各位FreeBufer新年快乐!节后首期话题讨论来啦~这一期话题和大家在工作中的个人数据隐私相关。
如果从个人角度出发,个人数据属于个人隐私的一环,大到个人简历数据,人脸、指纹等生物信息,小到网页浏览记录以及聊天记录,它们都属于个人资产,应该予以加密保护。
然而在实际的工作场景,这些数据的价值却变得微妙起来,一个看似简单的网页浏览甚至牵扯到了企业的安全运营管理,企业的安全部门有义务也有责任对其进行监管。
围绕“企业安全运营中的个人数据隐私”为话题展开讨论,作为企业的安全部门,确保企业安全稳定运作的同时,如何保护平台数据时代下每个“透明人”的隐私数据安全,相信大家都会有不同的思考。
1.过度收集企业员工的数据会损害员工且有触犯法律的风险,安全部门应该如何划定其中的界限呢? 2.拆分工作和生活场景数据是目前大企业的普遍做法,那么在实际落地时,企业安全人员有哪些值得参考的做法? 3.企业的数据脱敏、匿名、加密的做法之外,还有没有更好的办法来保证个人数据安全?
△ 本文所有ID已做匿名处理
1.过度收集企业员工的数据会损害员工且有触犯法律的风险,安全部门应该如何划定其中的界限呢?
@春风
安全没有决策权,需要判定是否合规及如何平衡满足合规与企业的需要。
@可可西里
企业在收集、使用、加工、传输员工个人数据的过程中,安全部门应当通过制度、技术等手段,依法、妥善保管,确保信息安全。
@北极之光
安全部门应该只针对必须使用的数据进行收集,收集的数据在网络传输中应该加密,在数据分析时应该脱敏,在数据存储时尽量不要使用明文。
@寒冰
从公司管理上来说,安全部门可以联合法务、合规首先要做到风险提示,并只收集合法范围内的数据,并在员工手册、保密协议、安全培训中纳入这些内容,并用日常安全宣传进行提醒。
@帝企鹅
我们不止单位过度收集我们的个人信息,还要求我们把档案放单位,还把我们的信息提供给第三方,比如携程,我觉得这违法。但是没用。
@繁星
参照个保法说明,员工有权行使自己的知情权。企业想监控信息泄露没问题,想监控更多也没问题;企业有义务和责任履行自己的告知权。新员工入职、在职员工根据政策也要定期更新、外籍员工也要注意。 注:两台电脑只是一种避免信息过度收集的手段,但无法避免工作和个人不交叉;这个和使用公司访客WiFi基本是一个道理,无法保证企业本不想收集却实际在收集个人信息,法律不会管你企业真实的想法,只关注你做了什么。
@星星之火
目前一个现状是在企业内部个人信息保护的意识不是很强烈,平时也不会有人注意到这些,因为大家可能比较信任办公环境网络,其实我们经常要填报资料传来传去,也有姓名、身份证、手机号之类的信息,大家这块觉得还没啥问题,可能是在单位内部吧,就不大注意,不止是员工,包括管理者都没有这方面较强的意识。这只是就我们公司感觉而言。 另外,多数情况下企业不会主动过度收集个人隐私数据,除非是发生不安全甚至是违法犯罪事件需要排查,这种时候那就没有隐私而言了。 个人数据的传输,安全部门只能给建议,比如文档加密发送、安全设计上匿名处理敏感数据等等,另外就是安全意识培训宣贯,让大家自己要注意,自身的隐私数据再不注意别指望公司能帮你保护多少。
2.拆分工作和生活场景数据是目前大企业的普遍做法,那么在实际落地时,企业安全人员有哪些值得参考的做法?
@寒冰
如果使用单一设备,工作和生活很难区分,往往还会造成一系列后果,最近朋友圈、公众号上都有推送,大家也看到了。所以可以从设备上进行区分,比如:我就用两台电脑。公司电脑只用于办公,注意前面的限定词“只用于”,不在办公电脑中处理任何个人事务,不安装任何个人相关应用。个人电脑用于处理个人事务,不处理任何办公事务。像微信QQ聊天、外出演讲写材料、写书、写自己的程序等都只用个人电脑处理。 另外,别省流量钱,个人电脑使用自己的热点或买张5G流量卡上网。不然分析流量还是能分析出很多内容的,安全人肯定都懂。
@可可西里
严格上来讲,需要给员工配备工作专属,工作设备上需要做好权限设置。
@夏至
我之前的公司内外网隔离就没这些烦事了,网管将这些招聘网站屏蔽好了。
@繁星
部分参考问题1的回复,可以从入职、在职、离职三个阶段着手。个人总结可以做的安全工作如下: 入职:获得员工授权,在合同中。可联合法务、合规、HR,补充,但是也需要说明补充个人信息收集的用途和范围 在职:安全意识培训和定期根据政策要求,让员工时刻知道公司即时收集,也完全是合情合法和放心的 离职:上述授权也基本说明,企业会保证员工个人信息相关部分会得到删除之类。 简言之,员工个人信息保护是“弱化版的”个人信息保护。
@星星之火
我们工作配发的计算机上只允许处理工作事宜,管理上有要求,但是执行起来还是困难,谁的微信QQ不处理些个人事务,谁的办公电脑上没有个人文件呢?要彻底解决,最好就是隔离开,比如有钱的单位就两个电脑,或者上虚拟桌面之类的。但是最终人不可控,还是要分管理吧。
3.企业的数据脱敏、匿名、加密的做法之外,还有没有更好的办法来保证个人数据安全?
@春风
劳动合同加入个人信息保护承诺,必须获取个人信息的,应由安全部门保存提供给其他部门使用,而不是由非专业的行政部门管理。
@可可西里
企业可以通过加固数据安全软硬件、建立完善的安全制度并严格执行、举办各种活动提高安全意识等方法。
@寒冰
分清使用个人数据的业务场景,员工、客户、第三方,按不同的业务流、数据流结合数据生命周期进行保护。这个内容就大了。大家企业里除了客户的隐私协议,有员工的隐私协议么?《个人信息保护法》里有要求哦。
@明月
一些企业可以把敏感信息做成二维码,内部开发一个扫二维码APP,这个难度不高,周期很短。
@繁星
可以从数据的几个阶段来阐述,如采集、存储、传输、使用、共享、销毁。也可以从防护对象来阐述,比如黑客、员工(业务人员)、运维、开发测试、供应商等。数据脱敏、匿名、加密、鉴权等只是手段方法,最终还是保证数据的机密性、完整性和有效性。
@星星之火
这些做法都挺好,工作过程中使用到的个人数据也可以用这些方法保护,成熟稳定,不过我们企业还没有做类似的,就是上了套DLP监测,阻断还没敢开,默认的个人身份证、银行卡号之类的敏感信息策略都有。
本期精彩观点到此结束啦~此外,FreeBuf会定期开展不同的精彩话题讨论