免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

和任何咨詢(xún)項(xiàng)目一樣，企業(yè)在決定進(jìn)行GDPR數(shù)據(jù)保護(hù)合規(guī)項(xiàng)目之前要明確好項(xiàng)目的范圍、目的，以達(dá)到最好的收入產(chǎn)出比。

除了對(duì)管理體系、公司制度的全面評(píng)估和建設(shè)，在業(yè)務(wù)執(zhí)行層面，通常會(huì)選擇一個(gè)或若干個(gè)代表性的產(chǎn)品或業(yè)務(wù)線來(lái)進(jìn)行數(shù)據(jù)保護(hù)的評(píng)估與實(shí)施，形成相應(yīng)的流程、體系和工具，并加以驗(yàn)證，然后再在全公司內(nèi)推行和持續(xù)改進(jìn)。

GDPR的管轄范圍由兩個(gè)原則決定：屬地原則和屬人原則，所以全球很多企業(yè)、組織受到影響。

但并非凡是接觸到了一點(diǎn)歐盟人士的個(gè)人數(shù)據(jù)就要完全遵守GDPR，更不必因噎廢食而放棄歐盟的業(yè)務(wù)。各個(gè)企業(yè)、組織還是要根據(jù)自身業(yè)務(wù)的性質(zhì)和范圍來(lái)確定是否受GDPR的約束，以及具體如何滿足。

除了GDPR，世界各國(guó)也紛紛出臺(tái)了自己的個(gè)人數(shù)據(jù)保護(hù)的法律、規(guī)范。我國(guó)的個(gè)人信息保護(hù)法也在起草中。所以，個(gè)人數(shù)據(jù)保護(hù)的工作是遲早要做的。特別是對(duì)于有跨國(guó)業(yè)務(wù)和跨國(guó)數(shù)據(jù)傳輸?shù)钠髽I(yè)，更要隨時(shí)關(guān)注相關(guān)國(guó)家的法規(guī)的更新，并要處理好國(guó)內(nèi)國(guó)外法規(guī)中的細(xì)微不同。

對(duì)于數(shù)據(jù)保護(hù)合規(guī)，容易有兩種誤解：一種是認(rèn)為這是法務(wù)部門(mén)的事，請(qǐng)律師修改一下隱私條款，更新一下各種合同，把法律責(zé)任撇清就可以了；另一種是認(rèn)為這是IT部門(mén)的事，把信息安全做好，防止數(shù)據(jù)泄露就可以了。

實(shí)際上，數(shù)據(jù)保護(hù)和企業(yè)風(fēng)險(xiǎn)管理一樣，是自上而下的各層面的人員都要關(guān)注和參與的工作。特別是業(yè)務(wù)設(shè)計(jì)和運(yùn)營(yíng)部門(mén)，在規(guī)劃業(yè)務(wù)活動(dòng)的時(shí)候，就要考慮到個(gè)人數(shù)據(jù)的收集、處理過(guò)程中的風(fēng)險(xiǎn)以及保護(hù)措施。

通常，個(gè)人數(shù)據(jù)保護(hù)咨詢(xún)項(xiàng)目要達(dá)到的目的是在組織內(nèi)自上而下地建立起完整的個(gè)人數(shù)據(jù)保護(hù)體系，包括：組織架構(gòu)、管理體系和流程、人員、技術(shù)工具等。

實(shí)施個(gè)人數(shù)據(jù)保護(hù)項(xiàng)目不但能滿足以上的目的，通常還能通過(guò)項(xiàng)目過(guò)程來(lái)優(yōu)化資源，通過(guò)對(duì)數(shù)據(jù)生命周期的梳理以?xún)?yōu)化產(chǎn)品的生命周期，通過(guò)對(duì)數(shù)據(jù)的盤(pán)點(diǎn)和結(jié)構(gòu)優(yōu)化來(lái)促進(jìn)數(shù)據(jù)的使用以及價(jià)值挖掘。

在項(xiàng)目實(shí)踐過(guò)程中，筆者歸納出了六個(gè)“七”。通過(guò)對(duì)這六個(gè)“七”的理解，把GDPR中的抽像的法律權(quán)利與義務(wù)層層具化為我們的工作任務(wù)和行動(dòng)步驟。

GDPR中對(duì)自然人的數(shù)據(jù)權(quán)利進(jìn)行了全面的定義，這也是我們進(jìn)行個(gè)人數(shù)據(jù)保護(hù)的所有努力與付出的核心和最終目標(biāo)。

