《PIPL數據安全合規白皮書》發佈,全面瞭解數據雲+分析雲安全合規方案

「PIPL的出臺不僅改寫了消費者營銷和商業零售的現有模式,也成爲了未來面向消費者的數據驅動商業的基石框架。」

《中華人民共和國個人信息保護法》,簡稱「個保法」或「PIPL」(Personal Information Protection Law),是我國第一部個人信息保護方面的專門法律。

2021年8月20日,個保法在中華人民共和國第十三屆全國人民代表大會常務委員會第三十次會議上通過,並於同年11月1日起正式施行。

個保法的出臺,標誌着我國數據合規的法律架構已初步搭建完成。

從無到有,從框架到落地,從混沌到清晰,這一年,我們見證了數字營銷模式的變革,見證了鉅額罰款、「靴子落地」,也見證了商業對「合規增長」的不斷探索。

作爲數據科技領域的先行實踐者,StartDT Research Center(StartDT數據科技集團下屬研究中心,原奇點研究院)將持續一年多的觀察、研究與經過多年實踐驗證的成熟方案寫入了這本《PIPL數據安全合規白皮書》,希望能爲企業提供參考。

↑掃碼下載

前提:

爲保障自然人權利、合理合規使用數據而生

梳理個人信息保護法律法規的迭代及國家落地動作後,我們有以下發現:

首先,國家把個人數據視爲重要的戰略資產,要求企業從法律意義上關注自然人的尊嚴與權利,同時從國家安全和數據主權的視角確立了未來的法律保護框架,這在數據出境等相關規定中體現尤爲明顯;

個人信息保護法律法規持續迭代

下載《PIPL數據安全白皮書》查收清晰大圖

此外,在「保護個人信息權益」的同時,PIPL對「個人信息處理活動」也做出了規範,將有利於推動個人信息在安全框架內被合理使用——與過去數據防泄漏、防丟失視角的安全框架有較大差異,在愈加完善的法律框架之下,數據更好地分享和使用方纔成爲可能。

下鑽:

當PIPL進入企業,數據安全合規要注意什麼?

拆解PIPL中的企業合規義務,可以大致分爲三個階段,每個階段有其重點場景:

· 數據採集階段:遵循最小必要原則,並保障用戶「明確可感知的拒絕權」;

· 數據儲存階段:要求從技術層面、管理制度、組織培訓、應急演習及服務商合同約定等多層面,建立並落實完善的個人信息保護措施;

· 數據加工階段:特別需要關注的場景包括「大數據殺熟」(不得在交易價格等交易條件上實行不合理的差別對待)、「營銷拒絕權」、「自動化決策拒絕權」,同時,應對合作方、數據處理分析的受託方進行監督與管理。

而當企業帶着PIPL的視角,深入其更具體的經營業務,企業究竟需要在意什麼、實現什麼?

從企業數據全生命週期來看,包括但不限於:

1. 事前:平臺能合規收集用戶的哪些數據?不同來源數據的交叉合併和分級分類如何處理?

2. 事中:消費者的授權產生變化時,如何處理?出境數據如何處理,系統能否對數據進行功能性的自動篩選(例如指紋、面部信息等)?如何保證數據處理和分享的流程足夠安全?

3. 事後:如何確認數據得到了刪除、銷燬等合規處理?一旦風險發生,如何以最小代價、最快速度來處理問題數據,例如,如何將風險數據最小限度地剝離開來?當收到用戶申請刪除其信息時,系統又能否自動處理,並將處理記錄返回給品牌以便證實?

也就是說,爲滿足PIPL等數據安全法律法規的合規要求,企業需要做到「事前有指引」、「事中有管控」、「事後有跟蹤」,在其背後,包含着對管理、技術和基礎設施的要求。

方案:

產品+服務,StartDT保障全鏈路、全生命週期的數據安全合規

作爲獨立第三方數據科技集團,StartDT提供完善的PIPL數據安全合規方案,包括諮詢服務、合規產品及制度規程等。

StartDT「數據雲+分析雲」合規控制

下載《PIPL數據安全白皮書》查收清晰大圖

在產品方面,數據雲通過DataBlack爲企業提供全生命週期數據安全保障,GrowingIO分析雲產品在PIPL/GDPR對個人信息處理原則、個人信息處理者的義務、個人權利、個人信息跨境提供的規則等方面已實現全面合規。

實踐:

GrowingIO在數據全生命週期中如何確保全面合規?

在實際應用過程中,根據數據所處生命週期不同,GrowingIO相關產品也有不同處理方式保障全面合規。

GrowingIO企業管理後臺可進行角色權限配置

下載《PIPL數據安全白皮書》瞭解更多

· 數據採集階段:GrowingIO嚴格遵守法律法規,同時遵循「最小權限」原則,只採集 GrowingIO服務所依賴的必要數據,只請求獲取必要數據所需要的系統權限。

· 數據傳輸階段:GrowingIO數據分析產品在傳輸數據過程時使用「傳輸鏈路加密(HTTPS)」和「傳輸數據壓縮並加密」兩種方式保障數據傳輸的安全。

· 數據存儲階段:GrowingIO數據分析產品會在服務器上存儲客戶自行埋點的埋點數據,同時會通過「使用 KMS 管理數據訪問憑證」、「解密權限角色控制」等手段對數據做加密及訪問控制,實現數據安全的可管可控。

· 數據刪除階段:按照相關法律法規的要求,GrowingIO爲企業客戶提供了用戶數據退出機制。

從法律法規要求,到諮詢與產品實現,我們將更多詳實、可落地的方法寫入了《PIPL數據安全合規白皮書》,希望能爲企業實踐提供幫助。

2022.11.1 個保法施行一週年之際

《PIPL數據安全合規白皮書》正式發佈,掃碼下載↑

創立於2015年,GrowingIO是國內領先的一站式數據增長引擎方案服務商,屬StartDT數據科技集團旗下品牌。以數據智能分析爲核心,GrowingIO通過構建客戶數據平臺,打造增長營銷閉環,幫助企業提升數據驅動能力,賦能商業決策、實現業務增長。

GrowingIO專注於零售、電商、保險、酒旅航司、教育、內容社區等行業,成立以來,累計服務超過1500家企業級客戶,獲得LVMH集團、百事、達能、老佛爺百貨、戴爾、lululemon、美素佳兒、宜家、樂高、美的、海爾、安踏、漢光百貨、中原地產、上汽集團、廣汽蔚來、理想汽車、招商仁和人壽、飛鶴、紅星美凱龍、東方航空、滴滴、新東方、喜茶、每日優鮮、奈雪的茶、永輝超市等客戶的青睞。

下載《PILP數據安全合規白皮書》