Article Learn

2019小米IoT安全峰会-Sherry Ding《Simplifying Privacy Comp

Post by Pa0er at 2020-01-02 14:14:08

接下来是数据安全与合规分论坛的议题复盘,第一个重磅议题来自-TrustArc的高级全球隐私经理Sherry Ding,她给大家带来的议题是《Simplifying Privacy Compliance with Technology》,她将为我们展示如何用科技辅助隐私合规。

为什么TRUSTe隐私认证机构更名到TrustArc

数字经济发展越来越快,各种数据的使用越来越复杂,全球范围内各种法律法规的出台以及更新速度频频加快。作为一个有20多年经验的隐私合规认证和评级机构,在与不同的公司进行合规认证的时候发现公司慢慢都在面临一个共同的难题,在我们如何管理一个隐私合规项目的时候这种技术层面的一个难题。我们在2018-2019年度进行了隐私合规方面的法律法规的整理,发现全球范围内新推出了50以上的法律法规,并且在全球范围内有150个以上的更新,或者是补充意见的提出。

所以,在这样一个高速发展的情况下,公司如何面对这样的形势,传统意义上的一些office三件套已经很难满足需求。所以,这也是为什么从2010年开始TRUSTe更名为TrustArc,TRUSTe当然还是作为一个评级的分支,我们其实主要倾向于通过开发一些隐私管理工具帮助企业简化隐私和数据安全合规的一些管理。

Privacy  Tech市场组成要件:

1.Privacy  program  Management

这个的使用人员其实更倾向于公司内部的隐私和数据安全保护办公室或者委员会这样一些人员,他们在每天的运行当中需要一些科技或者平台工具方面的辅助来更好的完成隐私与数据合规。

工具(1)、Asseccment  Managers:

评估管理的工具,可以做我们所说的供应商,通过评估管理的一些平台,公司内的隐私专员或者委员会的成员可以大批量的去产生一些评估问卷发送给不同的人进行填写,进行后续的反馈和弥补。

工具(2)、Consent  Managers:

我们需要收集民事同意,向终端用户提供撤销同意的这样一些个人权利自由方面的。但是,如何去更有效的管理这些Consent,并且允许用户从技术的手段,让他们可以通过后台或者是通过系统方面的一些支持来完成同意撤回呢?这个就是Consent  Managers,有很多公司,比如小米自建了一些平台,但是更多的中小企业并没有内部的资源或者资金完成这样的基础平台搭建,因此这样的管理工具是非常有效的。

工具(3)、Data  Mapping:

数据流程图的创建和管理,当一个公司有上百个业务处理流程的时候,或者上千个业务处理流程的时候,如何界定我要用到哪些个人信息和个人数据,这些个人数据进行怎样的加密或者技术手段的处理,并且谁是这个负责人,由谁来进一步进行评估,对这个数据流程图进行更新和评估,如果没有这样一个Data  Mapping科技技术手段平台,用Excel手段管理几百上千条的数据流程图其实也是很困难的。

工具(4)、Privacy  Info  Managers:

但是这个并不是一年做一次分析就可以了,是每天不断的在更新的。所以,有的时候一些隐私专员,或者隐私数据安全专员他们就需要这样一个科技的平台,这个平台是由很多后台人员在进行及时的更新,分析全球的法律法规的更新状况,并整理成一个可知性的意见后发布到这个平台上供大家参考。

工具(5)Website  Scanning。Website  Scanning:

这个比较传统一些,其实就是对网页的一些简单的检索,看是不是有不合规的一些三方插件,或者不合规的一些第三方的cookie在上面。

工具(6)Incident  Response。Incident  Response:

这是一套预警机制,如果在全球范围内经营的公司想进行一些预警,每一个地区对应急预警机制的要求是不太一样的。有的地方可能要求你48小时内就要通知州长,有的地方可能还需要72小时内通知你的DPA。如何去管理这样一个应急预警,有时候也需要业主一些技术手段。所以,这个也是隐私小组和隐私专员经常会用到的工具。

