文档数据销毁合规:苦不堪言!

梦舞清愁 2024-09-18 09:30:01

面对全球数据保护法规的不断更新和严格执行,确保公司合规和提升自己的数据合规能力显得尤为重要。作为一名外企的法务新人,我刚踏入数据合规领域一年零一个月。在这段时间里,我从个人信息保护到数据跨境合规,再到网络安全和信息安全,一路摸爬滚打。我和老板一起,一边实践一边摸索,一边进行法律检索一边深入讨论,依靠合规社知识星球社区的知识分享和群内交流,一步步走过来。

可以说,过去的一年,我在数据合规的道路上经历了许多挑战和困难。这个过程并不容易,甚至可以说是痛苦万分的。但我希望下面的内容,能对小伙伴们起到一些参考作用。

01

数据合规可能包含的方面

数据合规又细又杂,游走在法律与技术中间,二者缺一不可,相辅相成。通过这一年多的学习,我自己理解的数据合规大概包含以下方面:1)网络安全方面;2)信息安全方面;3)数据安全方面:数据管理制度、技术制度、技术安全措施等;4)个人信息保护方面:公司内部制度类的,隐私政策、cookie政策、个人信息主体行权渠道、投诉渠道、有无人员培训及意识宣贯培训等;5)纯IT技术措施方面:数据传输、存储是否加密,密码算法等数据传输链路及其协议是否安全访问控制逻辑及层级系统访问及控制逻辑底层系统各项安全数据脱敏6)网络、数据安全管理能力及技术管理能力如何,有无等保等等资质;7)数据备份;8)应急响应:信息安全事件、个人信息泄露事件等;9)灾备恢复及能力;10)第三方供应商管控;11)各项管理类或技术类企业资质、人员能力是否配备;12)企业系统情况,有无清单、部署情况、各系统之间的流程图、第三方供应商情况、存储位置;13)数据存储位置(考虑境内境外)、存储期限;14)数据到期后如何处理,删除还是匿名化;15)企业数据处理场景、涉及哪些个人信息或数据的体量、类型、具体字段等;16)其他。我根据目前自己的理解罗列了这些信息。虽然不能说百分百精准,但希望能给大家起到参考作用。我最大的感受是,作为法务人员,一旦涉及到技术问题,哪怕是最简单的问题,我的第一反应常常是“这都是什么?”。这种感觉来源于我对技术领域的不熟悉,因此我意识到自己也需要学习、了解一些信息安全的基础知识。

推荐大家可以考虑CISP,对于初步了解信息安全、技术基础知识还是很有用的,特别是涉及到阅读或了解公司本地、总部层级的网络安全政策时,起码我大概知道在讲什么。

02

应对数据合规领域法律法规的变化

法规的持续变化是数据合规领域的一大挑战。各国法律和规定不仅各不相同,而且经常更新。为了保持合规,我们必须时刻关注这些变化,并迅速调整我们的政策和流程。例如,欧盟的《通用数据保护条例》(GDPR)和中国的《个人信息保护法》(PIPL)都有不同的要求,这要求我们分别制定相应的合规策略。这一过程不仅需要大量的时间和精力,还需要我们不断学习和适应新的法规要求。

我的建议是,对于新法律法规的征求意见稿及正式稿,我们应该逐一详细阅读,并思考可能面临的问题。即使有时候我们难以预见所有问题,阅读法律法规后,可以通过搜索解读文章或参加免费的解读课程来加深理解。之后,应对自己可能涉及的工作方面进行简要汇总和梳理。

最重要的是,理论学习之后,最好再遇到实际操作问题,通过一边检索一边解决的方式,不断积累经验。

03

和技术团队沟通的困难和挑战

数据合规涉及最多的就是与本地或者总部IT团队保持沟通。

说到这个,真的苦不堪言!

