个人隐私数据保护自查清单

市场上有非常多的个人隐私保护产品，但是在使用这些产品之前，还是非常有必要手动盘点清楚企业是否有个人隐私数据，有哪些个人隐私数据，再看是否需要安全产品加以保护，如何保护既能满足业务发展需要，又可以尽量减小成本开销与人员时间消耗。

以下内容结合NIST发布的评估工具和AWS安全产品，描述如何在AWS落地实现中小企业的安全合规工作，既能够降低合规成本，又可以使中小企业专注于创新和增长。

成本与收益

完成合规工作需要花费的时间：——天

完成合规工作预计需要投入多少钱：——元

合规工作运营需要投入多少人：——人

价值1: 长期收益

政策往往是最难衡量的方面。但是法律要求长期存在，如果一直不做整改，迟早会面临法律惩罚，可能是业务整改，也可能是罚款。尤其随着数据收集越多，业务发展的越大，面临的风险也将越高。

价值2: 早期就进行改造的成本低于后期再改造的成本

比如数据库在早期就进行加密只需要简单开启加密功能就行。但是如果数据库已经用于生产，并且保存了大量的数据，此时再进行数据保护，需要创建一个snapshot，将snapshot进行加密，替换原来的数据库。这个过程涉及多个部门的协作，并且有影响业务的风险，可能导致业务中断。如果数据被其他的程序调用，还需要协调其他应用调用的方式整改。

价值3：企业积累了丰富的数据保护经验

出现问题比如黑客攻击进行勒索，被人投诉收到监管部门，被监管部门调查等时候再去应对数据保护工作，企业往往缺乏经验，需要聘请有经验的咨询公司，并且无法减免业务改造的工作。而不论是攻击还是政府的监管都是持续可能会发生的事情，每次都聘请咨询机构将是不小的开支。

价值4：企业数据保护更安全可以提升企业用户的信心

企业通过证明自己在安全方面为用户提供的保护，不论是通过放在官网上的相关证书，还是提供相关的功能（如使用HTTPS协议）都可以增加用户的信心。用户也更愿意使用能保护他们隐私信息，更安全的产品。

相关资源

#1 NIST自查清单

下载地址

请查看以下5个问题，基于你的回答，完成12个项目（总共12个页签）。清单里的5个核心项目是基于NIST框架得出的：识别，保护，检测，响应和恢复。

有关你的企业的资产和系统的问题:

1. 您是否以电子方式存储、使用或传输个人身份信息 （PII）（例如社会安全号码或出生日期）或公司敏感信息（例如财务记录）？ 如果回答为“是”，你需要完成以下清单检查：

   • Section 1 - Identify and Assess Risks: Inventory

   • Section 2 - Identify and Assess Risks: Minimize Use

   • Section 4 - Protect: Information Assets

   • Section 6 - Protect: Encryption

   • Section 8 - Protect: Controls and Staff Training

   • Section 9 - Detect: Penetration Testing

   • Section 10 - Detect: Intrusion

   • Section 11 - Response Plan

2. 您是否将 PII 或公司敏感信息传输给第三方，或以其他方式允许第三方访问您的 PII 或公司敏感信息？ 如果回答为“是”，你需要完成以下清单检查： Section 3 - Identify and Assess Risks: Third Party Access

3. 您的员工（或独立承包商）是否维护访问 PII 或公司敏感信息的设备？ 如果回答为“是”，你需要完成以下清单检查： Section 7 - Protect: Employee Devices

4. 你是否有资产，如果丢失或者无法使用会影响公司的运营（比如交易或者订单管理系统）？ 如果回答为“是”，你需要完成以下清单检查： Section 5 - Protect: Systems Assets

5. 如果您的系统，PII，或者公司敏感信息无法使用或者丢失，需要恢复以后才能继续开展业务？ 如果回答为“是”，你需要完成以下清单检查： Section 12 - Recovery

#2 自查清单

如果不使用NIST的框架自查，也可以参考以下自查步骤规划数据保护的工作。

法律法规遵从情况盘点

1 - 授权同意

• 各组织在为某一目的收集、使用或披露其个人数据之前，必须获得个人的明确同意。明确同意是指以书面形式获得的同意，或以可获取的方式记录的同意，这清楚地表明个人已同意通知收集、使用或披露所收集的个人数据的目的。

• 在获得明确同意的过程中，组织不得将同意作为提供产品或服务的条件，超出合理范围。组织也不得通过欺骗或提供虚假或误导性信息来获得个人的同意。

• 组织还必须通知个人，他/她的个人数据将如何被收集、使用或披露。如果没有通知，就意味着个人没有给予同意。

• 儿童和弱势个人： 贵组织是否处理有关儿童（通常定义为16岁以下的个人，但在某些国家或司法管辖区可能更低或更高）或弱势个人（例如，有健康问题或残疾的个人）的个人数据？你是否对处理与儿童和/或弱势个人有关的个人数据适用不同的规则？例如，在一些国家和司法管辖区，你可能需要收集代表儿童/弱势个体的父母同意进行某些类型的处理活动？

  在处理与儿童或弱势个人有关的个人数据时，数据保护法通常适用额外的、更严格的要求。

2 - 指定DPO

• 如果为欧盟用户提供服务，并且收集欧盟公民的个人隐私数据，那么如果您的组织位于欧盟以外，请指定一名驻在欧盟成员国之一的代表。

3 - 数据主体的权利

• 你是否有流程让个人行使他们在适用的数据保护法下对其个人数据可能享有的任何权利？（例如，访问、纠正、删除数据、撤销同意和/或反对处理）

• 是否允许用户拒绝自动处理的决定？在一些国家和司法管辖区，数据主体有权不接受完全基于自动处理的决定（例如，没有任何像高级人力资源经理那样的人工干预的电子招聘做法），包括产生法律效果或类似的显著效果的分析。

• 你的组织收集的个人数据是否超过预期目的的实际需要？

  大多数数据保护法的一个基本原则是，个人数据必须是充分的、相关的，而且对于预期的目的来说不过度。

4 - 个人数据的共享和跨境传输

• 是否会将个人数据传输给第三方组织或个人？贵组织是否有涉及个人数据处理的第三方的程序和流程（如供应商政策、尽职调查等）？

• 是否会记录共享和跨境传输的具体情况？

• 在跨境传输之前，您是否核实了您是否遵守了法律法规要求，比如签署带有保障措施的合同和技术要求，对个人隐私数据进行匿名化处理等？

了解您的数据

创建一个数据资产登记，记录数据如何在你的组织中流动，并证明符合GDPR/其他隐私保护法的要求。可以参考使用个人数据保护影响评估的模板，设计自己企业适用的模板。

行动计划	负责人	了解更多
完成数据分级分类	数据安全架构师	根据需要满足的法规要求，确定企业相关的敏感数据有哪些类型，敏感等级是什么。
确定需要自动识别的敏感数据类型，和暂时只能通过手动标记的数据类型。	数据安全架构师	明确哪些可以通过自动化识别，持续监控，哪些需要通过管理制度手动打标。
发现和分类敏感数据	数据安全架构师，运维/开发经理	根据前面准备的材料，完成发现和标记的工作。可以参考敏感数据分级分类的建议。也可以借助工具发现敏感数据。

保护您的数据

行动计划	负责人	了解更多
完成敏感数据加密	运维/开发经理	加密数据，关系型数据库字段级加密。
完成网站和APP的HTTPS改造	开发经理	配置传输加密
重要数据备份	运维/开发经理	推荐使用AWS Backup创建备份计划，备份关键数据。 blog: Use backups to recover from security incidents Backup workshop
口令安全管理	开发经理	每次代码发版前的代码review中要求加上不允许代码出现明文口令的管理规定，并且借助口令管理工具实现口令的安全使用。
数据匿名化处理	开发经理	在一些场景中对敏感数据进行匿名化处理，比如生产数据转测试数据，分享给第三方敏感数据，跨境传输等。

参考资料

新加坡个人隐私自评估工具：https://apps.pdpc.gov.sg/resources/pato/questions

这个是由官方提供的评估企业个人隐私保护现状的工具

The Six Pillars of DevSecOps: Pragmatic Implementation

Privacy by Design The 7 Foundational Principles Implementation and Mapping of Fair Information Practices

AWS Privacy Reference Architecture (AWS PRA)