本文作者:Wendy@小米安全
文 | 张晓芳
笔者主要负责小米隐私合规风险评估,隐私相关认证,IoT产品安全风险合规评估等工作,9年+安全/隐私从业经验,6年+外企安全运维经验,熟悉访问控制、风险评估、合规等安全领域,CISSP,CIPP/E证书持有者
1. 引言
2018年欧盟个人信息保护法案GDPR正式生效,也被称为个人数据保护的元年。自2018年开始,个人信息保护的话题一直热度不减,各国在数据安全和个人信息保护立法上的积极性也是空前绝后,GDPR之后,加州、印度、澳大利亚、泰国、巴西、埃及等地纷纷颁布了新的隐私法案或草案。全球范围内新推出了50个以上的隐私法规,并且有150个以上的国家或地区对现有隐私法规进行了更新或提出了补充意见。
在国内外对个人信息保护高度关注的情况下,对于一家企业,特别是跨国企业来说,同时满足不同国家不同的法律要求变得异常艰难,那如何让企业的隐私合规工作化繁为简?又如何快速知道从哪些方面着手隐私合规建设呢?为解决这些问题,企业可以参照最佳实践或隐私合规框架,来辅助企业快速着手合规建设工作。通过权威组织的认证应该是企业快速引入隐私合规框架的方式之一,本文将为大家介绍TrustArc 企业隐私与数据治理合规认证。
2. Who | 谁是TrustArc
大家可能会在某些公司的隐私政策上看到下面这个‘TRUSTe隐私认证’的图章:
这个图章的存在,代表这个企业的产品的隐私政策和隐私实践符合TRUSTe企业隐私与数据治理实践评估标准。但国内对TrustArc这家公司是比较陌生的,网上相关的资料也相对较少,那它是一家什么样的公司呢?
TrustArc,原名Truste, 是一家位于美国加州的隐私合规科技公司,主要为企业提供隐私合规相关的软件或服务,帮助企业建立和完善隐私合规的相应隐私管理流程,使其快速的符合不同的法律法规的要求。
除了企业隐私和数据治理实践认证外,TrustArc会提供不同法律法规(如GDPR、CCPA)的合规评估,包括配套的实施工具,如同意管理、用户权利、数据流梳理工具等等。此外,它也进行诸如privacy shield 的合规评估咨询工作,可以说TrustArc在隐私合规上提供了覆盖面较广的多框架、多法律法规的评估和咨询工作。
图1-TrustArc提供的GDPR实施工具
3. Why | 为什么要获得TrustArc的认证
TrustArc经过多年的隐私合规从业经验的积累,已经形成了一整套,较成熟的隐私合规评估方法论,同时其国际影响力和知名度,让更多的企业开始着手于取得这个认证。
3.1. 成熟的隐私和数据合规管理方法论
TrustArc企业隐私和数据治理合规评估框架参照了相关组织的个人信息保护框架的内容, 比如OECD、APAC、GAPP、ISO、NIST等组织发布的隐私框架, 所以在正式介绍TrustArc隐私企业隐私和数据治理合规框架之前,对几大组织提出的隐私框架,从发布时间、隐私原则等内容进行基本的介绍。
图2-各框架发布时间线
OECD Privacy framework:
经济合作与发展组织(OECD)是“致力于民主和市场经济的国家”的论坛,OECD隐私原则是1980年正式启用的《经合组织保护隐私和个人数据越境流动准则》的一部分,OECD隐私权原则与欧盟(EU)成员国的数据保护法规紧密相关,该法规实施了欧盟委员会数据保护指令(指令95/46 / EC)以及其他“欧盟风格国家隐私立法‘’,从GDPR中,也一样有OECD 框架的影子。
APEC Privacy Framework:
亚太经济合作组织(APEC)隐私框架有与其他框架重叠的部分,但是,它更侧重于因披露信息而造成的实际或潜在损害,而不是个人对其信息的权利。 OECD隐私原则在欧盟和其他政府的法律制度中得到支持,但APEC隐私框架不受法律支持。亚太经合组织隐私框架的主要支持者是一些跨国公司。
