第 1 期

以人为中心的数据安全

数据集成时代下的隐私保护

中国的数据隐私标准展现了其针对《网络安全法》的相关举措

中国针对数据隐私而设立的国家标准于 2018 年 5 月开始生效,在数据管理实践、隐私相关角色、职责和政策方面产生了重大风险影响。本研究有助于安全和风险管理领导者应对此标准的合规性要求。

主要挑战

  • 涉及的信息范围过于广泛,因为此隐私标准旨在衡量两种类型的个人信息,即一般个人信息和敏感个人信息;每种个人信息又关联着不同的合规性要求。
  • 难以评估不同隐私合规性要求之间的完全重叠之处,尤其是同时受到其他主要隐私法律(如GDPR 和《加州消费者隐私法案》约束的合规性要求。
  • 随着中国《网络安全法》的新指导方针不断出台,对于自身需要做什么以及如何执行此隐私标准,组织面临着诸多不确定性。

建议

安全和风险管理领导者(尤其是监管全球隐私管理计划的领导者)应该:

  • 在中国境内业务和其他企业营业地点之间完成数据分类和映射,因为此举是为数据本地化做好准备的第一个必要步骤。
  • 在企业信息规管方面引入中国隐私标准的隐私评估,方式是将其视为有助于满足 GDPR 和其他隐私合规性要求的辅助性并行工作。
  • 携手专门研究中国市场且拥有卓越隐私实践的法律专家,核实隐私相关指导方针的未来发展。

介绍

中国首部《网络安全法》(CSL) 于 2017 年 6 月 1 日开始生效。现在要评估其影响、合规程度要求和执行过程仍然具有挑战性。由于该法最初缺少清晰度和具体举措,中国很快便为其制定出或关联了其他指导方针、规定、措施和标准,使其更具可实施性。作为此类持续性完善工作的一部分,数据隐私标准(“隐私标准”)于 2018 年 5 月 1 日开始生效。隐私标准说明了数据隐私范围、一般和敏感个人信息 (PI) 的定义,以及相关的隐私合规性要求。请参见图 1,了解不断增加的相关指导方针的适用环境和其他补充 CSL 的标题。

图 1. 关于《中国网络安全法》的隐私标准

图 1

资料来源:Gartner(2019 年 2 月)

本研究重点关注个人信息安全规范或隐私标准。(注意:英文翻译直接引用自官方发布的文本,尽管文本大部分内容是中文。)隐私标准包含 10 大条款章和 3 个附录。其内容涵盖个人数据的收集、处理和管理,而且概述了数据控制者及其接受者的职责和适用政策。此外,隐私标准还定义了两种类型的个人信息。这两种个人信息虽然都包含在隐私标准内,但相互间并不排斥(请参见图 2)。附录部分包括个人信息和数据主体同意书的示例。通过研究一般和敏感个人信息的示例,此隐私标准将范围和复杂性扩展到可接受的个人身份信息 (PII)。

图 2. 一般和敏感个人信息

图 2

备注:以粗体显示和带星号的类别均属于“敏感个人信息”。
资料来源:Gartner(2019 年 2 月)

类似于欧盟 (EU) 的《通用数据保护条例》(GDPR),隐私标准同时适用于跨国企业和当地企业。表面上看,隐私标准并非是作为法律要求发布,而是一项带有“自愿或建议”代码 (GB/T) 的国家标准。然而,隐私标准其实与 CSL 相关联,用作促进该法执法的工具。鉴于中国法律和监管实践的独特性,各企业应将隐私标准视为一项必须遵循的合规性要求。

隐私标准的发布表明中国更趋于与欧盟隐私条例(如 GDPR)保持一致,而且在数据本地化和数据主权方面的措辞略显严格和完善。但是,由于中国缺少独立的隐私法并且在隐私成熟度方面稍显落后,所以隐私标准只是中国漫长隐私改革的第一步。

中国国内市场见证了几大本土数字巨头的迅速崛起,通常被称为 BAT(即百度、阿里巴巴和腾讯)。这些公司一直在收集大量个人信息。中国政府已经呼吁 BAT 以隐私标准为指导方针,针对其未经核实而使用个人信息的行为采取矫正措施。西方组织应注意 BAT 相关行为与剑桥分析公司使用客户信息事件的相似之处和同样的担忧,或者与谷歌侵犯隐私权事件的相似之处和同样可能会遭受的严厉处罚

数据是数字化商业的关键产品资产,因此设立防护基准也有助于中国政府加强对其网络空间的控制。特别是这些创新数字商业模式颠覆了金融服务和医疗保健等传统行业。这些大型数字企业采用的隐私管理方法将开创先例,以供其他企业参考。例如,据报道,阿里巴巴集团旗下子公司“支付宝”因处理客户隐私不当而受到了中国政府的批评。支付宝公司随后调整了其隐私政策。

