谢永志-隐私保护实践（13页）.pdf

1、1健合集团 -谢永志 Aaron2020年9月3个人介绍及公司介绍谢永志 Aaron Xie健合集团-全球信息安全高级经理,Group DPO2001年开始从事信息安全相关工作，先后在国家测评中心，公安网监，银行等企业负责信息安全、内部审计、企业风险管理、内部控制等工作。拥有丰富的信息安全管理体系建设、信息技术架构设计与评估、企业风险管理、个人信息保护的实践经验。4隐私保护立法全球格局DATA PROTECTION LAWS OF THE WORLD主要参考的法规及标准中国中国网络安全法個人資料(私隱)條例App违法违规收集使用个人信息行为认定方法GB/T 35273:2020 信息安全技术

2、个人信息安全规范中华人民共和国数据安全法(草案)信息安全技术 出入境安全评估指南（征求意见稿）信息安全技术 个人信息去标识化指南（征求意见稿）信息安全技术 个人信息安全影响评估指南（征求意见稿）欧洲GDPR-Grenarel Data Protection ReguraltionARTICLE 29 Guidelines on Data Protection Impact Assessment(DPIA)澳洲Privacy Act-澳洲Ext.Australiancyber-security-strategy-2020美国 CCPA-美国加州印度2019个人数据保护法案国际 ISO/IEC 2

3、7701:2019 隐私信息管理要求与指南ISO/IEC 29151:2017 个人身份信息保护实践指南等https:/ 2020 DLA Piper.5隐私保护实践核心框架6隐私保护及合规-组织架构DPO定义与任命（集团DPO）隐私管理小组（CEO+DPO+风险总监+法务总监+CIO+信息安全部）制定和发布隐私保护体系 进行隐私体系宣传和落地推行 提供隐私咨询 进行隐私合规检查隐私专员（地区PO）跟踪各地区隐私相关项目并向隐私管理小组汇报 协助隐私管理小组进行隐私宣传和落地 协助隐私小组进行检查并督促改善集团法务的职责 协助起草相关Privacy Policy及法律文件 协调当地监管机构，获

4、得特殊时期隐私政策资料（如有）集团IT的职责 执行隐私保护的技术实现，做到Privacy By Default&Design业务部门的职责 隐私保护的第一责任人（部门最高管理者），风险管理第一道防线 及时获得隐私管理小组的项目或业务流程隐私咨询并按要求改善Group DPO隐私专员业务部门业务部门集团法务集团IT隐私专员隐私管理小组Group CEO7隐私保护及合规管理体系核心政策与流程集团个人信息保护基线风险评估及PIA流程Data Breach 流程主要工具 隐私政策模板（员工、消费者）及检查表 Info Security&Privacy Screening Data Inventory

5、Personal Data Handle Question List Transfer Agreement Outsourcing Agreement职责定义隐私保护原则隐私管理关键流程隐私权政策选择和同意收集使用、保留和处置访问第三方披露安全Data Breach8隐私保护及合规隐私意识教育 培训教育 年度隐私合规专项培训（HR、IT、市场、营销、研发、财务、采购.）隐私合规融入全员入职培训 第三方人员的隐私保护培训 内容包含：隐私海报 安全意识Email 隐私合规事件演练 融入企业文化 隐私合规融入员工行为规范 隐私合规融入奖惩管理办法9隐私保护及合规融入业务流程关键点：关键行动建立渠道获

6、取涉及到个人数据的相关业务流程 利用信息安全管理体系中各部门的“信息安全管理员”建立业务流程变更信息获取渠道进行Data Inventory的梳理并识别风险新业务流程的隐私评估（PIA）修正业务制度及SOP-年度隐私合规融入绩效考核（行为能力绩效）Privacy By DefaultPrivacy By Design（PbD）10隐私保护及合规融入项目管理关键点：写入相关管理制度或流程，尽早的参加到项目中。建立项目信息获取渠道：PMO；采购部门；法务部门。项目管理全过程进行管控：需求调研、供应商选择、项目方案、方案