APEC隐私框架是一系列原则和实施要求,旨在促进有效的个人信息保护,避免在全球至关重要数据交换中的信息流壁垒,并确保持续的贸易和经济增长。亚太经济合作组织区域共有27个国家。
Generally Accepted Privacy Principles(GAPP)
公认的隐私原则(GAPP)是在2003年由美国注册会计师协会(AICPA)和加拿大特许会计师协会(CICA)制定,并于2006年和2009年进行了更新,与OECD隐私原则相似,此原则更侧重于实施。
企业可以通过使用GAPP设计,实施和沟通隐私政策、建立和管理隐私计划、监控和审核隐私程序、衡量绩效和标准。GAPP共包含10条原则,每条原则均以客观和可衡量的标准作为后盾,以确定组织内的隐私风险和合规性,GAPP在加拿大隐私从业者中很受欢迎。
ISO29100:ISO隐私框架
ISO29100发布的隐私框架,其中定义了与企业隐私管理相关的角色,影响隐私合规管理的因素、PII定义、隐私基本原则等内容,适用于企业在涉及到采购、设计、开发产品或服务。在收集和处理个人信息所面临的隐私风险和可以采取的风险控制措施。
ISO27701:个人信息管理体系认证
ISO27701认证通过对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制扩展隐私相关的管理要求,为企业提供了可帮助其实施、维护和不断改进个人信息管理体系的认证框架。此认证可以协助企业证明遵守了世界各地的隐私法规,例如GDPR。框架中除了第6章在信息安全体系标准基础上增加了对个人信息的安全附加要求外,也分别在第7、8章对数据控制者、数据处理者提出了额外的指导内容,知道内容中延续了ISO29100中的隐私原则逐一展开。
NIST Privacy Framework:
NIST(美国国家标准与技术研究院)提出了基于企业风险评估导向的隐私评估框架,帮助组织识别和管理隐私风险,以开发创新产品和服务的同时保护好个人隐私。此框架是NIST Cyber Security framework的扩充,是帮助企业通过风险管理提高个人信息保护能力的工具。
图3:各组织发布的隐私框架原则矩阵
3.2. TrustArc隐私和数据治理框架内容介绍
TrustArc经过10000+项目的经验积累,以及行业专家的知识沉淀,已经形成了成熟度较高的隐私和数据合规评估方法论,建立了行之有效的评估标准以及评估框架,并根据法律法规的发布和修订,以及企业所提供服务的不同性质,及时便捷的调整框架和评估标准,便于让企业迅速知道在一部法规的颁布后需要从哪里入手,开始哪些工作才能确保其合规。
本文介绍的TrustArc隐私和数据治理框架借鉴了各大组织框架提出的隐私原则外,也融合了全球不同的法律法规,如GDPR、CCPA、HIPPA等;针对隐私数据安全性相关的合规要求,借鉴了如ISO27001等信息安全管理体系的评估要点;将以上内容融合成TrustArc隐私和数据治理合规评估方法论,通过TrustArc认证让企业的产品和服务可以证明其负责任的数据收集,处理和隐私管理实践。
TrustArc框架总体分为 构建-Build、实施-Implement和证明- Demonstrate三个阶段,每个阶段均有其对应的评估标准。
1. 构建(Build)阶段:
构建阶段中的评估标准主要是为了与法律法规以及有效的实践和合规计划保持一致,建立,维护并不断发展和完善与其他信息治理,合规性和风险管理相符的隐私管理程序。
2. 实施(Implement):
实施阶段的评估点主要是围绕着隐私原则展开,着重评估企业如何设计和制定有效的隐私和数据治理的控制措施,并应用到组织流程中、产品和技术的设计和开发过程中,以及在产品,流程或技术的整个生命周期中维护或加强这些控制措施的实施。如企业建立了隐私影响评估(DPIA)流程来识别可能对个人产生高风险的数据处理行为,并可以处置已识别的风险。
3. 证明(Demonstrate):
