个人信息保护之TrustArc合规认证
1. 引言
2018年欧盟个人信息保护法案GDPR正式生效,也被称为个人数据保护的元年。自2018年开始,个人信息保护的话题一直热度不减,各国在数据安全和个人信息保护立法上的积极性也是空前绝后,GDPR之后,加州、印度、澳大利亚、泰国、巴西、埃及等地纷纷颁布了新的隐私法案或草案。全球范围内新推出了50个以上的隐私法规,并且有150个以上的国家或地区对现有隐私法规进行了更新或提出了补充意见。
在国内外对个人信息保护高度关注的情况下,对于一家企业,特别是跨国企业来说,同时满足不同国家不同的法律要求变得异常艰难,那如何让企业的隐私合规工作化繁为简?又如何快速知道从哪些方面着手隐私合规建设呢?为解决这些问题,企业可以参照最佳实践或隐私合规框架,来辅助企业快速着手合规建设工作。通过权威组织的认证应该是企业快速引入隐私合规框架的方式之一,本文将为大家介绍TrustArc 企业隐私与数据治理合规认证。
2. Who | 谁是TrustArc
大家可能会在某些公司的隐私政策上看到下面这个‘TRUSTe隐私认证’的图章:
这个图章的存在,代表这个企业的产品的隐私政策和隐私实践符合TRUSTe企业隐私与数据治理实践评估标准。但国内对TrustArc这家公司是比较陌生的,网上相关的资料也相对较少,那它是一家什么样的公司呢?
TrustArc,原名Truste, 是一家位于美国加州的隐私合规科技公司,主要为企业提供隐私合规相关的软件或服务,帮助企业建立和完善隐私合规的相应隐私管理流程,使其快速的符合不同的法律法规的要求。
除了企业隐私和数据治理实践认证外,TrustArc会提供不同法律法规(如GDPR、CCPA)的合规评估,包括配套的实施工具,如同意管理、用户权利、数据流梳理工具等等。此外,它也进行诸如privacy shield 的合规评估咨询工作,可以说TrustArc在隐私合规上提供了覆盖面较广的多框架、多法律法规的评估和咨询工作。
图1-TrustArc提供的GDPR实施工具
3. Why | 为什么要获得TrustArc的认证
TrustArc经过多年的隐私合规从业经验的积累,已经形成了一整套,较成熟的隐私合规评估方法论,同时其国际影响力和知名度,让更多的企业开始着手于取得这个认证。
3.1. 成熟的隐私和数据合规管理方法论
TrustArc企业隐私和数据治理合规评估框架参照了相关组织的个人信息保护框架的内容, 比如OECD、APAC、GAPP、ISO、NIST等组织发布的隐私框架, 所以在正式介绍TrustArc隐私企业隐私和数据治理合规框架之前,对几大组织提出的隐私框架,从发布时间、隐私原则等内容进行基本的介绍。
图2-各框架发布时间线
OECD Privacy framework:
经济合作与发展组织(OECD)是“致力于民主和市场经济的国家”的论坛,OECD隐私原则是1980年正式启用的《经合组织保护隐私和个人数据越境流动准则》的一部分,OECD隐私权原则与欧盟(EU)成员国的数据保护法规紧密相关,该法规实施了欧盟委员会数据保护指令(指令95/46 / EC)以及其他“欧盟风格国家隐私立法‘’,从GDPR中,也一样有OECD 框架的影子。
APEC Privacy Framework:
亚太经济合作组织(APEC)隐私框架有与其他框架重叠的部分,但是,它更侧重于因披露信息而造成的实际或潜在损害,而不是个人对其信息的权利。 OECD隐私原则在欧盟和其他政府的法律制度中得到支持,但APEC隐私框架不受法律支持。亚太经合组织隐私框架的主要支持者是一些跨国公司。
APEC隐私框架是一系列原则和实施要求,旨在促进有效的个人信息保护,避免在全球至关重要数据交换中的信息流壁垒,并确保持续的贸易和经济增长。亚太经济合作组织区域共有27个国家。
Generally Accepted Privacy Principles(GAPP)
公认的隐私原则(GAPP)是在2003年由美国注册会计师协会(AICPA)和加拿大特许会计师协会(CICA)制定,并于2006年和2009年进行了更新,与OECD隐私原则相似,此原则更侧重于实施。
企业可以通过使用GAPP设计,实施和沟通隐私政策、建立和管理隐私计划、监控和审核隐私程序、衡量绩效和标准。GAPP共包含10条原则,每条原则均以客观和可衡量的标准作为后盾,以确定组织内的隐私风险和合规性,GAPP在加拿大隐私从业者中很受欢迎。
ISO29100:ISO隐私框架
ISO29100发布的隐私框架,其中定义了与企业隐私管理相关的角色,影响隐私合规管理的因素、PII定义、隐私基本原则等内容,适用于企业在涉及到采购、设计、开发产品或服务。在收集和处理个人信息所面临的隐私风险和可以采取的风险控制措施。
ISO27701:个人信息管理体系认证
ISO27701认证通过对ISO/IEC 27001信息安全管理和ISO/IEC 27002安全控制扩展隐私相关的管理要求,为企业提供了可帮助其实施、维护和不断改进个人信息管理体系的认证框架。此认证可以协助企业证明遵守了世界各地的隐私法规,例如GDPR。框架中除了第6章在信息安全体系标准基础上增加了对个人信息的安全附加要求外,也分别在第7、8章对数据控制者、数据处理者提出了额外的指导内容,知道内容中延续了ISO29100中的隐私原则逐一展开。
NIST Privacy Framework:
NIST(美国国家标准与技术研究院)提出了基于企业风险评估导向的隐私评估框架,帮助组织识别和管理隐私风险,以开发创新产品和服务的同时保护好个人隐私。此框架是NIST Cyber Security framework的扩充,是帮助企业通过风险管理提高个人信息保护能力的工具。
