发现,不介入还好,一旦开始介入,IT方面的不足就暴露无遗。本地IT团队对系统情况知之甚少,总部IT也是混乱不堪,很多情况下连基本的梳理都难以进行。更令人惊讶的是,有些本地公司连ICP备案都没做,或者无法提供等保测评的证明。
在本公司的IT团队合作中,我发现了不少问题。本地IT团队没有明确的政策和措施,对系统情况也一无所知,总是说和总部保持一致。但当我找到总部IT时,发现他们也是什么都没有,给我的政策都是临时写的。这真是让人头疼的地方之一。有时候,总部IT还会把问题推给区域IT,区域IT又推回给本地IT,一来一回,至少一个月就过去了,什么进展都没有。
另一个挑战是与总部IT的沟通。他们要么忘记了之前邮件的内容,要么休假回来就像失忆了一样,每次都要重新解释,这种沟通真的很费时费力。到头来,折腾一圈,什么进展或者一点点更新都没有。有时我真觉得心力交瘁,恨不得直接飞过去,坐在他们面前逐个问题解决。
04
从实操中提炼的数据合规建议
1.隐私政策
如果大家涉及隐私政策更新或者调整的话,可以参考个人信息安全规范国标附件的模板,可以做大方向的参考。之后,可以结合《个人信息保护法》的规定核查有无冲突和疏漏之处。此外,可以参考大厂的隐私政策作业,阅读三四篇,基本大方向就明了了。
2.涉及数据跨境的系统,个人信息梳理表单
十分建议按照下面的表格所列搜罗信息后,再做初步判断:
3.Cookie政策合规
这个我之前也记录合规社知识星球里,这里也再放一下,希望可以帮助到大家。作为一名新接触数据合规保护的法务,之前发现针对cookie且适合法务审阅的cookie合规点没有一个很好的总结。下面是我自己做的一些简要总结。供参考:
Cookie政策界面
✅有无明确可以使得数据主体拒绝或者接受或者选择cookie的选项;
✅是否明确列明cookie政策的快速索引链接;
✅是否有给予数据主体可快速进行配置cookie的快速选项;
✅是否带有可显示cookie的快速选项;
✅上述提及的全部或部分选项点击、切换等是否流畅,相关索引能否正常访问等。
有关Cookie的基本情况概述
✅有关cookie政策的基本描述(如如何在组织内被使用等);
✅表明cookie是否有涉及个人信息情况,如何衔接或者链接处理个人信息的cookie隐私政策关联性表述,如何显示隐私政策,特别是个人信息处理情况及规则(也着重关注是否充分告知➕用户同意是否可以获取);
✅表明数据主体有权同意或者拒绝接受各类型cookie的表述,简要表明若不同意某些cookie的使用,某些网站、应用程序等服务无法使用或者提供。
Cookie或者类似技术的概念
✅概念是否有所澄清。
对所有涉及及使用Cookie的简要概述
✅cookie类型分为哪几类(如绝对必要的cookie,可选择性cookie);
✅是否有第三方cookie;
✅第三方cookie的简要介绍;
✅是否有session cookie或者persistent cookie的表述或者概述等。
Cookie类型的列表➕详细的说明
(最好有一个单独完整且可快速访问的分类型的cookie列表➕其中详细对各cookie的描述)。
✅是否有对绝对必要的cookie,功能cookie,分析/性能类cookie,定向cookie等分不同作用及类型的cookie的列表;
✅每个cookie列表列明每个cookie的名称,cookie所有人,类别,目的,存储时间,功能(着重关注存储时间与法律法规是否有冲突;第三方cookie中第三方的隐私政策也要明确链接或索引指向)。
其他
✅是否有对变更cookie如何通知的表述;
✅是否存在接受cookie问询或解答的渠道或者联系方式的公布;
✅cookie更新日期是否列明。
05
总的来说,尽管数据合规之路充满挑战,但它确实非常有趣,是一个值得深入探索的领域,也是我个人成长和进步的重要机会。尤其是当我通过研究和与老板共同探讨找到解决方案时,那种快乐和成就感是难以言表的,这也成为了我持续学习和努力的动力之一。
对于我自己,我没有太过宏伟的愿望,只希望别给公司捅娄子。我只想稳扎稳打,一步一个脚印地积累知识,虚心学习那些我不熟悉的领域和内容。同时,我也希望自己能够保持谦逊,不骄不躁,即使前路漫长且充满挑战,我仍将不断探索,踏实前行。
热门跟贴