电话:+852 3897 3333

邮箱:info@bcpl.com.hk

地址:香港九龙湾宏光道一 号億京中心B座21樓D室

【创汇国际视野】隐私保护浪潮下,企业的机遇与启示

发布日期:2019/5/7 15:10:53

本文转载:《毕马威中国 毕马威KPMG

2018年5月25日,欧盟《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)正式开始实施。这项法案由于其适用范围广泛、赋予数据主体权力多样、对数据处理要求更严格以及对违规处罚更严厉等特点,从发布之日起就备受关注。


除了欧盟之外,很多其他国家和地区也同样在关注隐私保护的问题。仅在2018年,就有多个国家和地区颁布或实施了个人信息保护或隐私保护相关的法案或规定,例如中国的推荐性国家标准《GB/T 35273 - 2017 信息安全技术 个人信息安全规范》,巴西的《通用数据保护法》(LEG Geralde Proteçãode Dados,LGPD),印度的《2018年个人数据保护法案(草案)》和美国加利福尼亚州的《2018加州消费者隐私法案》(The California Consumer Privacy Act of 2018, CCPA)等。



GDPR实施周年记

目前,距离GDPR正式实施已近一年,我们可以从欧盟欧洲数据保护委员会(EDPB)发布的一份报告中了解到GDPR的初步落实成效。


截至2019年1月,EDPB已经收到超过9.4万件关于数据保护的投诉。来自欧洲经济区的11个国家的数据保护机构总共罚款数额已超过5,595万欧元(见图一、图二)。这些投诉和处罚案例,为企业的隐私保护合规工作敲响了警钟。



图一:有关GDPR的投诉与处罚情况统计

数据来源:First overview on the implementation of the GDPR and the roles and means of the national supervisory authorities,欧盟欧洲数据保护委员会,2019年1月,毕马威分析


图二:GDPR典型处罚案例


数据来源:公开资料,毕马威分析



隐私保护意识蔚然成风

在美国调研公司Gartner发布的2019年十大战略科技趋势中,隐私与数字道德成为唯一入选的非技术趋势。隐私保护已经成为全球性的热点话题,它正以前所未有的方式和程度影响着我们的生活。


在此大背景下,消费者的隐私意识也在崛起中。毕马威在全球范围内的隐私保护调研结果表明1 ,有56%的受访者对企业如何使用和处理其提供的个人信息表示存在顾虑或严重顾虑。赛门铁克旗下的诺顿LifeLock关于隐私保护的报告2显示,85%的中国人比以往更加警惕隐私安全,绝大多数人都希望能够更好地保护他们的隐私。




隐私保护——挑战与机遇并存


一方面,全球多个国家相继发布和实施隐私保护相关的法律法规,使得企业违规成本提高,尤其是开展全球化经营的企业需要同时满足多个国家的监管要求,使得隐私保护合规成为公司运营的一个重大挑战。因此,必要的隐私保护投入,能够使企业有效规避在未来业务扩张中可能遇到的合规风险,从而保障业务的顺利开展。


另一方面,隐私保护也为企业带来更多的潜在收益。毕马威在全球范围内针对消费者的一项研究结果3表明,围绕客户安全体验六大支柱(即个性化、时间和精力、解决方案、期望、诚信和同理心等)开展客户隐私安全管理工作并取得显著成效的企业,在客户获取、客户维系、客户价值挖掘等方面均有出色表现。


思科发布的一个关于全球隐私保护的报告4也显示,做好隐私保护合规对企业来说大有裨益,除了能够明显降低数据泄露事件发生的可能性并减少损失以外,还将给企业带来更多竞争优势和创新机会,有助于企业缩短销售周期、提升运营效率、满足投资者期望等。



企业出现的主要问题


  • 没有开展全面的个人信息盘点,导致个人信息保护工作的覆盖范围有所缺失;

  • 没有开展数据保护影响评估或个人信息安全影响评估,容易出现违反数据处理原则的情况发生;

  • 没有建立数据主体权力请求响应流程,导致数据主体无法正常行使权力;

  • 没有建立数据保护管理规范体系,如隐私保护管理办法、数据泄露响应规范、个人信息保护设计指引、数据保护代表和数据保护官制度等,使得隐私保护工作“无规可依”;

  • 没有采取隐私保护措施,如去标识化、加密、认证、授权、访问控制等,导致隐私泄露风险增加。



行动建议


0建立可持续的隐私保护框架


可持续的隐私保护框架至少包含以下几个特点:

  • 明确的隐私战略和目标

  • 足够的预算保障

  • 具有执行力的组织

  • 基于个人信息保护基本原则

  • 以个人信息盘点为基础 

  • 以业务为切入点

  • 以数据生命周期管理为主线

  • 注重内部监控与审计

 

图三:毕马威隐私保护框架



0制定可落地的实施路线图


考虑到目前较为严格的国内外监管要求以及企业自身较低的隐私管理成熟度,对于大多数企业而言,建立良好的隐私保护管理体系不是一朝一夕就能完成的事情,企业往往需要在战略、组织、流程和技术等多个层面进行变革。因此,企业需要根据自身情况,制定一套可操作性强的隐私保护管理体系实施路线图,逐步推进相关工作。


0形成良好的工作机制与合作文化


隐私保护需要综合考虑信息安全和相关法律等多方面要求。毕马威建议企业根据自身情况,建立健全隐私保护管理体系,清晰界定各层级、部门和相关人员的角色、分工和职责。为切实落实合规责任,隐私保护工作不仅需要得到管理层的支持与充分授权,还需要在企业内部调动更多资源,并在业务、法务、合规、信息技术等多部门之间开展更为密切地合作。



【声明】本文系本公众号作者编辑转载,转载目的在于传递更多信息,并不代表本公众号赞同其观点和对其真实性负责。


如涉及作品内容、版权和其它问题,请及时与作者联系,我们将第一时间处理,感谢您的阅读

本文转载:《毕马威中国 毕马威KPMG》

原文地址:https://mp.weixin.qq.com/s/MxbwjYt2CCsX2A4iMtWEGg