长亭百川云 - 文章详情

除了App检测,个保法合规你还可以干这些

思想花火

49

2024-07-13

个保法在今年11月1日正式生效,在当前强监管的态势下,各家大厂都在瑟瑟发抖。App合规一定是每一家最高优的工作,但细细一想,除了死盯App权限和隐私政策,作为合规团队,在企业落地个保法还能做哪些更多的事儿呢?

这是我在国庆后就开始思考的问题,现在也做了一些实践,和大家分享一下,抛砖引玉,希望未来能和同行朋友有更深入的交流。

1、引子

我以「App/业务」为中心,识别了业务活动中的4类干系人,具体的个保法合规工作也将围绕这些干系人来开展。

  • 监管机构

  • 外部用户

  • 合作伙伴

  • 内部员工

监管机构目前更多的是关注App合规,暂时不在本次讨论范围,我们将目光放在其他干系人身上。

2、围绕外部用户我们的工作策略

外部用户在使用公司产品中,当感受到自身的「隐私权益」被侵犯时,往往会选择发声维权。

客户发声通常有两个重要渠道,1是客诉,2是社交媒体。

因此,我们现在给合规团队新增了如下两项工作:

**1、客诉信息收集与研判。**通过个人信息权益侵犯类的关键词过滤每日客诉信息,合规同学从中研判是否存在违反个保法的现象,及时协调业务方处置,避免事态扩大,甚至引发更大舆情和监管关注。

**2、舆情收集与研判。**通过个人信息权益侵犯类的关键词过滤每日多渠道舆情,合规同学从中研判是否存在违反个保法的现象,在第一时间主动响应,在最快的时间协调各方削减舆情影响。

目前,客诉能在T+1天处理,舆情能在T+15分钟响应,能看到的效果就是一下子就把整个合规团队的节奏给带起来了,也确实在业务和产品方面做出了不少改进,还需要继续坚持运营。

3、围绕合作伙伴我们的工作策略

业务开展过程中会有很多的第三方合作,需要向第三方提供用户的个人信息用于履约,根据个保法要求,公司与第三方同属于个人信息处理者,都有尽责义务。

因此,我们计划加强这么两件事。

1、凡不是必须要用户个人信息明文的场景,部署脱敏策略和隐私号。

2、落地更多的第三方安全风险管理工作,包括:

  • 更新第三方安全要求作为合同附件

  • 实施更严格的安全检查,包括技术测试和现场审计

  • 为合作伙伴提供安全漏洞通告

4、围绕内部员工我们的工作策略

个人信息从外部进入公司内部后,会被内部员工传递、使用、存储,我们需要一些手段感知内部场景的合规问题。大概说说还是加强密码应用、脱敏、权限控制、流转审批等等,具体的就不展开了,各家都有各家的做法。

5、总结

以前总觉得合规是一个偏后台的团队,写点制度,应对检查,搞好等保,维护认证就齐活了,不用太紧张。但个保法发布之后,信息安全合规猛然成了业务的红线,做合规的同学一下被推到了前台聚光灯下,需要我们熟悉监管要求的同时,还要更加理解业务逻辑,团结业务同学,确保不在执行上翻车。

这是机遇,也是挑战,更希望个保法这个大伞能让我在这个行业里混得更久一些吧。

~~~正文完,笔芯❤️ ~~~

最后,再打一个招聘广告:

招人啦!【美团-信息安全BP】

延伸阅读:

做信息安全BP的一些感悟 

(听说友商拿我这篇分享招人,让我又感动又失落。。。。感动的是我的一点自娱自乐的分享对大家还是有帮助的,失落的是我咋就一直没想着用来招人呢!!!)


**作者:**韭菜永不黄,十余年来一直混迹于信息安全行业,扛过设备,卖过服务,做过审计,查过黑客,反过欺诈,岁月神偷带走了我的苹果肌,留下了一肚子的瘫软,貌似我将要成为一个油腻的中年男人,不过依然对世界充满好奇,依然是一颗嫩绿的韭菜~

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2