Data Compliance Overview

本文是 Data Compliance 数据合规系列文章中的第一篇.

数据合规系列文章链接

• Data Compliance Overview

• CCPA and GDPR Compliance in Data Industry

• WORM Compliance in Data Industry

Overview

在大数据行业爆发性增长的 2005 到 2015 年期间, 各种数据泄露, 数据安全的公共事件层出不穷, 有些造成了很恶劣的影响, 甚至导致企业破产. 为了防范这些问题, 各国的政府监管部门纷纷出台了各种合规要求约束企业管理用户数据的方式. 这些合规要求有些只在一个国家生效, 有些只在一个美国的州生效, 有些则是在整个欧盟地区生效.

企业为了规避合规风险 (被审计出不合规的话惩罚是相当严重的), 一般会在内部建立合规部门. 而 Data Architect 作为底层数据系统的设计者, 在确保企业数据合规的问题上起到了关键作用.

由于合规的要求非常多, 并且让不同的数据系统符合特定的合规要求的技术方法也不相同, 我们不可能在一篇文章里把所有的合规要求和技术方法都介绍一遍. 所以本文重点是介绍一些对所有的情况都适用的一些信息.

When Need To Check WORM Compliance

首先我们切换到企业股东的视角. 作为股东, 我们需要了解一下企业通常会在什么情况下会收到数据合规性审查要求, 这样才能更好的进行准备.

企业通常会在以下几种情况下收到数据合规性审查要求, 既包括定期检查, 也包括突发事件触发的审查:

1. 定期监管审查: 许多行业如金融, 医疗, 能源等都有定期的合规性审查要求. 监管机构会按照规定的时间间隔 (如每年或每季度) 对企业进行例行检查, 以确保其数据管理实践持续符合相关法规标准. 这类审查通常有明确的时间表和范围, 企业可以提前做好准备.

2. triggered by incidents or complaints: 如果发生重大数据安全事故 (如数据泄露, 黑客入侵等) 或收到客户, 员工或其他相关方的投诉, 监管机构或执法部门可能会对企业发起特别合规性审查. 这种审查往往是突发性的, 企业需要及时响应并配合调查.

3. 法规变更: 当适用于企业的数据合规性法规发生重大变化时, 监管机构可能会要求企业接受特别审查, 以确保其已经及时调整数据管理实践以符合新要求.

4. 重大业务变更: 如果企业发生重大的业务变更, 如并购, 重组, 新产品或服务的推出等, 监管机构可能会要求进行合规性审查, 以评估这些变更对数据管理的影响, 并确保持续合规.

5. 合同或协议要求: 某些商业合同或服务协议可能包含合规性审查条款. 例如, 如果企业为客户处理敏感数据, 客户可能会要求定期对企业进行合规性审查, 以确保其数据得到适当保护.

6. 自愿审查: 有些企业出于自身的风险管理或合规性目标, 可能会主动聘请第三方审计机构对其数据管理实践进行独立评估. 这种自愿审查可以帮助企业及早发现和纠正合规性问题, 提高数据治理水平.

综上所述, 数据合规性审查可以是定期的, 也可以是由特定事件或情况触发的. 企业应当建立完善的数据治理体系, 时刻准备接受审查. 同时, 企业也应当密切关注相关法规动态和行业最佳实践, 主动进行自我评估和改进, 而不是被动等待外部审查. 通过将合规性要求融入日常数据管理实践, 企业可以更高效, 更从容地应对各种审查要求.

Consequences of CCPA Non-Compliance and Real-World Examples

那么如果我们被监管部门审查出不合规, 会有什么后果呢?

举例来说, 如果一家位于加州的公司被发现不符合 California Consumer Privacy Act (CCPA) 的规定, 可能会面临以下后果:

1. 罚款: 每次违规可能被处以高达 $2,500 的罚款, 如果是故意违规, 则每次违规的罚款可能高达 $7,500. 对于大规模的数据泄露或系统性的不合规行为, 这些罚款可能会迅速累积.

