我是一家跨国公司的首席信息安全官. 有许多法规和法律要求保护客户和利益相关者的隐私相关数据. 作为一个受监管的实体, 我们还需要向监管机构披露一些可能导致违反隐私相关法规的信息. 我们应该做些什么来解决这个问题?
这是安全管理人员面临的一个常见的二分法. 与隐私相关的法规和法律要求保护客户的隐私相关信息和, 同时, 一些法规要求与当局共享此类信息. 遵守一项规定导致不遵守另一项规定.
许多国家尚未颁布与隐私相关的法律, 如果一个组织在这样一个地点运作, 它面临着合规性问题. 组织需要了解法规遵循的优先级. 跨国公司首先要遵守当地法律,然后才是全球法律,这是一个公认的原则. 全球法律要求遵守与隐私相关的法规, 但可能没有意识到地方当局可能要求组织提供个人隐私相关数据. 问题是,该组织能否否认提供此类信息? 它可能导致不遵守全球政策.
机构收集个人资料是为了向客户和利益相关者提供服务. 这些数据需要保护,以防止任何形式的破坏,以保护客户的信息. 这些被普遍接受的原则涵盖在大多数与隐私相关的法规中:
- 请注意-在收集资料时,应通知资料当事人
- 集合-如何从资料主体收集资料?
- 目的-资料只可作所述用途,不得作其他用途.
- 同意-未经资料当事人同意,不得披露资料.
- 安全-收集的资料应妥善保管,以免被滥用.
- 信息披露-应告知资料当事人是谁在收集他们的资料.
- 质量组织有责任维护与隐私有关的数据的质量.
- 访问-应允许资料当事人查阅其资料,并更正任何不准确的资料.
- 问责制-数据主体应有一种可用的方法来追究数据收集者不遵守本文所述原则的责任.
- 保留-许多条例订明资料主体有关私隐资料的保留限度.
对于特定的法规,可能会有更多的遵从性需求. 但是,大多数法规都以国家安全为由对遵守规定作出例外规定.
当当地政府或司法当局出于国家安全的目的要求提供与客户有关的数据时,组织可能不得不提供这些数据,从而导致不遵守组织原籍国的规定,就会发生冲突.
在这种情况下, 组织需要根据本地法规遵从性需求评估与不合规相关的风险 相对于 公司合规性要求,并制定定义此类例外的隐私政策. 在理想的情况下, 政策应规定数据主体的知情同意,并在与当局共享信息的情况下强制通知数据主体. 组织必须确保在收集与隐私相关的数据时将这些例外和策略传达给数据主体.
另一种情况可能出现在服务部门的组织,如银行, 保险公司或电子商务, 遵循一个常见的做法来分析客户. 分析客户需要收集客户行为的交易数据, 这相当于监控个人. 在这些情况下,组织必须获得数据主体的独家知情同意.
组织在与供应商共享客户数据进行处理时也需要小心. 供应商的薄弱安全实践和供应商合同中措辞不当的条款可能导致数据泄露. 在某些情况下,有必要通知数据主体和当局泄露的数据. 供应商监控和定期审核供应商可能会有所帮助.
苏尼尔问题, cisa, crisc, cism, cgeit, abci, amiib, bs 25999li, ceh, cissp, iso 27001 la, MCA, PMP
从事过IT、IT治理、信息系统审计、信息安全和IT风险管理工作吗. 他在不同行业的不同职位上有40年的经验. 目前,他是印度的一名自由顾问.