证明阶段主要用于提供隐私合规计划和实践合规性,成熟度,责任感和价值的证据。
4. How | 怎样通过这个认证?
TrustArc隐私和数据治理认证过程主要分为三个阶段:评估阶段、整改和认证阶段、持续监控和指导阶段,以下将以企业视角描述各个阶段中,企业在准备认证所需要完成的主要工作内容。
4.1. 评估阶段
隐私评估阶段主要是为了识别企业隐私合规风险以及在如何处置合规风险的相关信息的收集。这个阶段TrustArc会帮助企业指定一位合规评估经理指导企业完成整个过程。在这个阶段中,关键的几个项目步骤为:
1) 确认项目范围:
TrustArc认证范围主要从业务、产品/服务、数据资产(如网站、APP、云平台)等维度,企业需要根据自身需求点,来首先进行项目范围的确认。
2) 线上填写合规检查问卷:
TrustArc的线上问卷会根据项目范围中待评估的产品或服务的性质、不同情况涉及到不同的评估问题。
合规评估问卷的框架都来自于TrustArc隐私和数据治理框架,涵盖了从数据处理活动,到框架中的隐私原则、企业隐私管理计划持续化和监控、以及企业相关隐私管理责任的方方面面。问卷各个部分的填写指导以及准备的证据信息可以参照下表:
编号 | 评估域 | 评估要点 | 填写指导(仅供参考) |
---|---|---|---|
1 | 范围 | 企业的基本信息,如员工数量,控制者或处理者角色,用户对象等 | 根据实际情况逐条填写,不同的企业性质和角色会决定以下不同评估域要检查的内容 |
2 | 数据收集和处理活动(控制者) | 作为数据控制者,企业收集的个人信息的类型,来源,者所从事的数据处理活动 | 根据实际情况逐项填写 证据:数据处理记录 |
3 | 数据收集和处理活动(处理者) | 作为数据处理者,企业收集的个人信息的类型,来源,者所从事的数据处理活动 | 根据企业情况逐项填写 证据:数据处理记录 |
4 | 数据必要性 | 仅收集和保留业务所必须的数据,以及是否采取步骤来通过利用匿名化,去标识化,假名化等技术来降低与数据存储相关的风险 | 根据企业情况逐项填写 证据:数据处理记录以及数据匿名化、去标识化或假名化的技术实现细节 |
5 | 数据使用、保留和销毁 | 评估企业是否仅在法律允许的范围内以及仅出于与收集相关的目的使用数据 | 证据:数据保留和销毁处理规范或流程文档、数据在超过保留期限后被及时销毁的证据、匿名化方式说明 |
6 | 数据披露三方和跨境传输 | 评估企业在将数据传输给第三方组织的数据保护标准以及数据跨境的合规性审查 | 证据:企业数据分享三方合规实践,对三方的审查流程文件、分享的记录、与第三方签署的数据保护合同,与处理者的合同条款、数据存储地,跨境的合法性依据文档 |
7 | 选择和同意 | 评估企业是否允许个人选择是否处理其个人信息;在必要和适当的情况下获得并记录用户同意;并使个人可以退出正在进行的处理行为 | 证据:评估产品的隐私政策或敏感数据收集同意的弹窗截图、父母授权方式(如有儿童)、撤回同意实现方式说明、服务端用户同意记录截图 |
8 | 用户权利 | 评估企业是否允许个人访问有关其自身的信息,以及是否可以修改,更正和删除不正确,不完整或超期的信息 | 证据:用户权利处理的记录、用户权利处理流程文档、用户权利处理系统界面截图、不同权利实现方式描述、满足相应时效的证据、超期数据删除的实现机制 |
9 | 数据质量和完整性 | 评估组织是否确保数据保持是准确的,完整的,相关的和最新的并与预期用途是一致的 | 证据:数据质量管理流程文档 |
10 | 安全保护 | 评估企业是否保护数据免受丢失,滥用和未经授权的访问,披露,更改或破坏 | 证据:可提供ISO27001相关制度体系文档、并进行相应的说明,数据加密存储的证据截图、安全风险评估报告和风险处置记录、安全产品以及其功能描述的列表 |
11 | 透明性 | 评估企业是否通知个人有关其数据收集细节和对应目的、数据的处理方式、以及如何行使其与数据相关的权利 | 证据:产品隐私政策、产品界面授权截图、产品隐私政策链接、隐私政策版本管理流程制度 |
12 | 意识和培训 | 评估组织隐私意识培训的执行 | 证据:培训内容、培训记录如场次、培训时间、参与人数,参与部门,培训结果考核结果等 |
13 | 监控和保障 | 评估是否持续监控并定期评估和审核控制措施和降低风险的措施的有效性。 | 证据:PIA流程制度文档,评估示例、评估报告等 |
14 | 责任 | 回答的准确性保证、个人信息保护责任 | 确认以上问题回答真实有效,隐私组织架构、个人信息保护策略文档、隐私管理计划、确保以上隐私原则有效执行的支撑性文档 |