2. 诉讼: 根据 CCPA, 如果因公司未能实施合理的安全措施而导致数据泄露, 消费者有权起诉公司. 成功的诉讼可能会导致每位消费者每次事件的赔偿金额为 $100 至 $750, 或者实际损失, 以较高者为准.

3. 声誉损害: 不遵守数据隐私法规可能会导致负面宣传, 削弱消费者的信任, 并可能影响公司的利润.

4. 禁令: 法院可能会发布禁令, 强制公司遵守 CCPA, 这可能会干扰业务运营, 并且实施成本高昂.

一些值得注意的 CCPA 执法行动包括:

• 2022年8月, Sephora 与加州总检察长办公室达成了一项 $1.2 百万美元的和解, 原因是被指控未披露其出售消费者的个人信息, 并且没有正确处理选择退出请求.

• 2020年, 儿童服装公司 Hanna Andersson 及其电子商务平台 Salesforce 同意支付 $400,000 美元, 以解决一项与数据泄露相™关的集体诉讼, 该诉讼指控其违反了 CCPA.

这些只是 CCPA 这一加州法案的案例, 而欧盟的 GDPR 对于大型跨国企业例如 Google, Apple 的罚单都是几千万欧元甚至上亿起.

Common Data Compliance

现在我们已经了解了数据合规对企业主的影响了. 下面我们来看看行业内有哪些常见的合规需求.

1. General Data Protection Regulation (GDPR): GDPR 是欧盟颁布的数据保护法规, 旨在加强个人数据权利. 它适用于所有处理欧盟居民个人数据的组织, 无论其位置在哪里. 关键要点包括同意, 数据最小化, 数据主体权利和数据保护官的任命.

2. The Health Insurance Portability and Accountability Act (HIPAA): HIPAA 是美国国会颁布的法案, 旨在保护患者的健康信息隐私和安全. 它适用于所有医疗保健提供者, 健康计划和医疗信息交换中心. 关键要点包括隐私规则, 安全规则和违规通知.

3. The California Consumer Privacy Act (CCPA): CCPA 是加利福尼亚州颁布的隐私法, 旨在增强消费者对其个人信息的控制权. 它适用于符合特定标准的在加利福尼亚州开展业务的公司. 关键要点包括消费者权利, 通知要求和执法条款.

4. The Sarbanes-Oxley Act (SOX): SOX 是美国国会颁布的法案, 旨在保护投资者免受公司财务不当行为的影响. 它适用于所有在美国上市的公司. 关键要点包括公司责任, 增强的财务披露和内部控制评估.

5. Payment Card Industry Data Security Standards (PCI-DSS): PCI-DSS 是由主要信用卡公司成立的安全标准委员会颁布的全球性标准, 旨在保护持卡人数据的安全. 它适用于所有处理, 存储或传输信用卡信息的组织. 关键要点包括构建和维护安全的网络, 保护持卡人数据以及定期监控和测试网络.

6. Children’s Online Privacy Protection Act (COPPA): COPPA 是美国联邦贸易委员会 (FTC) 颁布的法规, 旨在保护 13 岁以下儿童的在线隐私. 它适用于运营面向儿童的网站或在线服务的组织. 关键要点包括获得父母同意, 隐私政策披露和数据保留限制.

7. Family Educational Rights and Privacy Act (FERPA): FERPA 是美国国会颁布的法案, 旨在保护学生教育记录的隐私. 它适用于接受美国教育部资助的所有教育机构. 关键要点包括学生对教育记录的访问权, 信息披露限制和记录修改程序.

8. Gramm-Leach-Bliley Act (GLBA): GLBA 是美国国会颁布的法案, 旨在保护消费者的个人金融信息. 它适用于所有提供金融产品或服务的公司. 关键要点包括隐私通知, opt-out 选项和信息安全要求.

9. Personal Information Protection and Electronic Documents Act (PIPEDA): PIPEDA 是加拿大政府颁布的隐私法, 旨在保护个人信息的收集, 使用和披露. 它适用于加拿大的私营部门组织, 但某些省份有自己的隐私法, 可以取代 PIPEDA. 关键要点包括知情同意, 数据保护和个人访问权.