工具(7)DSAR:

最后,大家听的更广泛一些,都是在进行GDPR和合规的时候最看中的一点,因为这个是直接面对消费者的,就是DSAR,对于个人权利的一些管理,不同国家,不同地区对个人权利的支持是不一样的,比如GDPR要求有数据转移权,但是并不是在世界其他地方都要实现,所以如何进行管理一些技术手段也是非常有用的。

2.Enterprise  Privacy  Management

包括Activity  Monitoring,还有去标识化,企业的一些交流和通讯的手段。

TrustArc对全球范围的公司进行了简单的学习,然后采访了很多的公司,通过让他们填写问卷的方式,来了解在2018-2019年度中公司都需要哪些技术手段,最广泛使用的是哪些技术手段,最期望得到的是哪些技术手段?这个就是我们学习的简单基础信息,目标其实就是要从比较广的意义上了解一下各个公司,各个企业对于技术,隐私与数据保护技术手段的一些使用和采用,尤其要了解大家从budgetary,或者从资源方面是不是有使用某些技术的一些想法。

Methodology是通过问卷的方式,向全球公司,向全球范围内隐私相关的从业人员发放了问卷,然后他们进行填写,收集之后最终一共有345份问卷可以进行归纳汇总。

调差问卷中主要的发现:

发现一:对于隐私和数据保护相关技术最大的一个驱动力,其实是各个企业需要向外界,去展示我们已经做到了合规。不管是供应商、客户还是监管机构,哪怕是同行业的一些同行,这个是主要的一个原因,为什么公司来采用这些科技,或者是工具的手段来进行隐私和数据安全的合规。

发现二:在我们的这些采访过程中,有这四个方面的工具是公司普遍说要在未来一年中进行使用和采用的,主要包括数据流程图的管理、数据挖掘,隐私计划管理和DSAR

发现三:可能很多采购部门说我需要这样一个工具,这些工具非常好,但是最终是不是要使用,具体来去使用某一个工具的决定权呢?其实还是比较难界定的。但是通常来说,因为不同地区和国家的法律法规,对于隐私从业相关人员的更高一级的要求,以及广泛出现的不同的科技手段,或者技术工具的提供者,可供大家选择。所以,造成了我们2019年我们可以看到的一个非常显著的增长。就是说,有更多的公司和企业在这方面的支出或者预算远远大于2018年的预期。

2014年在IAPP和TrustArc第一次做调查的时候,全球范围内可能只有50个公司来提供隐私和数据安全的合规管理工具的这样一个服务。但是,截止到2019年的时候,上一次问卷调查结果出来的时候已经有200家这样的企业了,所以增长速度是非常显著的。

 发现四:我们知道大家的决定是由那些因素或者机制造成的。最大的壁垒其实还是预算的缺乏,以及管理层面对隐私和数据安全保护的认识不足。

问卷构成:

Sector,64%的人员是公司内部的法务,大概有16%的受访者是咨询公司,大概有10%的问卷填写者是律所的律师们,大概有9%是政府和相关机构部门,或者是公共部门的内部法务。

Region,我们大概收到45%其实都是美国境内的一些反馈,但同时有28%,将近40%是处于欧盟地区,可以看到在亚太地区只有5%的参与者,所以鼓励在座的各位,如果明年再收到这样一份问卷积极广泛的参与,这样我们得到的数据和可以反馈给大家的报告会更加全面。

Compay Size,什么样的企业会对这样的一些技术手段或者工具有需求呢?最主要33%的来源是有250个员工以下的初创公司,我们不停的说从一开始要进行数据和隐私方面的保护,最佳阶段是什么时候?当然是公司规模比较小的时候,这个时候往往受于一些资金或者预算方面的限制,有的公司很难进行自主的研发一些原生的系统,去支持这样的规模化的、可扩展性,或者可延续性的这样一些工具的开发。所以,在我们受访者中,大概有将近33%,将近1/3的受访人都是来自于这些初创公司。