尽管上述现有示例均侧重于处理客户数据的方式,但隐私标准同样适用于所有中国公民的个人信息,包括员工数据。

分析

完成个人数据的分类和映射,为合规做好准备

此举旨在确定企业要收集的中国公民个人信息类型、收集数据的方式、存储和保留信息的位置,以及是否会将此类信息传输至海外地点。

为企业在中国境内业务予以支持的应用程序和系统通常是可供完成个人信息数据分类和映射活动的核心存储库。面向客户的应用程序和人力资源系统是收集个人信息的起始点。例如,如果一家企业在中国开设了 B2C 业务,您可能会通过实体店和/或在线的销售和营销活动收集个人信息。个人信息数据可能会存储在全球 CRM 系统中或外包给本地供应商。此类数据还会被用于其他应用程序(如分析工具或订单管理),以便为客户提供必要的服务。如果某企业还需遵守多项规定,那么数据保留便成为了另一个包含个人信息辅助副本的 IT 流程和存储库。因此,关注点不应局限于产品系统,还应掌握数据在整个生命周期内的流动,从而充分了解各应用程序、访问此类数据的用户和实体,以及他们所使用的数据类型。

如果出于业务需要,您要将用于分析或其他用途的中国公民个人信息数据传输至海外地点,便会涉及到跨境数据传输部分的内容。数据分类和映射范围应包括:

  • 在中国境内业务运营中收集和使用的数据。
  • 数据类型(中国公民的一般和敏感个人信息,以及合同、设计和其他商业秘密等高价值业务数据)。
  • 关于应用程序的数据生命周期、有权访问个人信息的用户和实体、他们使用的数据类型,以及他们使用、处理和存储数据的方式。
  • 向各类组织授予其客户数据访问权限的外部站点、应用程序和社交网络。
  • 可能会保留个人信息副本的二级数据存储(如档案或用于分析的数据湖)。

相关决策示例:

  • 评估并可能会采用当前全球系统的本地实例或本地化供应商产品(如需要)。
  • 考虑将本地 CDN 服务用作全球 SaaS 应用程序的数据储存库。
  • 减少中国 IT 系统和全球系统(如分离式数据库架构)之间的数据流量。
  • 重新审视本地用户的身份和访问权,以便确保其生产力,但不享有过多权利。另外,请注意经常旅行的中国用户,因为其数据访问权可能会带来更高的合规风险。

积极应对中国的隐私合规性要求,并将其作为有助于满足其他隐私要求(如 GDPR)的辅助性工作

GDPR 和隐私标准都于 2018 年 5 月在中国生效。组织为遵守 GDPR 或任何其他隐私要求做准备时,将隐私合规作为全局目标比分别应对各项要求更加有效。任何信息治理的隐私框架均应涵盖整个企业范围和所有司法管辖区。有关各项合规标准或法律的风险应采取单独追踪但整体管理的方式。

投资开发可自动发现、报告和控制个人信息的技术解决方案,能够提高风险管理效率并减轻合规负担。如今有许多供应商推广 GDPR 解决方案,但购买技术应该只是整体隐私和风险管理计划的一部分。为每项合规要求都购买一种技术工具并非可行之举。在可能的情况下,应充分利用现有隐私控制、政策和技术。

从概念要素的视角来看,比如个人信息的定义、数据主体的同意书、数据收集的比例、数据控制者等,隐私标准与 GDPR 的相似点远多于不同点。在隐私标准的合规准备工作中,请考虑以下宽泛的任务和原则:

  • 充分利用现有技术完成数据发现和分类。
  • 将个人信息数据映射至一般和敏感个人信息(参见图 2),以及映射至核心与增值功能(即在客户选择退出时,企业不能拒绝客户访问核心功能,除非个人信息经证明是提供核心功能的关键)。
  • 竭尽所能缩小个人信息的收集范围,仅限于关键服务所需的范围。
  • 使信息收集过程公开透明,并且便于普通客户理解。
  • 设计透明的同意机制,允许个人管理其偏好选项。
  • 实施安全措施和流程,以在收集、存储、使用、分享和传输期间保护个人信息数据。

评估跨境数据传输要求

跨境数据传输需要进行安全评估。继《网络安全法》之后,中国又发布了跨境数据传输方法(下文简称“该方法”)。截至本文发表时,该方法仍处于起草阶段。中国已经通过了最初预期的有效时间范围。

在该方法中,如要将中国境内的个人信息和关键信息 (CI) 传输至海外地点,组织需接受安全评估。安全评估可能会自主执行或由经认证的第三方执行。有关安全评估实施阶段的细节尚未明确。关键信息可能包括极其宝贵或敏感的商业信息,包括商业秘密、合同、定价、规划和生产,以及国家安全信息(即地理定位、基础设施和产品规格)。该方法将指定是自主执行评估还是由第三方执行评估,具体取决于传输的数据、您所在企业的所属行业以及其他标准。某些情况下可免除安全评估。

符合跨境传输条件的数据处理情况包括:

