数字化转型中，企业如何应对个人信息保护新挑战？

前情提要

频发的数据泄露事件，日益严格的监管合规要求，灵活多变的业务和技术战略实施，迫使管理层将个人信息保护提上议事日程。个人信息保护，既不是单一的法律合规事项，也不能单纯通过安全技术方案解决。

纵观国内外有关个人信息保护的立法要求和实施标准，建立健全适应于业务和技术战略及发展的个人信息保护管理框架体系，落实常态化运行机制，自上而下，跨部门、跨地区有机联动，是有效开展个人信息保护、实现监管合规与业务发展共赢的关键。

在上期内容中，我们已经与各位探讨了关于个人信息的定义、个人信息主体权利及个人信息保护主要原则等内容。本期内容为第（二）期，主要探讨数字化转型中面临的个人信息保护挑战、建议企业关注的重点及应对措施。

在数字化转型背景下，个人信息保护给企业带来新挑战

企业在数字化转型的过程中，需利用云计算、大数据、移动互联和物联网技术，通过新的产品和服务、新的业务模式和新的关系创造价值和竞争优势。数字化转型使企业的组织和业务流程得以改革，以实现业务持续增长，但同时也给企业的信息技术风险和数据安全管控带来新的挑战：

云计算

云计算技术采用分布式计算处理海量数据，相对于传统计算，有大量的中间数据通过网络传递，使传输过程中的数据保密性与完整性受到很大威胁。在用户认证与接入方面由于用户数量庞大也存在安全风险。事实上，虚拟化技术本身就存在的安全威胁也是云计算安全的重要挑战之一，入侵者可以利用租用的虚拟机发起攻击，或者直接攻击虚拟化管理平台。

大数据

近年来，大数据广泛应用于金融、人工智能、广告、医疗等领域，推动了企业、政府、社会组织等的数字化转型。然而，大数据技术发展与个人信息保护既相互制约，又相互促进，数据合规话题的讨论也在持续升温。大数据安全保障是大数据产业战略不得忽视的重要问题之一，其中尤其是个人信息保护方面。例如，大数据可收集留存于互联网购物平台的用户信息，分析用户的浏览记录、网络踪迹及消费情况等，获取用户的姓名、年龄、通讯方式等个人信息，给个人信息安全带来了威胁。

移动互联

移动互联相对于传统互联网，既实现了在移动中接入互联网处理业务的便捷功能，也在移动终端安全和用户个人信息安全方面带来了新风险。移动互联的发展使接触个人身份信息的场景更加多样和灵活，继而给个人信息保护带来更大挑战。例如，移动终端应用程序既为用户提供便捷服务，也增加了获取用户个人信息的途径；公共WIFI的普及在使用户随时随地获取互联网信息的同时，也加大了个人信息泄露的风险；个人设备（手机、平板电脑等）既便于企业员工办公，也为企业敏感数据保护、移动终端管理带来了更高要求；带有拍照或摄像功能的手机在留存美好时刻的同时，也为敏感信息泄露埋下了隐患。

物联网

随着越来越多的设备通过互联网来传输和接收数据，物联网服务的重要性日益显著。到2020年，预计将会有300亿个互联设备构成全球物联网的局部基础 。矛盾的是，这些对于企业而言十分宝贵的技术同时也十分脆弱。例如，遍布于公共场所的摄像头可随时采集图像信息，传输至视频监控系统，为社会治安管理提供了防范手段。然而，摄像头管理若出现问题，则增加了视频隐私泄露的风险。

网络安全是企业进行数字化转型过程中不可避免或忽视的问题。网络安全的核心是数据安全，其中，又以客户个人信息安全为重中之重。

实施个人信息保护应关注的重点

个人信息梳理是基础

个人信息梳理是企业厘清个人信息保护工作在企业内部所应覆盖的广度和深度的基础和前提。通过个人信息梳理工作，企业得以建立个人信息数据清单和数据流图，划定个人信息处理全生命周期（收集、使用、保存、传输、处置等）所涉及的业务和运营流程、信息系统及基础架构等，明确相关管控措施所应落实的具体范围。

治理架构是保障

企业应建立健全数据安全治理架构，定义各个层级、各个部门和人员的数据安全角色、分工和职责，建立恰当的绩效和考评机制，实现有效的资源配置，以保障数据安全管理工作能够有效建立和持续施行。

“内外兼修”是核心

不可否认，考虑到目前较高的国内外监管要求和企业自身较低的隐私管理成熟度，对于大多数企业而言，实现完全的个人信息保护合规必将是一个庞杂而长远的工程，涉及的战略层面、流程层面、执行层面和技术层面的变更也是复杂多样的。这其中，确有几项关键工作任务，企业应考虑尽快开展：

“对外”部分，一方面，对外沟通的各类文件，如适用于客户个人信息收集和处理的隐私声明、适用于员工个人信息收集和处理的员工手册或劳动合同、适用于业务合作伙伴个人信息收集和处理的业务合同等，应尽快依据相关要求进行修订和更新，以确保涵盖关于个人信息主体合法权益的各项声明；另一方面，应尽快建立有效的数据安全事件应急处置和报告机制，根据企业业务特点和管控流程，制定有效的评估、响应、通报流程，确保数据安全事件能够得到恰当的处置，并与监管部门、个人信息主体进行有效及时地沟通。特定行业还应关注通报的规则和时效性等。

“对内”部分，一方面，个人信息保护应与企业原有的信息安全管理工作有机结合，进一步建立健全企业信息安全管理体系，并辅以有效的技术支撑，如数据防篡改、数据防泄漏、数据去标识化、数据备份与恢复等；另一方面，个人信息保护特有的管控机制也应逐步建立和落实，如个人信息安全影响评估、个人信息跨境传输安全评估、通过设计保护隐私等，自上而下，全方位搭建企业的数据安全管控体系，以合理确保个人信息安全。

个人信息保护任重而道远，企业应立即行动，以有效防控与之相关的合规风险、财务风险和运营风险。

毕马威的个人信息保护框架

毕马威拥有专业的网络安全团队来提供战略建议、专业知识和灵活交付。在个人信息保护方面，我们的专业人士将提供前沿的想法，用来识别风险范围并制定切实可行的建议以进行风险缓释。

毕马威提供的个人信息保护管理框架致力于解决客户真正的业务和技术威胁，协助企业逐步实现和提升：

❏基于个人信息保护原则——管理框架基于个人信息保护基本原则进行设计，对不同国家和地区的隐私管理要求具有普遍适应性。

❏应用模块化设计——管理框架应用模块化设计，便于企业的管理层和隐私管理人员厘清重点管理域，庞杂的外部合规要求亦可以与相关管理域进行匹配，因地制宜，有针对性开展隐私管理工作。

❏多层面分阶段——管理框架的建设和落地分阶段分步骤逐步实现。毕马威在评估、设计、实施、持续监控、战略规划、日常运营等多个阶段或方面为企业提供全方位的协助。