我们可以看到很好的一点,在大环境的趋势下,大家对数据安全和隐私的重视程度提高了。我原来经常会说,你们要做隐私方面的东西,要做数据安全方面的合规,很多人给我的意见都是太贵了,没有时间做这个。但是,基于整体大环境的改变,其实我们很开心能够看到这样一个变化。

调查结果中可以看出,将近一半以上的受访者都是来自于我们的管理层,就是高层管理部门。在这个地方,Industries,17%是来自于互联网生态圈的一些公司。

结论:

结论一:什么是最大的驱动力呢?对于隐私和数据保护相关技术最大的一个驱动力,其实是各个企业需要向外界去展示已经做到了合规。不光是向我们的用户,我们的消费者,也要向监管机构展示我们公司已经做好了内部的合规。

结论二:因为各种工具或者平台的使用周期是有一定的时间线的,比如我今天想要使用某一个平台技术,明天就可以完全达到这个样子。所以,很多人说他正在测试是不是有一些工具可以供我使用,这个其实就是刚才说的评估机构和数据流程图。要知道你的数据从哪儿来,到哪儿去,并且要有最简单的工具去对你的数据使用进行一些评估和评估之后的反馈以及管理。

结论三:这张图高居不下的地方是指所有人最倾向于去使用,或者去购买的,其实是数据流程图。其实很多时候在做合规或者做认证的时候,第一个问题我们问的都是你有没有做Data  Mapping,如果没有做Data  Mapping,何谈我要符合某些原则,某些法规的特别要求。所以,这个结论其实是非常重要的。

结论四:说到公司没有需要购买的、不需要使用的这些技术手段部分,其实就是去标识化,欧美地区有一个比较完善的标识码的统一体系,比如根据个人信息兴趣的广告定制,也有这样一些IAB,或者是EDA,各个地区的一些机构,来推动行业么的自律,这已经是存在比较久的一个事情。

结论五:这张图,其实跟我们看到的结论是一样的,数据流的管理,然后合规管理工具,对数据的挖掘等都是属于高居不下,并且实际上还是在增长的一个类别。

结论六:这张图圈出来的蓝色区域表示我们在做问卷调查过程当中,问到在各个公司范围内是由哪些部门,或者个人做出了要使用某项技术的最终意见。最后得到的结论是隐私和数据安全办公室等,他们决定最终使用哪些工具,这些部门也是对这些工具在日常中使用频率最高的部门。像隐私工具最高频率的使用者其实就是我们的隐私办公室,或者是隐私委员会,或者是小组。预算方面,在受访者的公司范围内也是相同的部门,会把他们部门可以支配的预算尽量多的用于进行隐私和数据安全合规的工具方面的一些使用。

接着我们直接来到第十二个结论,通过这张图,我们可以看到现在隐私和数据安全相关的工具方面,是不是已经趋于成熟?完全成熟说不上,但是相比于前两年,或者2018和2017年的反馈报告有一个显著的增长。

总结

对于企业级别的通讯,比较基本的一些工具很多公司已经采用了,下一个比较大的增长点其实是数据流程图的绘制等。我们在拿回来这个问卷反馈的报告之后试想我们的未来是什么样的?一个隐私和数据安全办公室他们的日常工作中是如何使用这些技术工具去帮助他们完成每一天的工作?

我们可以试想这样一个局面:如果我是一个公司的隐私律师,我来到公司,一打开电脑会看到一个面板,这个面板告诉我今天有哪儿任务要完成,这些任务可能包含我要对公司一些新的数据流程图进行整理,我要知道各个国家和各个地区我的企业要受到哪些法律法规的严格的要求,我要对特定的法律法规进行合规和整理的,还要通过不同的风险等级去评估需要完成的这些任务有哪些。如果有这样一个技术平台能够帮助隐私和数据安全办公室达到这些要求,我觉得可能未来,当我们面临不断激增的隐私和数据安全法律法规出台,都可以做到游刃有余,做到有充足准备的一个状态。

—   联系我们   —

新浪微博

公众号