10. Brazil’s General Data Protection Law (LGPD): LGPD 是巴西政府颁布的隐私法, 旨在保护个人数据并赋予个人对其数据的更多控制权. 它适用于在巴西处理个人数据的所有组织, 无论它们位于何处. 关键要点包括合法处理, 同意要求和数据主体权利.

这些额外的合规要求, 连同之前提到的那些, 构成了全球数据隐私和安全的重要框架. 简单来说, 有些合规只在某些地域生效 (以用户数据的来源地为准, 例如数据相关的用户在欧洲就要受欧盟的合规管辖); 有些合规只在某些行业生效.

Navigating the Data Compliance Audit Process

我相信本文的读者大部分都没有亲身经历过一次监管部门的 Audit 流程. 下面我简单介绍一下当监管部门或第三方审计部门要对你的公司发起一次数据合规性检查时, 整个过程通常分为几个阶段, 每个阶段涉及不同的活动和参与者. 以下是一个典型的审查时间线:

1. 通知阶段:

   • 政府审查部门向公司发出正式的审查通知, 说明审查的目的, 范围和要求.

   • 公司的高级管理层, 包括首席执行官 (CEO), 首席合规官 (CCO) 和首席信息官 (CIO) 等, 会收到通知并开始准备应对.

2. 准备阶段:

   • 公司成立内部合规性审查工作组, 成员通常包括合规部门, IT 部门, 法律部门和业务部门的代表.

   • 工作组收集和整理所需的文档和记录, 如数据管理政策, 程序文档, 技术配置记录等.

   • 工作组可能会聘请外部法律顾问或合规性顾问, 以获得专业指导和支持.

   • IT 部门开始准备系统演示和技术审查所需的环境和数据.

3. 现场审查阶段:

   • 政府审查人员到达公司进行现场审查.

   • 审查人员与公司管理层和关键员工进行会面和访谈, 了解公司的数据管理实践.

   • 审查人员查看公司提供的文档和记录, 评估其完整性和合规性.

   • IT 人员向审查人员演示数据管理系统的功能和配置, 回答技术方面的问题.

   • 审查人员可能会抽取部分数据样本进行深入检查和分析.

4. 问题澄清和整改阶段:

   • 审查人员可能会就发现的问题或疑虑向公司提出澄清或补充材料的要求.

   • 公司工作组需要及时回应这些要求, 提供额外的文档, 解释或证据.

   • 如果审查过程中发现了合规性问题, 审查人员可能会要求公司提交整改计划.

   • 公司需要与审查人员沟通, 商定整改措施和时间表.

5. 审查报告和后续行动阶段:

   • 审查人员完成现场工作后, 会准备一份详细的审查报告, 说明审查发现和结论.

   • 报告会提交给公司管理层和相关监管机构.

   • 如果审查发现公司存在重大合规性问题, 监管机构可能会采取进一步的执法行动, 如罚款, 限制业务等.

   • 公司需要按照审查报告的建议和整改计划, 及时解决所有 identified 的合规性问题.

   • 公司的合规部门和内审部门需要对整改措施的实施进行持续监督和评估.

6. 持续合规阶段:

   • 公司应当吸取审查经验教训, 改进其数据治理和合规性管理体系.

   • 合规性应当成为公司文化和日常运营的重要组成部分, 而不仅仅是应对外部审查.

   • 公司应当定期开展内部合规性评估和培训, 确保员工了解和遵守最新的数据管理要求.

   • 公司应当与监管机构保持开放和透明的沟通, 及时报告重大变化和事件.

总的来说, 一个数据合规性审查可能会持续数周甚至数月, 涉及公司内外部的多个利益相关方. 公司需要全面动员资源, 与审查人员密切配合, 同时也要把合规性审查作为改进内部控制和提高数据治理水平的契机. 只有将合规性深入融入企业文化和运营, 才能真正实现可持续的合规.