  • 企业在其企业业务范围内(包括其跨境营业地点)传输数据,而且数据包含其中国业务所创建或收集的个人信息或关键信息。例如常见的商业智能使用案例,即通过汇总从所有市场收集的数据,在中国境外企业总部的集中式数据存储库完成数据分析。
  • 将个人信息或关键信息发送给不受中国管辖或未在中国注册的实体。例如,通过在中国开展的联合医学研究项目收集数据,但项目所涉及的非中国实体将中国市场数据传输至其本国运营设施。
  • 将个人信息或关键信息传输至其海外地点之前,外国实体、组织和个人可进行访问(公共信息和网页访问可免除安全评估)。例如海运业的数据,运输承运商包含多个第三方,其中一些是非中国实体。

可免除安全评估的情况包括:

  • 并非是在企业的中国业务中创建或收集的数据,未曾在中国发生改变或进行管理,只是经过中国。例如,全球性公司可能会利用其中国数据中心来托管它在其余亚太地区当地业务的应用程序。来自这些地点的数据只是存储在中国,之后将发送至位于北美洲的企业总部。
  • 并非是在企业的中国业务中创建或收集的数据,曾在中国发生改变或进行管理,但是与在中国创建或收集的个人信息或关键信息没有关联。

    • 评估执行安全评估的需求和您所在企业所属的行业类别。必要时与咨询公司合作,最好是在执行此类评估所需的详细程序和文档方面有深入了解和丰富经验的咨询公司。

    明确角色和职责

    为隐私标准的合规性做准备时,请务必注意三个重要的角色:数据接受者、数据控制者和网络运营者。这些角色在隐私监管链或数据保护义务方面承担着不同的职责。图 3 总结了这些角色及其与隐私标准的相关性。

    图 3. 与隐私标准相关的三种角色

    图 3

    * 有提及,但未定义
    资料来源:Gartner(2019 年 2 月)

    数据接受者

    数据处理者的角色在隐私标准中没有明确定义。但是,在第 8.1 条中,提到了代表数据控制者处理个人信息的“合同缔约方”或数据接受者。在这一特定部分,列出了合同缔约方需遵守的具体要求。

    数据控制者

    数据控制者的角色定义是有权决定个人信息的用途和处理方法的组织或个人。

    网络运营者

    网络运营者是 CSL 中正式引入且定义广泛的概念。根据 CSL,网络运营者是网络所有者和管理者以及网络服务提供商。这包括在中华人民共和国合法注册的企业,或者未在中华人民共和国注册但在中国开展业务或向中国提供商品或服务的企业。

    决定您所在组织是否在中国开设业务的要素包括但不限于:

    • 使用中文
    • 以中国货币(人民币,RMB)开展的财务交易
    • 将产品运往中国

    然而,如果只为未收集任何中国公民个人信息或关键信息的外国政府实体、外国组织或外国个人提供服务,则此类中国组织将享有豁免权。

    无法将数据传输至中国境外时,求助于本地托管提供商

    云服务或托管服务提供商也许会与其客户共同分担隐私管理职责。在合同中,他们会分别承担隐私管理的责任。但有些提供商根本不会分担责任。默认情况下,中国的本地托管云服务或托管服务提供商拥有数据本地化优势(即使用或拥有本地实体数据中心),而且对于本地隐私合规性要求有直接的认识(即不存在语言障碍)。

    云服务或托管服务供应商承受着更大压力,需加大在法律和监管合规方面的投入。他们中的大多数必须跨越不同的行业领域为多名客户提供托管服务。遵守相关隐私要求日益成为与这些提供商建立提案或订立合同的必备条件。

    在应对隐私合规性要求(如隐私标准和 GDPR)方面,通过本地托管服务提供商转移一些风险相当有效。请考虑以下做法:

    • 与云服务或托管服务提供商合作,共同确保遵守隐私标准。如果全球性公司无法在短期内满足合规性要求,您可能需要求助于本地托管服务提供商。
    • 准备寻找本地托管云服务或托管服务提供商,以存储中国客户的个人信息。

    然而,采取基于风险的方法也是可行的。新近出台的隐私法规将会有一个观望阶段,在此阶段立法尚未最后定案,或者执法细节尚不明朗。例如,企业应仍然评估相关数据本地化风险,但在随后的阶段再处理合规差异。这适用于没有在中国收集大量个人信息或个人信息数据主要与员工相关的企业。

    持续监控相关指导方针的发展

    随着更多法律、指导方针或标准不断出台以支持中国对网络主权的控制,合规性要求的主体预计会变得更加微妙。中国没有独立的隐私法。但中国方面讨论过要颁布隐私法。在隐私法出台前,隐私标准应作为主要防护基准。隐私标准应用于加强企业在个人信息管理和跨境数据传输方面的合规性。日后中国可能会发布进一步的指导方针和举措,以明确合规性要求和程序。

    密切监控中国相关隐私法律和监管要求的发展是一种积极的风险管理方法。这样还有利于提出宏伟蓝图的企业利用数据进行创新或在中国扩展其数字业务。

    资料来源:Gartner 研究简报 G00381902,Jie Zhang、Sandy Shen,2019 年 2 月 8 日
    返回首页

依据

  • Gartner 客户咨询与对话
  • 具备相关主题知识的 Gartner 分析师之间开展的讨论
  • Gartner 之前有关 CSL 和相关指导方针的分析

Gartner 分析师还利用了公共信息和媒体报道,包括: