Закон Китая «О защите личной информации» вступает в силу. С его широким набором правил и положений о защите личной информации пользователей компаниям придётся быстро адаптироваться, чтобы гарантировать, что они останутся на правильной стороне закона. Чтобы помочь компаниям подготовиться к предстоящим изменениям, мы обсуждаем некоторые основные требования закона и предлагаем предложения о том, как построить надежную ИТ-систему, какие инструменты и технологии использовать для оценки рисков и как структурировать организацию для обеспечения соответствия.
В нашей предыдущей статье мы обсудили несколько технических соображений по соблюдению Закона о защите личной информации (PIPL), который вступит в силу 1 ноября 2021 года. В этой статье мы углубимся в изучение конкретных действий, которые компании могут предпринять для соблюдения PIPL на практике, главным образом с технической точки зрения.
Взаимосвязь между информационной безопасностью и защитой личной информации
Как правило, информационная безопасность, давно обсуждаемая тема в ИТ-индустрии, является основой защиты личной информации. Поэтому все меры безопасности, будь то технические или организационные, в области информационной безопасности полезны для защиты личной информации. Информационная безопасность является основным инструментом защиты личной информации, а также подразумеваемым требованием PIPL. Другими словами, вы не можете иметь хорошую защиту личной информации без информационной безопасности.
Однако защита личной информации имеет свои особенности. Хорошая информационная безопасность не гарантирует защиту личной информации, а хорошо продуманные меры безопасности не означают, что личная информация хорошо защищена.
Возьмем пример: вы предоставляете свой адрес, удостоверение личности, номер телефона и другую личную информацию коммерческому банку, чтобы подать заявку на счёт дебетовой карты. Как мы знаем, коммерческие банки обычно обладают высокой степенью информационной безопасности, что означает, что ваша личная информация сама по себе защищена в ИТ-системе банка. Однако, как это обычно бывает, коммерческий банк может иногда захотеть отправить вам SMS с предложением других инвестиционных инструментов, таких как фонд или инвестиционный продукт, особенно в течение нескольких дней, когда у вас на счёту дебетовой карты большой депозит.
Такое поведение является явным нарушением вашей конфиденциальности, поскольку вы предоставили свою личную информацию только для того, чтобы открыть счёт, и, возможно, вообще не заинтересованы в услугах банка по инвестициям в богатство. Однако банк изменил цель обработки вашей личной информации и использует её для рассылки раздражающих сообщений. Несмотря на это нарушение, с точки зрения информационной безопасности, ваша личная информация по-прежнему хорошо защищена банком, и несанкционированного доступа к ней не было.
Короче говоря, информационная безопасность и защита личной информации пересекаются, в то время как информационная безопасность является основой защиты личной информации (конфиденциальности), но просто информационной безопасности недостаточно для конфиденциальности.
Информационный поток и сопоставление данных
Когда мы говорим о защите личной информации, нам сначала нужно определить цель защиты, а это значит, что нам нужно ответить на следующие вопросы:
• Кто собирает данные, каким образом, от кого и с какой целью?
• Какая система используется для сохранения персональных данных и в каком формате? Где находится физическое местоположение системы?
• Кто имеет доступ к данным и с какой целью?
• Передаются ли данные третьей стороне и с какой целью, если таковые имеются?
Вышеуказанные вопросы имеют решающее значение для понимания компанией текущей ситуации и практики, касающейся защиты личной информации внутри организации. Ответы также лягут в основу для осуществления дальнейших мер контроля для защиты личной информации. Лучший способ ответить на вышеуказанные вопросы – выполнить сопоставление данных или сопоставление потоков данных, а также является первым шагом, который мы рекомендуем предпринять, когда компания начинает осуществлять управление конфиденциальностью.
Сегодня существует несколько наборов инструментов, доступных для сопоставления данных, но также можно использовать лист Excel для записи информации, как показано в приведенном ниже примере:
Главное – объединить усилия ИТ-отдела и оперативных групп или, что ещё лучше, создать команду по защите персональных данных, если таковая имеется, в качестве ведущего, для определения потока личной информации внутри организации и между внешними сторонами.
Оценка воздействия на защиту данных или Оценку воздействия на конфиденциальность
Статья 55 PIPL требует от компании проводить Оценку воздействия на защиту данных (DPIA) при «обработке конфиденциальной личной информации, принятии автоматических решений об использовании личной информации, доверии другим сторонам обработки личной информации и предоставлении личной информации зарубежным сторонам». В статье 56 далее уточняются требования DPIA, которые должны включать оценку цели обработки личной информации, воздействия, которое она может оказать на личные права и интересы, и адекватны ли принимаемые в настоящее время меры защиты.
DPIA также является обязательным в большинстве случаев в соответствии с Общими правилами ЕС по защите данных (GDR), поэтому, вероятно, это уже знакомая терминология для большинства иностранных компаний. В качестве процесса определения риска, связанного с личной информацией, DPIA обычно включает в себя следующие цели:
• Определение конкретных рисков для персональных данных.
• Анализ того, как программы или системы собирают, используют, передают и поддерживают персональные данные для обеспечения соответствия.
• Определение рисков для персональных данных, присущих программам и системам.
Как только процесс DPIA будет завершён, нижеприведенная информация должна быть получена (и сохранена в течение не менее трёх лет, как того требует статья 56 PIPL):
• Описание процесса обработки и его назначение.
• Законные интересы в рамках обработки.
• Оценка необходимости и соразмерности обработки.
• Оценка рисков для физических лиц (или субъектов данных в контексте GDPR).
• Меры, предусмотренные для устранения рисков.
• Все гарантии и меры безопасности для демонстрации соответствия.
Многие модели рисков были разработаны в прошлом, и некоторые из них по-прежнему популярны и полезны для защиты личной информации в Китае. К ним относятся такие модели, как Модель рисков конфиденциальности NIST, Таксономия проблем конфиденциальности и Модель соответствия GDPR/PIPL. Какую бы модель ни выбрала компания, некоторые общие шаги включают:
• Определение потребности в DPIA – включает ли обработка личной информации тип информации, указанный в статье 55 PIPL?
• Описание информационных потоков – обычно это можно сочетать с отображением данных или «заимствованием» результатов процесса отображения потоков данных.
• Определение конфиденциальности и связанных с ней рисков – какой вид риска представляет для отдельных лиц? Например, профилирование, которое широко используется, может привести к тому, что человек будет платить более высокие цены за получение той же услуги.
• Определение и оценку решений для обеспечения конфиденциальности – можно ли применить какую-либо технологию повышения конфиденциальности (PET) для лучшей защиты личной информации?
• Подписание и регистрацию результатов – результаты, упомянутые выше, должны быть подтверждены и зарегистрированы в качестве основы для следующего этапа работы.
• Интеграцию результатов в план проекта – результаты DPIA определяют существующие проблемы, и следующим шагом является устранение этих проблем.
• Консультации с внутренними и внешними заинтересованными сторонами – конфиденциальность включает в себя множество заинтересованных сторон, как внутри, так и за пределами организации, и хорошая коммуникация со всеми заинтересованными сторонами приведёт к более раннему успеху в управлении конфиденциальностью.
Внедрение технологий, связанных с конфиденциальностью
Как и в GDRP, PIPL не рассматривает анонимизированную личную информацию как личную информацию. Таким образом, безопасный и эффективный способ устранения рисков, связанных с защитой личной информации, заключается в том, чтобы сделать личную информацию, которой владеет компания, анонимной с помощью технологии деидентификации. Конечно, это создаёт дополнительные проблемы для бизнеса, поскольку многие идеи не могут быть извлечены из информации, как только данные будут анонимизированы. Достижение баланса между удобством использования личной информации и защитой таким образом, указанная информация является типичной проблемой, с которой сталкиваются компании.
В Руководстве по технологиям информационной безопасности GB/T 37964-2019 для снятия идентификации личной информации даётся более подробное введение в снятие идентификации. Он также рекомендует несколько широко используемых технологий, таких как технология статистики, подавление, шифрование, обобщение и псевдонимизация, для деидентификации конфиденциальной информации, включая имена, идентификационные номера, номера банковских счетов, адреса и номера телефонов, среди прочего. Какая технология наиболее подходит для данной компании, будет зависеть от бюджета компании, потребностей и других обстоятельств.
Помимо деидентификации, всё более популярными становятся домашние животные. Apple применяет дифференциальную конфиденциальность для защиты конфиденциальности в своих iPhone, в то время как Объединенное обучение и безопасные многопартийные вычисления используются банками для принятия решений о выдаче кредитов и в других целях. Однако применение этих домашних животных часто обходится дорого и поэтому в основном поставляется крупными игроками рынка, хотя появляются некоторые сторонние поставщики услуг.
Для малого и среднего бизнеса мы считаем, что шифрование будет эффективным недорогим решением для защиты личной информации. Наиболее распространенными вариантами были бы шифрование данных в состоянии покоя, таких как базы данных или файлы, чтобы убедиться, что данные неузнаваемы, даже если произойдёт утечка данных, и шифрование сетевого трафика с помощью HTTPS, чтобы убедиться, что данные в движении хорошо защищены.
Соображения, касающиеся трансграничной передачи данных
Если компания определена в качестве критической информационной инфраструктуры (КИИ) оператор, или данные личных обрабатываемых данных достигает ограничения, установленные Администрацией киберпространства Китая (САС), как это предусмотрено в PIPL, и данные внутри компании определяются как «основные данные» или «важные данные», как определено в данных Безопасности Юриспруденции из Китая, эти данные должны быть сохранены на территории Китая и не могут быть переданы за пределы Китая, если он проходит проверки безопасности проводимых САС.
Такая локализация данных может создать большие проблемы для компаний, особенно для их ИТ-отделов. Для МНК характерно использование универсальной платформы для обслуживания всех клиентов в разных странах. Филиалы в Китае обычно используют ИТ-системы, построенные и размещенные в штаб-квартире компании, но это неизбежно приведёт к проблемам с трансграничной передачей данных.
Компаниям, имеющим автономную ИТ-инфраструктуру в Китае, для сохранения связанных бизнес-данных и личной информации может потребоваться дальнейшее использование данных в Китае для других деловых целей, таких как анализ на основе искусственного интеллекта или анализ больших данных. Использование этих данных, сохранённых в другом месте в Китае, по-прежнему будет рассматриваться как трансграничная передача данных. Более того, разрешение сотрудникам других стран удаленно получать доступ к данным, сохраненным в Китае через Интернет, теоретически также попадало бы под сферу трансграничной передачи данных, хотя мы не считаем, что в настоящее время это является высоким риском соблюдения требований.
Хорошей новостью является то, что PIPL «заимствует» концепцию Стандартного положения контракта (SCC) из GDPR, которое позволяет компаниям передавать личную информацию зарубежным сторонам путём подписания стандартного шаблонного соглашения. К сожалению, этот шаблон ещё не был опубликован CAC. Тем не менее, это даёт луч надежды компаниям, которые могут ожидать, что в будущем будут доступны более простые процессы по сравнению с необходимыми в настоящее время значительными усилиями, такими как проведение проверок безопасности или получение аккредитации уполномоченным агентством, для передачи личной информации за пределы Китая.
Конфиденциальность по замыслу и по умолчанию
С учётом требований к локализации данных, описанных выше, мы ожидаем, что некоторые компании рассмотрят возможность развёртывания новой автономной ИТ-инфраструктуры в Китае для поддержки своего бизнеса в качестве способа выполнения требований соответствия. Несколько основных принципов, касающихся конфиденциальности, которые были впервые введены Энн Кавукян, бывшим комиссаром по вопросам информации и конфиденциальности в канадской провинции Онтарио, следует учитывать при разработке и развертывании новой ИТ-инфраструктуры и систем:
• Упреждающий, а не реактивный, превентивный, а не корректирующий: В индустрии разработки программного обеспечения стоимость устранения проблемы всегда выше, чем предотвращение возникновения проблемы в первую очередь. Мы считаем, что это также может быть применено для защиты конфиденциальности. Лучшая стратегия защиты конфиденциальности при проектировании системы или ИТ-инфраструктуры заключается в том, чтобы позволить конфиденциальности управлять дизайном, а не позволять дизайну диктовать меры конфиденциальности. Когда нарушения конфиденциальности, вероятно, избежать невозможно, необходимо предпринять дальнейшие действия для устранения проблемы, что сопряжено с высокими затратами.
• Конфиденциальность как параметр по умолчанию: При проектировании или настройке систем или определении внутреннего процесса управления данными сохранение конфиденциальности должно быть параметром по умолчанию. Одним из распространенных примеров этого является выбор, предлагаемый при начале сбора персональных данных: следует ли отказаться от сбора данных или отказаться от него? Первый получает согласие физического лица перед сбором или обработкой персональных данных и позволяет ему решить, разрешать ли обработку его персональных данных. Отказ просто даёт возможность отозвать согласие после того, как персональные данные были собраны или обработаны. Метод отказа будет явным нарушением любого закона о конфиденциальности, включая GDPR и PIPL. Аналогичным образом, некоторые компании используют CRM для управления контактами клиентов, для которых обычно существует параметр, определяющий, разрешать или нет маркетинговой команде отправлять рекламные электронные письма контактам. Эту функцию следует отключить или установить в положение «запретить» по умолчанию, если только оператор не уверен, что отправка электронных писем является подходящим действием в текущих обстоятельствах.
• Конфиденциальность, заложенная в дизайн: Этот аспект может быть особенно определен для дизайна программного обеспечения или ИТ-системы, используемой для обработки личной информации. Подобно принципу проектирования «отказ приводит к безопасности», используемому для атомных электростанций третьего поколения, конфиденциальность также должна быть настолько укоренена в дизайне, чтобы система или процесс вышли из строя без функций, обеспечивающих сохранение конфиденциальности. Команда защиты конфиденциальности должна быть вовлечена с самого начала проекта для анализа требований к системе или процессу и работы с системным архитектором, инженером-программистом, разработчиком, и оперативная группа для определения требований к конфиденциальности на каждом этапе процесса.
Организационные меры контроля
Наконец, вся работа, описанная выше, должна выполняться персоналом, либо внутренними командами, либо переданными на аутсорсинг внешней команде. Наём команды по защите конфиденциальности с квалифицированным опытом в области защиты конфиденциальности, которая обычно объединяет как юридических, так и технологических экспертов, является главным приоритетом для компании при начале работы с рисками соответствия требованиям. Компании, у которых нет юридического лица в Китае, но которые предоставляют услуги или продукты людям в Китае, или обработчики данных, которые обрабатывают большие объёмы личной информации, обязаны PIPL назначить специальный персонал, отвечающий за защиту личной информации. Для малого и среднего бизнеса, у которого нет достаточных внутренних ресурсов, поиск профессионального агентства для выполнения этой роли является подходящим вариантом.
Между тем, компания должна рассмотреть возможность создания эффективных процессов для управления всей работой, связанной с защитой личной информации, с чётко определёнными и чёткими политиками, процедурами и руководящими принципами. Обучение по вопросам конфиденциальности необходимо для того, чтобы убедиться, что все сотрудники осознают важность защиты личной информации для бизнеса, клиентов, других третьих сторон и самих себя. Сотрудник также должен обладать способностью распознавать личную информацию и должен знать, какие действия следует предпринимать при обработке личной информации.
Статья «PIPL Китай: Предложения по техническому соблюдению Закона о защите личной информации», подготовлена Порталом PRC.TODAY по материалам сотрудника агентства China Briefing – Thomas Zhang.
Если вам понравилась новость или появились вопросы, оставьте ваш комментарий или обсудите эту новость на форуме.