Data Architects, Key Players in Compliance Audits

数据系统最终都是由人搭建的. 而确保搭建的数据系统满足合规需求的关键角色就是 Data Architect. 一旦管理层决定了公司的数据系统需要满足合规需求, 那么一个满足合规需求的系统架构通常由 Data Architect 来设计. 简单来说, Data Architect 需要了解合规的具体要求, 然后在设计系统架构时确保解决方案能满足每一条合规要求.

当公司被监管部门进行审计时, Data Architect 在公司内部合规审计工作组中扮演着关键角色, 需要在整个审查过程中与工作组密切配合, 提供技术专业知识和支持. 下面我们把视角切换到 Data Architect, 来了解一下在合规审查过程中要做哪些事情. 有了这个预期 Data Architect 就能提前在合规审查到来之前就做好充分准备. 以下是 Data Architect 在各个阶段的主要职责和需要提供的内容:

1. 准备阶段:

   • 参与制定数据管理政策和程序文档, 确保其符合合规性要求.

   • 提供数据架构和数据流程的详细文档, 包括数据模型, 数据字典, ETL 流程等.

   • 准备数据管理系统的技术配置文档, 如硬件规格, 软件版本, 安全设置等.

   • 协助识别和收集与合规性相关的系统日志, 审计跟踪记录等.

   • 与 IT 部门协调, 准备系统演示环境和测试数据.

2. 现场审查阶段:

   • 向审查人员介绍数据架构和数据管理系统的总体设计.

   • 演示数据管理系统的关键功能, 如数据写入, 版本控制, 保留期管理, 删除等.

   • 回答审查人员关于数据模型, 数据流程, 元数据管理等方面的问题.

   • 提供系统配置的详细说明, 证明其符合合规性要求.

   • 协助审查人员进行数据样本的提取和分析.

3. 问题澄清和整改阶段:

   • 就审查人员提出的技术问题或疑虑提供澄清和补充说明.

   • 协助准备补充的技术文档或证据材料.

   • 参与制定整改计划, 提出技术层面的解决方案和实施步骤.

   • 评估整改措施对数据架构和系统性能的影响.

4. 审查报告和后续行动阶段:

   • 审查技术部分的审查报告, 确保审查发现和结论的准确性.

   • 协助制定详细的技术整改方案, 包括所需的资源, 时间表和里程碑.

   • 监督整改措施的实施, 确保其满足合规性要求.

   • 对整改后的数据管理系统进行全面测试和验证.

   • 准备整改完成报告, 说明所有技术问题已得到解决.

5. 持续合规阶段:

   • 将合规性要求纳入数据架构设计和开发流程.

   • 定期审查和更新数据管理政策和程序, 确保其与最新的合规性要求保持一致.

   • 建立数据合规性的监控和预警机制, 及时发现和解决潜在的合规性风险.

   • 对数据管理系统进行定期的合规性自查和内部审计.

   • 为 IT 人员和业务用户提供数据合规性方面的培训和指导.

总的来说, Data Architect 需要在整个审查过程中发挥技术领导作用, 确保所提供的所有文档, 演示和说明都能够清晰, 准确地证明公司的数据管理实践符合合规性要求. Data Architect 还需要主动识别和解决技术层面的合规性问题, 并推动数据合规性要求在日常数据管理工作中的落实. 通过与合规审计工作组的密切配合, Data Architect 可以帮助公司顺利通过合规性审查, 并建立起可持续的数据合规性管理体系.

What’s Next

接下来我为每一个常见的数据合规写一篇文章, 详细介绍该合规的具体要求, 以及用几个实际案例举例说明如何设计一个满足合规的数据系统.

Reference

• IBM - What is data compliance?

• Kiteworks - Understanding Key Aspects of Data Compliance

• Paloalto - What Is Data Compliance?