特別要補(bǔ)充一點(diǎn)的是，個(gè)人數(shù)據(jù)權(quán)利不但是企業(yè)的外部客戶(hù)、用戶(hù)所擁有的，企業(yè)內(nèi)部員工、第三方外包人員等也擁有同等的數(shù)據(jù)權(quán)利，所以企業(yè)在考慮外部個(gè)人數(shù)據(jù)保護(hù)的同時(shí)，也要記得審查內(nèi)部的招聘、員工管理、外包人員管理等流程，這既是對(duì)員工的保護(hù)，也是對(duì)內(nèi)部風(fēng)險(xiǎn)的防范措施。

GDPR中針對(duì)如何保障前述的個(gè)人數(shù)據(jù)權(quán)利給出了七個(gè)數(shù)據(jù)處理原則，其中最后一項(xiàng)是針對(duì)于數(shù)據(jù)控制者的“問(wèn)責(zé)制”原則，即數(shù)據(jù)控制者應(yīng)能拿出確鑿的證據(jù)來(lái)證明自己的數(shù)據(jù)保護(hù)工作的有效實(shí)施。這一點(diǎn)對(duì)各個(gè)企業(yè)尤其重要，特別是當(dāng)企業(yè)面對(duì)監(jiān)管機(jī)構(gòu)的質(zhì)疑、用戶(hù)和律師的訴訟時(shí)。

GDPR中還明確了組織和企業(yè)要實(shí)施“by design and by default”的數(shù)據(jù)保護(hù)措施。我們可以理解為個(gè)人數(shù)據(jù)保護(hù)是“始于設(shè)計(jì)，貫穿整個(gè)數(shù)據(jù)生命周期的任務(wù)，并且是不言而喻的，自覺(jué)自發(fā)的”。具體可以細(xì)化為這七個(gè)實(shí)施原則。

企業(yè)在評(píng)估自身的數(shù)據(jù)保護(hù)工作的有效性時(shí)，可以檢查這七個(gè)方面的工作是否能落實(shí)到位，確保這幾點(diǎn)工作的到位能很大程度上避免違規(guī)的產(chǎn)生。

當(dāng)然，這幾點(diǎn)只是數(shù)據(jù)保護(hù)體系的最終體現(xiàn)結(jié)果中的一部分。要想全面評(píng)估和提升數(shù)據(jù)保護(hù)工作，還要做更多的考查與工作。

前邊的幾個(gè)七，都是幫助企業(yè)明確數(shù)據(jù)保護(hù)的目標(biāo)和需求，發(fā)現(xiàn)不足和問(wèn)題。進(jìn)入實(shí)施環(huán)節(jié)后，就有很多具體工作要由各個(gè)部門(mén)來(lái)承接，包括法務(wù)、內(nèi)控、產(chǎn)品/業(yè)務(wù)、IT、人力資源、客服，以及外部供應(yīng)商和合作伙伴，需要把數(shù)據(jù)保護(hù)工作作為一項(xiàng)長(zhǎng)期的項(xiàng)目組來(lái)進(jìn)行規(guī)劃和實(shí)施，指派專(zhuān)業(yè)的人員和資源，調(diào)動(dòng)各種相關(guān)的力量。這需要高管層的支持和關(guān)注，以及管理層、執(zhí)行層面的各級(jí)人員的參與。

數(shù)據(jù)保護(hù)合規(guī)咨詢(xún)項(xiàng)目的總體過(guò)程與其它風(fēng)險(xiǎn)管理類(lèi)的合規(guī)項(xiàng)目類(lèi)似，但又有其特別之處。它既有管理層面的制度、流程建設(shè)，又有執(zhí)行操作層面的對(duì)業(yè)務(wù)場(chǎng)景的具體的分解和梳理；既有內(nèi)控角度的評(píng)估完善過(guò)程，又有操作風(fēng)險(xiǎn)和產(chǎn)品質(zhì)量層面的控制和分析；特別是要形成企業(yè)內(nèi)的數(shù)據(jù)目錄（數(shù)據(jù)倉(cāng)庫(kù)），以便企業(yè)隨時(shí)了解其處理的個(gè)人數(shù)據(jù)的情況。

在咨詢(xún)項(xiàng)目過(guò)程中，外部咨詢(xún)顧問(wèn)會(huì)幫助企業(yè)完成前6步的工作，并在項(xiàng)目后期完成知識(shí)的轉(zhuǎn)移，最終企業(yè)要通過(guò)自身的消化和運(yùn)作機(jī)制把項(xiàng)目中的成果推廣持續(xù)下去。

