孟洁
01 个人信息保护合规要点
02 关键信息基础设施建设合规要点
03 数据出境合规要点
04 数据危机处理的预防与应对
05 数据合规与数据资产变现
数据保护的目标与保护层次
企业数据合规体系架构建设
第一部分
个人信息保护合规要点
01 国内法律标准要求
网安法的信息安全理念
国家标准涉及的主要内容
国家标准涉及的基本原则梳理
01 | 权责一致原则 |
02 | 目的明确原则 |
03 | 选择同意原则 |
04 | 最少够用原则 |
05 | 公开透明原则 |
06 | 确保安全原则 |
07 | 主体参与原则 |
以用户同意为基础的保护框架
企业不合规的痛点
违规代价 |
| 直接的业务损失 |
内部企业文化损失 | 名誉损失 |
个人信息保护合规设计的整体思路
国内数据合规工作的基本路径总结
参考文章:在《个人信息安全规范》指引下--初探AI企业数据合规的Good Practice |
|
02 欧盟、美国法律要求
欧盟GDPR立法背景
美国加州CCPA立法背景
|
|
GDPR适用范围
CCPA适用范围
| Principally, all California residents are protected under the California Consumer Privacy Act with respect to any information that relates to them. 加州民法典§1798.140(g)将“消费者”定义为加利福尼亚州居民的任何“自然人” 。 |
GDPR的合法性基础
更加清晰的个人同意规定
“Positive action” of the data subject required
GDPR的合法性基础
除同意以外的正当事由
CCPA个人信息流转全生命周期基础
CCPA个人信息流转全生命周期基础
知情权 | 反对权 | 被遗忘权 | 访问权 | 个人数据可携权 |
|
|
|
|
|
CCPA个人数据主体的权利
CCPA用户权利实现的基石 | ||||||||
加利福尼亚选民修改了《加利福尼来州宪法》,将隐私权纳入所有人“不可剥夺”的权利之中。修正案确立了合法和可执行的隐私权。这种隐私权的基础是个人控制其信息的使用(包括销售)的能力。 | ||||||||
加利福尼亚州法律(《CCPA》、《在线隐私保护法》、《数据世界法》、《光明之光》)向加利福尼亚州人提供企业如何(何时、何地、因何事、向何人)处理消费者个人信息。 | ||||||||
加利福尼亚人有权知晓其正在被收集的个人信息。 |
| 加利福尼亚人有权访问其个人信息。 | ||||||
CCPA与GDPR的罚金规定对比
CCPA 规定:
(1)任何消费者由于企业违反义务而未实施和维护合理安全程序以及采取与信息性质相符的做法来保护个人信息,从而遭受了未经授权的访问和泄露、盗窃或披露,则消费者可提起民事诉讼:
(A)为每个消费者每次事件赔偿不少于一百美元(100美元)且不超过七百五十美元(750美元)的损害赔偿金或实际损害赔偿金,以数额较大者为准。(B)禁止令或宣告性法律救济。(C)法院认为适当的任何其他救济。
(2)在评估法定损害赔偿金额时,法院应考虑多种相关情况,包括但不限于不当行为的性质和严重性,违法行为数量,不当行为的持续性,发生不当行为的时间长短,被告不当行为的故意以及被告的资产、负债和净值。
(3)州检察长的核心监管+ 隐私权作为加州宪法的重要内容=公力监管
GDPR Art 83 :
GDPR与CCPA的合规工作能否合并
Q: 企业遵守了CCPA,是否也同时满足了对加州居民落实GDPR的合规要求? A:可能“并没有”。全球公司可以而且应该尝试 同时并全面地 满足CCPA、GDPR和其他隐私法律要求。 | |
与GDPR相比,CCPA有自己的一些特点:
|
|
第二部分
关键信息基础设施(CII)建设合规要点
什么是CII?
《网络安全法》第31条:全国人大 | ||||||||
指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。 | ||||||||
《关键信息基础设施安全保护条例(征求意见稿)》第18条:网信办 | ||||||||
电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位; 国防科工、大型装备、化工、食品药品等行业领域科研生产单位; |
| 政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位; 广播电台、电视台、通讯社等新闻单位和其他重点单位 | ||||||
CII的风险控制的防护体系
CII安全保护工作基本思路
目标: | 原则: | 手段:(可控性) |
| 在网络安全等级保护制度的基础上,实行重点保护 | 对关键信息基础设施、信息和活动实施安全监控管理,控制授权范围内的行为方式,保证系统稳定运行、数据安全、业务连续。 |
CII安全保护工作基本思路
A、按照网络安全等级保护制度要求,履行下列安全保护义务: |
| B、按照国家法律法规和相关国家标准,履行下列安全保护义务: | |||
01 | 制定内部安全管理制度和操作规程,严格身份认证和权限管理; | 05 | 设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查; | ||
02 | 采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为; | 06 | 定期对从业人员进行网络安全教育、技术培训和技能考核; | ||
03 | 采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月; |
| 07 | 对重要系统和数据库进行容灾备份,及时对系统漏洞等安全风险采取补救措施; | |
04 | 采取数据分类、重要数据备份和加密认证等措施。 | 08 | 制定网络安全事件应急预案并定期进行演练。 | ||
运营者主要负责人是本单位关键信息基础设施安全保护工作第一责任人! |
CII安全保护工作基本思路
第三部分
数据出境合规要点
数据出境定义
根据《数据出境安全评估指南(草案)》,数据出境(Data Cross-border Transfer)是指网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外机构、组织或个人的一次性活动或连续性活动。
数据出境定义
企业需要注意,以下三种情况,同样属于数据出境:
1) 向本国境内,但不属于本国司法管辖或为在境内注册的主体提供个人信息和重要数据;