在实际操作过程中,我逐渐发现,不介入还好,一旦开始介入,IT方面的不足就暴露无遗。本地IT团队对系统情况知之甚少,总部IT也是混乱不堪,很多情况下连基本的梳理都难以进行。更令人惊讶的是,有些本地公司连ICP备案都没做,或者无法提供等保测评的证明。

在本公司的IT团队合作中,我发现了不少问题。本地IT团队没有明确的政策和措施,对系统情况也一无所知,总是说和总部保持一致。但当我找到总部IT时,发现他们也是什么都没有,给我的政策都是临时写的。这真是让人头疼的地方之一。有时候,总部IT还会把问题推给区域IT,区域IT又推回给本地IT,一来一回,至少一个月就过去了,什么进展都没有。

另一个挑战是与总部IT的沟通。他们要么忘记了之前邮件的内容,要么休假回来就像失忆了一样,每次都要重新解释,这种沟通真的很费时费力。到头来,折腾一圈,什么进展或者一点点更新都没有。有时我真觉得心力交瘁,恨不得直接飞过去,坐在他们面前逐个问题解决。

04

从实操中提炼的数据合规建议

1.隐私政策如果大家涉及隐私政策更新或者调整的话,可以参考个人信息安全规范国标附件的模板,可以做大方向的参考。之后,可以结合《个人信息保护法》的规定核查有无冲突和疏漏之处。此外,可以参考大厂的隐私政策作业,阅读三四篇,基本大方向就明了了。

2.涉及数据跨境的系统,个人信息梳理表单

十分建议按照下面的表格所列搜罗信息后,再做初步判断:

3.Cookie政策合规这个我之前也记录合规社知识星球里,这里也再放一下,希望可以帮助到大家。作为一名新接触数据合规保护的法务,之前发现针对cookie且适合法务审阅的cookie合规点没有一个很好的总结。下面是我自己做的一些简要总结。供参考:Cookie政策界面✅有无明确可以使得数据主体拒绝或者接受或者选择cookie的选项;✅是否明确列明cookie政策的快速索引链接;✅是否有给予数据主体可快速进行配置cookie的快速选项;✅是否带有可显示cookie的快速选项;✅上述提及的全部或部分选项点击、切换等是否流畅,相关索引能否正常访问等。有关Cookie的基本情况概述✅有关cookie政策的基本描述(如如何在组织内被使用等);✅表明cookie是否有涉及个人信息情况,如何衔接或者链接处理个人信息的cookie隐私政策关联性表述,如何显示隐私政策,特别是个人信息处理情况及规则(也着重关注是否充分告知➕用户同意是否可以获取);✅表明数据主体有权同意或者拒绝接受各类型cookie的表述,简要表明若不同意某些cookie的使用,某些网站、应用程序等服务无法使用或者提供。Cookie或者类似技术的概念✅概念是否有所澄清。对所有涉及及使用Cookie的简要概述✅cookie类型分为哪几类(如绝对必要的cookie,可选择性cookie);✅是否有第三方cookie;✅第三方cookie的简要介绍;✅是否有session cookie或者persistent cookie的表述或者概述等。Cookie类型的列表➕详细的说明(最好有一个单独完整且可快速访问的分类型的cookie列表➕其中详细对各cookie的描述)。✅是否有对绝对必要的cookie,功能cookie,分析/性能类cookie,定向cookie等分不同作用及类型的cookie的列表;✅每个cookie列表列明每个cookie的名称,cookie所有人,类别,目的,存储时间,功能(着重关注存储时间与法律法规是否有冲突;第三方cookie中第三方的隐私政策也要明确链接或索引指向)。其他✅是否有对变更cookie如何通知的表述;✅是否存在接受cookie问询或解答的渠道或者联系方式的公布;✅cookie更新日期是否列明。

05

写在最后

总的来说,尽管数据合规之路充满挑战,但它确实非常有趣,是一个值得深入探索的领域,也是我个人成长和进步的重要机会。尤其是当我通过研究和与老板共同探讨找到解决方案时,那种快乐和成就感是难以言表的,这也成为了我持续学习和努力的动力之一。

对于我自己,我没有太过宏伟的愿望,只希望别给公司捅娄子。我只想稳扎稳打,一步一个脚印地积累知识,虚心学习那些我不熟悉的领域和内容。同时,我也希望自己能够保持谦逊,不骄不躁,即使前路漫长且充满挑战,我仍将不断探索,踏实前行。

文件数据销毁

0 阅读:0

梦舞清愁

简介:提供销毁和处置,为IT圈服务,伴CIO成长