在本項(xiàng)目中，我們與客戶(hù)的12個(gè)部門(mén)（團(tuán)隊(duì)）進(jìn)行了多輪訪談、問(wèn)卷填寫(xiě)、資料收集查閱等，涉及了客戶(hù)內(nèi)部幾乎所有的部門(mén)。

由于客戶(hù)的現(xiàn)有產(chǎn)品數(shù)量較多，我們與客戶(hù)協(xié)商后選取了其中一個(gè)產(chǎn)品線進(jìn)行深入的業(yè)務(wù)調(diào)研和分析。

在調(diào)研的基礎(chǔ)上，我們參照GDPR中的要求，并參考我國(guó)的《個(gè)人信息保護(hù)規(guī)范》，識(shí)別出客戶(hù)的產(chǎn)品流程中的數(shù)據(jù)風(fēng)險(xiǎn)，以及數(shù)據(jù)保護(hù)過(guò)程中的不足，并將這些問(wèn)題進(jìn)行分類(lèi)分級(jí)，分別提出處置或改進(jìn)的方案。并幫助客戶(hù)制定改進(jìn)行動(dòng)計(jì)劃，明確改進(jìn)的目標(biāo)和標(biāo)準(zhǔn)。

特別是在分析階段中，結(jié)合客戶(hù)產(chǎn)品屬性和特點(diǎn)，進(jìn)行了數(shù)據(jù)目錄的模板設(shè)計(jì)，將試點(diǎn)產(chǎn)品中涉及的個(gè)人數(shù)據(jù)的類(lèi)型、詳細(xì)字段，以及收集的目的、來(lái)源、處理活動(dòng)、數(shù)據(jù)流和傳輸?shù)冗M(jìn)行整理，并記錄在數(shù)據(jù)目錄中，并在此基礎(chǔ)之上進(jìn)行DPIA（數(shù)據(jù)保護(hù)影響評(píng)估），以發(fā)現(xiàn)數(shù)據(jù)處理中的風(fēng)險(xiǎn)。

為了使數(shù)據(jù)保護(hù)工作在公司內(nèi)部進(jìn)行固化，項(xiàng)目中還要完善相關(guān)的公司制度、管理辦法、職位設(shè)置和考核標(biāo)準(zhǔn)，并結(jié)合現(xiàn)有的產(chǎn)品生命周期管理流程，將數(shù)據(jù)保護(hù)的工作內(nèi)容和檢查點(diǎn)融入其中，以形成by design and by default的數(shù)據(jù)保護(hù)。

并且，根據(jù)試點(diǎn)產(chǎn)品的反饋，對(duì)數(shù)據(jù)目錄和DPIA模型進(jìn)行優(yōu)化，以便適用于公司的其它產(chǎn)品和業(yè)務(wù)。

結(jié)合公司現(xiàn)有各部門(mén)的職責(zé)劃分和應(yīng)急機(jī)制，制定數(shù)據(jù)泄露的處置流程，特別是在關(guān)鍵時(shí)間點(diǎn)、數(shù)據(jù)泄露的評(píng)估、及溝通內(nèi)容上進(jìn)行明確定義，以保證客戶(hù)一旦發(fā)生嚴(yán)重的數(shù)據(jù)泄露事件，能滿足GDPR中對(duì)數(shù)據(jù)泄露的通知時(shí)間和內(nèi)容的要求。

由于該客戶(hù)目前沒(méi)有達(dá)到GDPR中的必須設(shè)置DPO(數(shù)據(jù)保護(hù)官）的要求，也受現(xiàn)在組織架構(gòu)和人力資源的限制，我們?cè)谛╉?xiàng)目中沒(méi)有建議客戶(hù)設(shè)置DPO這一職位，但DPO的相關(guān)職責(zé)仍要有具體的崗位和人員來(lái)承擔(dān)。因?yàn)槲覀儗PO的職責(zé)與現(xiàn)有崗位設(shè)置進(jìn)行優(yōu)化組合，同時(shí)建議客戶(hù)在歐洲和美國(guó)市場(chǎng)聘請(qǐng)當(dāng)?shù)氐穆蓭熥鳛槠浞纱?，以?duì)接當(dāng)?shù)氐谋O(jiān)管機(jī)構(gòu)，并可隨時(shí)應(yīng)對(duì)有可能的相關(guān)訴訟案件。