企业如何应对日趋严格的数据监管,避免巨额罚款?
作者:互联网
信息化发展高歌猛进,随之而来的安全问题也越来越多。全球范围内数据安全与隐私保护的呼声一浪高过一浪。
国内数据监管关键法规
《数据安全法》
2019年3月4日上午,十三届全国人大二次会议答记者问,大会发言人张业遂表示,2019年将制定数据安全法,提高防范和抵御安全风险能力是其中一项重要的立法工作。
在这次两会上,全国人大代表,中国移动集团公司董事、浙江移动党委书记郑杰呼吁,尽快制定《中华人民共和国数据安全法》,明确数据安全法律责任,完善监管体系,保障国家安全、公民个人隐私权益和社会安全稳定。
国内仅依赖一部《网络安全法》不足以从法律层面保障数据安全。《数据安全法》的范围会比个人信息保护法更大,包含个人信息和非个人信息的保护。除了关注数据的保密性、完整性、可用性等特性,还需关注数据全生命周期的安全,即从数据的收集、存储、使用、共享、销毁的完整生命周期角度,对每一个环节所面临的数据安全问题予以关注。
通过《数据安全法》保护数据安全,是为了更好地利用数据,而非让数据处于封闭的状态追求绝对安全。
由此看来,《数据安全法》的立法初衷与世平信息的战略使命完全吻合。
《个人信息保护法》
关于《个人信息保护法》的制定历程,也可以从我们之前的文章中了解到:定了!《个人信息保护法》或在5年内出台。
2018年9月10日,十三届全国人大常委会立法规划正式发布,69件法律草案列入第一类项目,个人信息保护法是第61个项目。此前,个人信息保护法“缺席”了十二届全国人大常委会的立法规划,仅被列入十一届立法规划的三类项目,这次在立法序列上出现了“跳跃式前进”。
《个人信息保护法》的诞生节奏已经走在了《数据安全法》之前。
数据监管力度越来越严格是趋势,随着法律的逐步完善,我国数据安全与隐私保护法的执法力度也会不断加强。
抖音国际版被罚事件
前段时间,“树大招风?抖音国际版被罚巨款”的字眼在国内社交媒体上激起涟漪。
当地时间2月27日,美国联邦贸易委员会(FTC)宣布,视频社交媒体应用程序Musical.ly(现名为TikTok)已同意支付570万美元(约合3800万元人民币)的和解金,用以解决FTC此前关于该公司非法搜集儿童个人信息的指控。这是FTC迄今为止因儿童隐私案而判处的最高额的民事罚款。
有专家表示,美国在数据隐私方面的立法与执法比较严格,很多在美国投放、使用的软件和APP须更加注意合规处理。美国宪法有专门的修正案保护个人隐私,联邦与各州都有保护个人隐私的专门法律。未经他人同意,任何人不得擅自采集他人的隐私,包括生日、照片、喜好等。
欧美数据监管趋严
美国的执法力度一直以严格著称,但相比于美国,欧洲更是数据监管方面的开拓者和践行者。2018年5月25日,欧盟《通用数据保护条例》(GDPR)正式生效。这部被称为“史上最严个人保护条例”的出台轰动全球,让无数相关从业者绷紧了神经。
GDPR的违规处罚力度也是前所未有的,每一单违规行为将受到高达2000万欧元(约1亿5000万元人民币)或者上一年全球年营业额的4%的严重处罚,以两者中较高者为准。
GDPR出台后的第一笔罚单就落到了英国一家家喻户晓的手机零售商——Carphone Warehouse的头上。Carphone Warehouse涉嫌泄露950万的顾客银行卡的信息,以及120万客户的个人信息。而这次事件由于发生在GDPR生效之前,所以无法确定是否会根据新条例裁定。如按照以往的条例,罚款最多50万英镑,但若根据GDPR,罚款或高达4.2亿英镑。
如何应对、避免罚款
如果没有做好数据安全和客户的隐私保护,发生数据泄露,巨额罚款和品牌声誉受损的打击是致命的。
等到立法成熟,再着手做合规、考虑解决方案,无疑是亡羊补牢。世平的数据安全治理方案与敏感信息风险监控系统(SRD)是未来《个人信息保护法》与《数据安全法》的合规重器。
数据安全治理方案
传统网络安全为信息系统多方设防,相对于系统内的数据则属于静态保护,因为防御措施不随被保护的数据本身变化流动,对系统内部人员泄露数据难以防范,所以是防外不防内。
大数据环境中,对内部窃取、滥用、疏忽等数据泄露风险有效的数据安全防护,关键在于明确哪些数据需要防护,各需要什么等级的防护,在此基础上设置相应的靶向防护策略与落地措施,即针对需要防护的各类各级敏感数据在其采集、存储、使用、分享、流转、销毁全生命周期中进行相应的识别与追踪防护。
世平数据安全治理方案便是通过数据分类分级明确找出需要保护的敏感数据,然后通过一系列技术措施盯住这些敏感数据,无论敏感数据在全网什么地方、往哪里流动、变化、衍生,都能进行精准的定位、追踪、告警、阻断、溯源等,执行分类分级的监控防护。
所以,数据安全治理后的落地技术措施是靶向盯住敏感数据并随之流转变化的动态监控,不分内外,而是全网追踪、内外兼防。
敏感信息风险监控系统(SRD)
SIMP-SRD充分理解《中华人民共和国网络安全法》、《个人信息保护法》(草案)等法律规范,目前包含个人信息知识库、涉密信息知识库、违禁传播信息知识库等各类型及重点行业的敏感信息库,可分别对被查单位或用户信息系统中存在于各环节的个人信息、涉密信息、违禁传播信息等进行合规风险定位与审查。
SIMP-SRD系统能够帮助各监管、检察机构和各行业领域的政府、企业、事业单位实施敏感信息分类管控,同时建立高适用的个人信息合规风险评估指标体系。
敏感信息风险监控示意图
标签:日趋,巨额,个人信息,保护法,罚款,数据安全,敏感数据,安全法,数据 来源: https://blog.csdn.net/shipinginfo/article/details/88742617