为新的数据隐私法做好准备

信用卡号码、医疗记录和银行账户详细信息——这些类型的个人信息经常被泄露，以至于数据泄露的新闻不再新鲜。从电子邮件供应商和主要零售商到银行和政府机构，几乎每一种类型的组织都存在这种情况。

这些入侵事件的规模之大，让企业承担的责任不仅仅是改善数据保护。公众和监管机构希望全面披露，他们希望在企业意识到事件后尽快披露。三条新的隐私规则将考验他们的能力:

1. 欧洲联盟(欧盟)一般资料保障规例(GDPR):当局必须在数据被泄露的72小时内收到通知，除非数据得到充分保护，否则组织必须通知个人。
2. 中国网络安全法律：如果数据泄露或个人数据丢失，必须立即通知用户和当局。
3. 纽约州网络安全法律：如果发生任何数据泄露，当局也必须在72小时内得到通知，但纽约州规定，那些影响政府监管机构或有合理可能性对该组织造成实质性损害的数据泄露。

”除了更快的通知，新法律还要求组织提供数据泄露应对计划”

跟上不断变化的数据隐私监管格局一直是一项挑战，但在2018年，这可能会特别困难。这是由于很少有组织有符合所有三项新规定的措施。为了做好准备，他们应该集中精力在以下三个方面。

违反通知

除了更快的通知，新法律还要求组织提供数据泄露应对计划。欧盟和中国要求通报包括为解决信息泄露问题所采取措施的细节。纽约州法律专门针对金融服务行业，要求机构从一开始就制定书面应对计划。

• 测试数据泄露响应计划。每年至少这样做一次是很重要的。这是知道它们是否有效的唯一方法。进行包括所有关键参与者的大规模演习，以及只有首席隐私主管和首席信息安全官的小规模季度测试。后者将加快反应速度。
• 知道关键问题的答案。当点位人员不可用时，谁是后备人员?是否有足够的资源?另外一个关键是要知道执行响应计划的手段是否存在并且功能是否充分，例如打印通知或设置热线。

了解更多:法律和合规领导者在数据保护中的作用

第三方风险

管理第三方风险对组织来说是一个重大挑战。风险分散在整个企业;平均每个组织与5000个不同的供应商合作。这使得确定数据的所有权变得极其困难。2015年，供应商对近一半的数据泄露负有责任，因此，组织必须能够识别和理解潜在的漏洞。

• 促进跨部门合作。协作提供了对组织的供应商的更清晰、更全面的看法，这些供应商构成了最大的风险及其组织目的。例如，那些从事采购的人应该与他们的同行在隐私方面合作，创建一个识别高风险供应商的矩阵。
• 将隐私风险纳入审查过程．包括有时被忽视的小型供应商。它们可能是高风险的，因为它们在网络安全和员工培训上花费的时间和金钱较少。法律和合规可能还需要更新供应商合同，并确保新的合同反映了新的隐私法的要求。

治理

治理是这三项新法规的关键组成部分。每一项都要求组织指定一个人或一组人对规则的变化负责。

• 数据保护主任。根据GDPR，在大多数情况下，某些组织必须雇佣或任命DPO。欧盟强烈建议所有组织任命DPO或首席隐私官，即使他们没有被要求这样做。该角色确保整个企业的信息被正确地收集、使用和处理。
• 首席资讯保安官。纽约要求在其规则下的公司任命一位首席信息官。中国也有类似的规定，要求组织设立“专门的安全管理机构和负责安全管理的人员”。