ISO27001认证
热线:
Q Q:通过ISO29151的经验、心得
发布时间:2020-12-21 作者:广汇联合 来源:广汇联合
通过ISO29151的体系认证准备,总结下来有以下两点心得体会:
(一)明确组织PII角色,选用合适的控制措施
审核老师在初审时首先就会询问我们,贵公司是PII信息的控制者还是处理者?
对于这个问题的判断直接影响着适用性声明中相关控制措施的选择和描述。事实上,收集个人信息的并不一定就是PII控制者。PII控制者是决定PII处理目的和方法的利益相关方。PII处理者则是代表PII控制者,按照控制者的指示(一般有合同约定)对PII信息进行处理。PII处理者还可能将PII信息再次分包给其他处理者。
举个“例子”
在29151附录A中,A7.3和A7.5两个控制目标就与PII的处理者和分包处理者有关。
A7.3披露通知:确保PII处理者向PII控制者通报任何披露PII的具有法律约束力的请求。
这条控制目标的意思是:PII的控制者如果将个人信息提供给处理者进行处理,处理者如果还会将PII信息对外披露,则需要书面告知给控制者。
A.7.5披露分包的PII处置“确保PII处理者向PII控制者披露任何分包商的使用情况”
这条控制目标的意思是:PII处理者如果使用分包商处理PII信息,则应书面告知给PII控制者。
上面这2个条款在实操上采取什么控制措施呢?
对于我司而言,一方面在管理体系文件中增加说明:对于收集到的PII信息如提供给合作伙伴协助处理的,应在合同中明确说明处理PII信息的类别和信息保护要求,合同应有保密条款。如合作伙伴需将PII信息提供给分包商处理或对外披露,也应在合同或其他书面协议中说明相关情况。另一方面也在公司和短信供应商、基金公司等相关合作伙伴的合同中通过保密条款约定除法律规定和国家监管要求以外,不得将PII信息对外披露;对于管理人使用分包商进行基金销售客户PII信息处理的场景,也在基金销售合同中披露PII信息分包处理者券商的情况,以此满足ISO29151条款的要求。
(二)隐私政策文案需及时更新,配套技术措施也要跟上
审核老师在进行现场审核时重点关注的内容就是隐私政策文本和相关的隐私保护技术手段。按照审核老师的说法,隐私保护虽然标准条文很简单,但是实践过程中却是处处是坑。而且隐私保护的合规要求变化很快,两年前的规定可能两年后就会完全改变,企业需要在监管要求出台后快速适应进行业务流程和系统改造才能确保满足合规要求。我司今年就更新过3个版本的隐私政策,以下列举一些常见的问题点和规避策略。
问题点1:客户端APP是否区分基本功能和附加功能?
应对策略:客户端APP如果区分基本功能和附加功能,且附加功能会额外收集个人信息的话,应该在隐私政策中独立说明附加功能收集个人信息目的和业务场景,并让用户对这部分个人信息的收集处理单独进行确认。
问题点2:客户如何行使拒绝、撤回同意、账号注销的权利?
应对策略:客户拒绝隐私政策收集个人信息,企业在条件允许情况下需要提供APP的免登录浏览功能;客户如果想撤回同意或者注销APP注册账号,企业也需要给客户提供便捷的操作方式(APP自助操作或者客服电话等),一旦客户撤回同意或账号注销后就不能继续收集客户隐私信息。
问题点3:PII使用期限到期后是否做了数据删除或去标识化处理?
应对策略:首先要根据企业所在行业的监管法律要求明确数据保存期限(比如对我司所在的金融行业相关法律要求建立“客户身份识别制度”,遵循“投资者适当性要求”,反洗钱等法律规定也要求个人信息和业务信息保留更长时间等,这些都是金融科技行业个人信息保护的特殊规定),其次在PII数据使用到期后,停止继续收集数据,并评估采用合理的数据删除(包括备份数据)或去标识化技术方案(如脱敏、加密),这些都应该在隐私政策中有明确说明。
问题点4:PII信息是否跨境传输存储?
应对策略:需要事先进行PIA隐私影响分析,了解公司收集的PII信息是否有跨境传输和存储的场景,并需要了解各国在PII数据跨境存储传输的合规要求(可以由安全部门与合规部门共同确认),例如欧盟国家采用GDPR对数据跨境存储有严格限制,新加坡PDPA要求个人信息如果跨境存储需要签署IT外包协议明确境外数据处理存储的安全保护职责。然后在隐私政策中描述有没有跨境传输存储个人数据,如果有的话目前采取了哪些安全防护措施。
问题点5:个人信息的共享是否在隐私政策里有详细说明?
应对策略:个人信息的共享,包括企业内部共享(集团和下属子公司、 公司内部各应用系统)和外部共享两种情况。对于这两种情况,都需要细化描述具体的个人信息共享业务场景、共享数据字段,且用显著的方式(高亮加粗等)提醒用户阅读,才能满足用户的知情权。更好的做法是,在将客户个人信息提供给第三方前,通过弹窗或其他技术手段再次通知客户并获取明确同意,同意选项应默认不勾选。
问题点6:隐私政策用户操作是否数据库中记录操作日志?
应对策略:对于客户在系统上进行隐私政策同意的操作,系统应在数据库中至少记录这些操作日志字段信息:用户账号或身份识别号、客户操作结果(同意/拒绝)、操作日期和时间、隐私政策版本号。每一次隐私政策内容更新时都要推送给用户重新点击确认,操作日志按照《网络安全法》的要求至少需要保存6个月。
建立公司的个人隐私保护体系是个浩大繁琐的工程,需要满足合规要求,建立企业的隐私保护组织架构、不断调整隐私政策,并通过内控制度建设和安全技术创新才能有效防范风险。前路漫漫,但隐私保护应该成为企业义不容辞的责任和生产力,唯有持续改进方能赢得市场和客户的信任。
如您想更详细的了解ISO29151标准,需要ISO29151标准,请您网络搜索广汇联合,快人一步,成就管理者风范。