2) 数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息,网页访问除外);
3)网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。
数据出境相关法律条文
《网络安全法》第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
《个人信息和重要数据出境安全评估办法(征求意见稿)》(简称《评估办法》):
第二条 网络运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。
第四条 个人信息出境,应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在国家或地区,并经其同意。
未成年人个人信息出境须经其监护人同意。
第十一条 存在以下情况之一的,数据不得出境:
(一)个人信息出境未经个人信息主体同意,或可能侵害个人利益;
(二)数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;
(三)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
第十二条 网络运营者应根据业务发展和网络运营情况,每年对数据出境至少进行一次安全评估,及时将评估情况报行业主管或监管部门。(对于关键信息基础设施运营者数据出境的,国家网信部门、行业主管部门可启动主管部门评估)
当数据接收方出现变更,数据出境目的、范围、数量、类型等发生较大变化,数据接收方或出境数据发生重大安全事件时,应及时重新进行安全评估。
评估的内容
(一)数据出境的必要性; (二)涉及个人信息情况,包括个人信息的数 量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等; (三)涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等; (四)数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等; (五)数据出境及再转移后被泄露、毁损、篡改、滥用等风险; (六)数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险; |
|
评估的主体
1. 一般情况下由数据控制者自行评估
2. 出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:
(一)含有或累计含有50万人以上的个人信息;
(二)数据量超过1000GB;
(三)包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;
(四)包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;
(五)关键信息基础设施运营者向境外提供个人信息和重要数据;
(六)其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。行业主管或监管部门不明确的,由国家网信部门组织评估。
第四部分
数据危机处理的预防和应对
数据危机处理的预防与应对
时刻待命,跨部门、跨区域的数据危机处理能力,将损害结果控制在最低!
第五部分
数据合规与数据资产变现
数据合规与数据资产变现
问题:业务数据和基础数据种类繁多,各地数据质量参差不齐。大数据意识淡薄,使得数据相互独立,形成数据孤岛,数据融合困难,难以最大限度的发挥数据价值。
1. 数据分散、规模大、种类繁多、质量差
2. 缺乏规范管理,各方利益割据,数据变现困难
数据合规与数据资产变现
数据资产(Data Asset)是企业拥有或控制的,能为企业带来未来经济利益的,以物理或电子的方式记录的数据资源,如文件资料、电子数据等。
数据资产管理(DAM,Data Asset Management)是指规划、控制和提供数据及信息资产的一组业务职能,包括开发、执行和监督有关数据的计划、政策、方案、项目、流程、方法和程序,从而控制、保护、交付和提高数据资产的价值。数据资产管理是需要充分融合业务、技术和管理,来确保数据资产保值增值。
数据合规与数据资产变现
数据安全+ 数据增值= 数据为企业赋能
威科先行®·法律信息库是威科集团依托多年全球信息服务经验、卓越的技术实力及资深的本土专家团队,精心打造的双语法律信息整体解决方案。该数据库以智能检索为贯穿,集法规、案例、实务指南、法律速递、专业文章,实用模板、在线问答等功能于一体,为中国法律专业人士精准决策、高效工作提供坚实支持。
法律信息库特点:
• 专业的信息系统架构
• 基础信息资源 Primary Resources(法律法规,判决案例)的多样性、准确性、及时性
• 基础信息资源 Primary Resources(法律法规,判决案例)分类的的合理性、多样性
• 丰富的文章以及加工信息资源 Secondary Resources,覆盖新闻、实务解读、实用工具、咨询 问答等
• 高质量的法规翻译
• 先进的全文检索技术
• 提供智能信息链接,大幅提高信息查询效率
• 便捷的文档管理功能
• 完善的客户服务
• 提供完整的用户使用报告
• 支持 HTML5,移动设备轻松浏览
环球律师事务所(“我们”)创建于1984年,是中国改革开放后成立的第一家律师事务所。经过三十多年的不懈努力和发展,我们业已成为中国律师业中最优秀的大型综合性律师事务所之一。
自成立伊始,我们即确立了“以国际化的视野、国际化的团队、国际化的质量服务于国内外客户”的宗旨,这使我们虽置身于多变的全球经济形势之中,却始终能够保持不变的业界领先地位。
我们的律师均毕业于中国一流的法学院,其中绝大多数律师拥有法学硕士以上的学历,多数律师还曾学习或工作于北美、欧洲、澳洲和亚洲等地一流的法学院和国际性律师事务所,部分合伙人还拥有美国、英国、瑞士等地的律师执业资格。
我们的客户遍及世界多个国家,业务领域涵盖银行、保险、证券、投资、石油、能源、化工、钢铁、航空、铁路、海运、商业、电信、文化传媒、高科技、房地产、基础设施、公用设施、医药健康等众多的细分行业和领域。
三十多年来,我们凭借精湛的法律知识、丰富的执业经验、高度的敬业精神以及良好的职业道德,向国内外客户展示和证明了我们的价值,同时也赢得了国内外客户的信赖。在未来的日子里,我们将继续凭借我们独到的优势帮助国内外客户在中国取得更为持久和长远的成功。
来源:威科先行
| 欢迎光临 168大数据 (http://bi168.cn/) | Powered by Discuz! X3.2 |
