个人信息频频泄露,企业应如何有效开展隐私风险评估?
数字经济时代,网络上承载着个人身份信息、电话号码、银行卡号、住址、企业机密等各种信息,任何隐私信息泄露事件极可能导致企业名誉受损、收入及客户流失、受到合规处罚及审查,对企业安全和用户权益造成双重消极影响。保护用户隐私信息和敏感数据安全,避免受到网络犯罪分子的恶意攻击已经成现代企业数字化发展中不可推卸的责任。
隐私风险评估已成为企业开展隐私保护工作的重要手段,本文将对如何进行隐私风险评估进行介绍,并描述隐私风险评估工作对企业发展的价值和帮助。
隐私风险评估的定义
隐私风险评估是一种隐私风险管理方法,用于确定并管理维护个人身份信息(PII)的风险等级。企业可以通过进行隐私风险评估来制定相应的防护策略,并保证自身业务开展的合规性,降低隐私信息泄露的风险。
隐私风险评估又被称为隐私影响评估(PIA)或隐私数据保护影响评估(DPIA)。对这两种隐私风险评估类型的具体描述如下:
PIA是分析企业现有隐私控制措施安全性的风险评估方法,通过监控企业流程、系统、应用程序和产品,对PII在收集、维护和传发的过程中的管理和保护风险等级进行判断。这种内部风险审计工作能够帮助企业快速消除隐私保护的安全盲区,通常会在新业务实施时同步运行。
PIA的主要应用场景包括以下方面:
• 系统性描述隐私数据处理活动及其目的
• 分析隐私数据收集活动背后的法规原因
• 评估相关数据收集活动对个人隐私保护带来的风险
• 建议企业为减轻这些风险而需要采取的措施
DPIA是另一种典型的隐私风险评估方法,与PIA不同,DPIA与《通用数据保护条例》(GDPR)的关联性更强。在GDPR第35条中,明确要求企业为高风险数据处理活动制定和实施DPIA。DPIA框架可帮助企业更好地遵守GDPR,避免因违反这一法规而产生严重的后果。
DPIA的主要应用场景包括:
• 对个人身份信息的分析及其他类型的评估
• 大规模处理个人信息和个人身份信息
• 以自动化方式进行的数据收集和处理
• 大规模监控在公共区域的个人信息暴露行为
隐私风险评估的价值
隐私风险评估不仅是法律合规的要求,同时也是企业用户隐私权益保护的要求,更是企业数字化发展中安全建设的要求。隐私风险评估可以在帮助企业在保护自身信息的同时保障客户信息,并以此为契机将自身打造成隐私保护机制完善的合规企业。尽管实施隐私风险评估听起来是一个非常复杂的过程,但实际上进行评估会为企业带来诸多好处:
•奠定隐私治理的基础
隐私风险评估是一项战略性的计划,使企业能够规划隐私活动,轻松应对合规审计和消费者要求,防止出现意外。
•明确隐私管理策略
隐私风险评估从确定企业如何收集、管理和保护个人信息方面的任何隐私漏洞入手,以信用卡号、联系资料、登录信息和地址等数据为基础,评估漏洞和信息泄露的风险。这种数据驱动的系统方法使企业能够在如何处理隐私漏洞和盲区方面做出高效的决策。
•培养员工隐私保护意识
在企业面临着竞争激烈、地缘政治剧烈变化、辞职风潮等诸多压力的形势下,维持消费者和员工关系的稳定非常重要,而保护好他们的隐私是一种维护良好关系的重要手段,这种方式能够让消费者和员工感到非常受重视。虽然不是每家企业都有苹果那样的财力来开展广泛的活动,但即使网站上弹出的最新信息、电子邮件或短信或社交媒体更新,也能达到同样的目的,这会带来良好且持久的效应。
•为合规审计做准备
合规要求是严格、强制性的,隐私风险评估全面呈现了需要修复的所有流程,并让企业有机会在安全隐患造成法律后果之前处理它们,确保隐私防护措施没有疏漏。此外,隐私风险评估可以企业提供了可视化的证据,表明自己在合规过程中采取了必要的措施。
隐私风险评估的实施
企业在开展隐私风险评估工作时,通常需要重点关注以下关键性步骤和实施要素:
•数据映射
数据映射是指审查、匹配和关联数据字段的流程,旨在统一、透明、全面地呈现数据在企业中存储和使用的位置和方式,以及数据如何在企业的系统中流动。借助数据映射,企业可以确保所有来源的数据具有一致性、高质量。这些信息使它们能够识别潜在的隐私和合规风险。一旦发现漏洞,就可以简化补救流程。这可以帮助企业尽量减小风险、满足监管要求并控制其数据。
•自动化活动记录(RoPA)
RoPA可以记录并维护企业内部的隐私程序,可视化呈现所有的数据源信息。自动化RoPA工具将使用数据映射来收集、存储、处理、保留和删除PII相关的数据流。随后自动生成RoPA报告,并确保报告不断更新。有了RoPA,企业可以深入了解其隐私活动,发现并消除漏洞,为任何审计做好准备。
•应用FAIR隐私模型和NIST PRAM框架
相比传统的手动评估方法,新一代隐私风险评估可以使用FAIR隐私模型或NIST PRAM框架,提升评估的效率和准确性。FAIR隐私模型基于信息风险因素分析方法,提供一个指导性的演示文稿和基于蒙特卡洛模拟计算风险的电子表格。NIST PRAM是NIST设计的一系列隐私评估工作任务表,旨在帮助企业分析和评估隐私风险,并划定优先级,从而确定如何应对和选择适当的解决方案。
•外部评估
邀请第三方专业咨询公司进行外部评估可以减轻企业自身压力,咨询机构会专业地介入、评估所有隐私机制,并为企业下一步采取的措施提供建议。在进行外部评估时,评估投资回报(ROI)很重要。这包括评估的成本以及将敏感数据暴露在外部评估方面前所带来的长期影响。
结语
开展隐私风险评估可以为企业提供关于隐私漏洞及其影响的预警信号,帮助企业做出正确决策,防止代价高昂的错误。在实际工作中,建议企业选择一款有效的自动化隐私风险评估工具,这样有利于企业完成评估的繁重任务,并提供高效准确的结果。此外,自动化解决方案让企业可以有效控制评估过程及评估数据,更及时地弥补隐私漏洞,并满足内部安全要求。
原文链接:
https://hackernoon.com/a-guide-to-conducting-privacy-risk-assessments