表1-TrustArc评估问卷反馈指导
4.2. 差距分析和报告阶段
在差距评估过程中,TrustArc将通过顾问评估和技术测试两个方面对项目评估范围内的产品或服务进行评估分析:
1) 顾问评估:
TrustArc隐私顾问会对企业提交的合规检查问卷内容进行人工评估,评估的主要标准依赖于TrustArc企业隐私和数据治理实践认证评估标准,对 应企业提交的问卷内容进行综合评估,评估过程中将针对问卷的证据或描述不清晰的部分,通过邮件或会议的方式与企业进行进一步的确认。
2) 人工测试:
TrustArc的技术测试团队会对产品或服务进行隐私技术测试,比如通过抓包的方式确认敏感信息在传输中是否加密,是否在同意隐私政策前回传 相关数据,隐私政策在产品内是否可访问,获取用户同意的产品实现方式的检查等等。
经过以上的评估和测试,TrustArc将根据顾问的评估结果和技术测试结果在线出具评估结果报告,其中报告中包括差距分析,风险总结和风险处 置建议,该报告中会进一步指导企业如何确保隐私合规。
4.3. 整改和认证阶段
差距分析报告中提出的风险项和分享处置建议,将在线上系统以整改计划的方式反馈给企业,企业需要明确整改方案和整改完成时间,并及时在线上反馈相关整改完成证据。
差距整改涉及到制度流程的补充或完善,以及产品前端或后端技术相关整改。TrustArc顾问会全程跟踪整改计划的实施情况,确保所有风险项均整改完成后,向企业发放正式的认证通过证书,企业通过认证后,可以将TrustArc的隐私印章嵌入到其产品或服务的隐私政策中。
4.4. 持续监控和指导阶段
整个评估过程通过线上系统进行,包括证据,评估报告和最后的整改计划均完好的记录在统一的线上系统中,易于查找或证明企业的隐私合规性。企业还可获得TrustArc提供的第三方争端解决服务,该服务可帮助有效管理客户的隐私查询并满足争端处理的合规性要求。
同时,TrustArc会提供反馈按钮,向消费者,业务合作伙伴和监管机构进行外部展示和证明企业使用技术和工具来管理与隐私相关的问题或疑虑。隐私反馈按钮可以放置在企业的隐私政策页面上,并链接到供消费者提交问题或反馈的页面。
TrustArc会不断的向企业提供隐私相关的意见、调查报告、或线上的教育培训或相关白皮书文档等,企业的隐私合规专家有权限访问这些内容,获得相关的知识。
5. What | 认证收益是什么?
TrustArc的认证,不仅仅是收获了一张证书,个人认为以下两个方面也是企业收获较多的方面:
5.1. 隐私合规体系建立:
认证中评估框架和评估标准让企业可以快速梳理当前的隐私合规实践、使当前的实践更加体系化,规范化呈现。比如,通过认证梳理出隐私管理方面的隐私合规体系文档列表如下(示例),其中安全保护相关的制度文档可以引用ISMS相关体系文件:
表2-隐私合规体系文档示例
5.2. 隐私合规体系运行监控:
通过TrustArc的认证后,一方面需要进行年审,年审时需要重新填写评估问卷,确保产品或服务的数据收集或处理发生任何改变都被重新评估,并且也将评估企业在过去的一年中,体系中相应的内容的执行情况;另一方面,TrustArc会持续的关注企业的隐私合规行为,如发现有隐私相关的违反情况,会询问企业相关的问题点,企业需及时澄清相关问题,如果逾期未能澄清,隐私印章链接将被暂时撤回,直到企业整改完相应问题才会被恢复。
企业合规人员,最主要的工作方向就是要证明合规,如何证明一直都是大家的痛点,企业可以以通过认证的方式,帮助企业建立完备的隐私合规体系,并对隐私体系运行情况进行持续性的监控,PDCA循环的方式,让企业不断完善自身的隐私合规体系,向监管和大众证明其合规性。
参考资料:
l https://www.trustarc.com/products/enterprise-privacy-certification/
l https://www.apec.org/About-Us/About-APEC/Fact-Sheets/What-is-the-Cross-Border-Privacy-Rules-System
l https://www.iso.org/home.html
l https://www.nist.gov/privacy-framework
l https://download.trustarc.com/dload.php/?f=O9Z2KDNV-628
来源:freebuf.com 2020-03-09 11:43:30 by: 小米安全中心
请登录后发表评论
注册