个保法在今年11月1日正式生效,在当前强监管的态势下,各家大厂都在瑟瑟发抖。App合规一定是每一家最高优的工作,但细细一想,除了死盯App权限和隐私政策,作为合规团队,在企业落地个保法还能做哪些更多的事儿呢?
这是我在国庆后就开始思考的问题,现在也做了一些实践,和大家分享一下,抛砖引玉,希望未来能和同行朋友有更深入的交流。
1、引子
我以「App/业务」为中心,识别了业务活动中的4类干系人,具体的个保法合规工作也将围绕这些干系人来开展。
监管机构
外部用户
合作伙伴
内部员工
监管机构目前更多的是关注App合规,暂时不在本次讨论范围,我们将目光放在其他干系人身上。
2、围绕外部用户我们的工作策略
外部用户在使用公司产品中,当感受到自身的「隐私权益」被侵犯时,往往会选择发声维权。
客户发声通常有两个重要渠道,1是客诉,2是社交媒体。
因此,我们现在给合规团队新增了如下两项工作:
**1、客诉信息收集与研判。**通过个人信息权益侵犯类的关键词过滤每日客诉信息,合规同学从中研判是否存在违反个保法的现象,及时协调业务方处置,避免事态扩大,甚至引发更大舆情和监管关注。
**2、舆情收集与研判。**通过个人信息权益侵犯类的关键词过滤每日多渠道舆情,合规同学从中研判是否存在违反个保法的现象,在第一时间主动响应,在最快的时间协调各方削减舆情影响。
目前,客诉能在T+1天处理,舆情能在T+15分钟响应,能看到的效果就是一下子就把整个合规团队的节奏给带起来了,也确实在业务和产品方面做出了不少改进,还需要继续坚持运营。
3、围绕合作伙伴我们的工作策略
业务开展过程中会有很多的第三方合作,需要向第三方提供用户的个人信息用于履约,根据个保法要求,公司与第三方同属于个人信息处理者,都有尽责义务。
因此,我们计划加强这么两件事。
1、凡不是必须要用户个人信息明文的场景,部署脱敏策略和隐私号。
2、落地更多的第三方安全风险管理工作,包括:
更新第三方安全要求作为合同附件
实施更严格的安全检查,包括技术测试和现场审计
为合作伙伴提供安全漏洞通告
4、围绕内部员工我们的工作策略
个人信息从外部进入公司内部后,会被内部员工传递、使用、存储,我们需要一些手段感知内部场景的合规问题。大概说说还是加强密码应用、脱敏、权限控制、流转审批等等,具体的就不展开了,各家都有各家的做法。
5、总结
以前总觉得合规是一个偏后台的团队,写点制度,应对检查,搞好等保,维护认证就齐活了,不用太紧张。但个保法发布之后,信息安全合规猛然成了业务的红线,做合规的同学一下被推到了前台聚光灯下,需要我们熟悉监管要求的同时,还要更加理解业务逻辑,团结业务同学,确保不在执行上翻车。
这是机遇,也是挑战,更希望个保法这个大伞能让我在这个行业里混得更久一些吧。
~~~正文完,笔芯❤️ ~~~
最后,再打一个招聘广告:
延伸阅读:
(听说友商拿我这篇分享招人,让我又感动又失落。。。。感动的是我的一点自娱自乐的分享对大家还是有帮助的,失落的是我咋就一直没想着用来招人呢!!!)
**作者:**韭菜永不黄,十余年来一直混迹于信息安全行业,扛过设备,卖过服务,做过审计,查过黑客,反过欺诈,岁月神偷带走了我的苹果肌,留下了一肚子的瘫软,貌似我将要成为一个油腻的中年男人,不过依然对世界充满好奇,依然是一颗嫩绿的韭菜~