FreeBuf甲方群话题讨论|聊聊企业安全运营中的个人数据隐私

各位FreeBufer新年快乐！节后首期话题讨论来啦~这一期话题和大家在工作中的个人数据隐私相关。

如果从个人角度出发，个人数据属于个人隐私的一环，大到个人简历数据，人脸、指纹等生物信息，小到网页浏览记录以及聊天记录，它们都属于个人资产，应该予以加密保护。

然而在实际的工作场景，这些数据的价值却变得微妙起来，一个看似简单的网页浏览甚至牵扯到了企业的安全运营管理，企业的安全部门有义务也有责任对其进行监管。

围绕“企业安全运营中的个人数据隐私”为话题展开讨论，作为企业的安全部门，确保企业安全稳定运作的同时，如何保护..数据时代下每个“透明人”的隐私数据安全，相信大家都会有不同的思考。

1.过度收集企业员工的数据会损害员工且有触犯法律的风险，安全部门应该如何划定其中的界限呢？

2.拆分工作和生活场景数据是目前大企业的普遍做法，那么在实际落地时，企业安全人员有哪些值得参考的做法？

3.企业的数据脱敏、匿名、加密的做法之外，还有没有更好的办法来保证个人数据安全？

△ 本文所有ID已做匿名处理

1.过度收集企业员工的数据会损害员工且有触犯法律的风险，安全部门应该如何划定其中的界限呢？

@春风

安全没有决策权，需要判定是否合规及如何平衡满足合规与企业的需要。

@可可西里

企业在收集、使用、加工、传输员工个人数据的过程中，安全部门应当通过制度、技术等手段，依法、妥善保管，确保信息安全。

@北极之光

安全部门应该只针对必须使用的数据进行收集，收集的数据在网络传输中应该加密，在数据分析时应该脱敏，在数据存储时尽量不要使用明文。

@寒冰

从公司管理上来说，安全部门可以联合法务、合规首先要做到风险提示，并只收集合法范围内的数据，并在员工手册、保密协议、安全..中纳入这些内容，并用日常安全宣传进行提醒。

@帝企鹅

我们不止单位过度收集我们的个人信息，还要求我们把档案放单位，还把我们的信息提供给第三方，比如携程，我觉得这违法。但是没用。

@繁星

参照个保法说明，员工有权行使自己的知情权。企业想监控信息泄露没问题，想监控更多也没问题；企业有义务和责任履行自己的告知权。新员工入职、在职员工根据政策也要定期更新、外籍员工也要注意。

注：两台电脑只是一种避免信息过度收集的手段，但无法避免工作和个人不交叉；这个和使用公司访客WiFi基本是一个道理，无法保证企业本不想收集却实际在收集个人信息，法律不会管你企业真实的想法，只关注你做了什么。

@星星之火

目前一个现状是在企业内部个人信息保护的意识不是很强烈，平时也不会有人注意到这些，因为大家可能比较信任办公环境网络，其实我们经常要填报资料传来传去，也有姓名、身份证、手机号之类的信息，大家这块觉得还没啥问题，可能是在单位内部吧，就不大注意，不止是员工，包括管理者都没有这方面较强的意识。这只是就我们公司感觉而言。

另外，多数情况下企业不会主动过度收集个人隐私数据，除非是发生不安全甚至是违法犯罪事件需要排查，这种时候那就没有隐私而言了。

个人数据的传输，安全部门只能给建议，比如文档加密发送、安全设计上匿名处理敏感数据等等，另外就是安全意识..宣贯，让大家自己要注意，自身的隐私数据再不注意别指望公司能帮你保护多少。

2.拆分工作和生活场景数据是目前大企业的普遍做法，那么在实际落地时，企业安全人员有哪些值得参考的做法？

@寒冰

如果使用单一设备，工作和生活很难区分，往往还会造成一系列后果，最近朋友圈、公众号上都有推送，大家也看到了。所以可以从设备上进行区分，比如：我就用两台电脑。公司电脑只用于办公，注意前面的限定词“只用于”，不在办公电脑中处理任何个人事务，不安装任何个人相关应用。个人电脑用于处理个人事务，不处理任何办公事务。像微信QQ聊天、外出演讲写材料、写书、写自己的程序等都只用个人电脑处理。

另外，别省流量钱，个人电脑使用自己的热点或买张5G流量卡上网。不然分析流量还是能分析出很多内容的，安全人肯定都懂。

@可可西里

严格上来讲，需要给员工配备工作专属，工作设备上需要做好权限设置。

@夏至

我之前的公司内外网隔离就没这些烦事了，网管将这些招聘网站屏蔽好了。

@繁星

部分参考问题1的回复，可以从入职、在职、离职三个阶段着手。个人总结可以做的安全工作如下：

入职：获得员工授权，在合同中。可联合法务、合规、HR，补充，但是也需要说明补充个人信息收集的用途和范围

在职：安全意识..和定期根据政策要求，让员工时刻知道公司即时收集，也完全是合情合法和放心的

离职：上述授权也基本说明，企业会保证员工个人信息相关部分会得到删除之类。

简言之，员工个人信息保护是“弱化版的”个人信息保护。

@星星之火

我们工作配发的计算机上只允许处理工作事宜，管理上有要求，但是执行起来还是困难，谁的微信QQ不处理些个人事务，谁的办公电脑上没有个人文件呢？要彻底解决，最好就是隔离开，比如有钱的单位就两个电脑，或者上虚拟桌面之类的。但是最终人不可控，还是要分管理吧。

3.企业的数据脱敏、匿名、加密的做法之外，还有没有更好的办法来保证个人数据安全？

@春风

劳动合同加入个人信息保护承诺，必须获取个人信息的，应由安全部门保存提供给其他部门使用，而不是由非专业的行政部门管理。

@可可西里

企业可以通过加固数据安全软硬件、建立完善的安全制度并严格执行、举办各种活动提高安全意识等方法。

@寒冰

分清使用个人数据的业务场景，员工、客户、第三方，按不同的业务流、数据流结合数据生命周期进行保护。这个内容就大了。大家企业里除了客户的隐私协议，有员工的隐私协议么？《个人信息保护法》里有要求哦。

@明月

一些企业可以把敏感信息做成..，内部开发一个扫..APP，这个难度不高，周期很短。

@繁星

可以从数据的几个阶段来阐述，如采集、存储、传输、使用、共享、销毁。也可以从防护对象来阐述，比如黑客、员工（业务人员）、运维、开发测试、供应商等。数据脱敏、匿名、加密、鉴权等只是手段方法，最终还是保证数据的机密性、完整性和有效性。

@星星之火

这些做法都挺好，工作过程中使用到的个人数据也可以用这些方法保护，成熟稳定，不过我们企业还没有做类似的，就是上了套DLP监测，阻断还没敢开，默认的个人身份证、银行卡号之类的敏感信息策略都有。

本期精彩观点到此结束啦~此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码申请加入FreeBuf甲方群，小助手周周送..，获取最新行业秘籍，还不赶快行动？

审核流程

扫码申请-后台审核（2-5个工作日）-邮件通知-加入会员俱乐部

如有疑问，也可扫码添加小助手微信哦！

精彩推荐