案例分析

大数据时代下,如何加强银行个人数据保护盾

行业: 金融

我们的角色: 评估业务合规风险并提供数据保护的整改方案

服务: 网络安全,数据安全,个人信息,合规风险,GDPR

国家: 中国

客户面临的挑战:

我们的客户为用户提供全球化的、面向个人的金融服务,特别是在欧盟地区也设立有数家分支行机构,有许多业务和系统中存在处理客户个人信息、跨境数据传输的场景。随着2018年GDPR《通用数据保护条例》的执行,大量企业面临或已经受到了监管机构的处罚。 一方面,金融机构业务复杂,系统众多。在多年业务运营中,业务——系统——数据之间的关联关系错综复杂,客户很难掌握个人信息在业务和系统中实际流转的情况。另一方面,鉴于监管强度日趋严格,客户急需评估自身业务的合规风险并采取相应的整改方案。

我们的解决方案:

定义个人信息并厘清个人信息全生命周期在业务和系统中的流转,是评估风险、制定整改方案的关键,而金融机构业务和系统的复杂性为我们带来了很大挑战。 通过与客户的充分沟通,项目组从两个方面开展梳理工作。一方面是从业务部门入手,全面梳理当前业务流程,明确涉及个人数据的业务场景,并细化业务流中个人数据的处理情况,并从业务的视角梳理在使用相关业务系统时的数据传输、使用和存储的情况,绘制业务数据流转图;另一方则是从信息系统入手,通过对数据库表和系统功能的梳理,定位数据字段、盘点系统中个人信息的处理情况以及信息在不同系统间的流转和存储情况,绘制系统数据流转图;最后将两个方面的数据流转进行交叉验证,从而较完备的掌握数据的处理情况,为具体的合规评估和进一步的整改提供了基础。

在梳理清楚数据对象的基础上,我们以GDPR及相关指南为依据,形成了合规控制矩阵,通过问卷调研、人员访谈、现场观察、文档审阅等方式进行了合规差距分析,识别了存在的合规风险和影响,并与相关人员共同商议,逐项制定了整改方案。

工作中的创新和亮点

全面盘点业务和系统中的数据是非常繁琐,且容易因理解偏差导致盘点结果失效的工作。为了保证项目的顺利开展,项目组和客户一起开展了一系列的创新性工作:

  • 经过项目组专业的解读,充分理解监管要求并总结出合规关键点,通过制作宣传小视频、宣传册、意识培训的方式,反复进行意识宣贯,最终让项目相关方认识到项目工作的价值和意义,进而更好的配合项目工作开展;
  • 制作标准化、操作简易的小工具,以帮助相关的十多个部门减轻信息收集、数据整理的工作量,同时有效提高了梳理效率和结果的准确度;
  • 设置服务专线,随时解答客户人员针对调研和评估产生的疑问,指导他们更有效的开展工作;
  • 保持与从高管层到执行层的多层级有效沟通,建立起良好的信任和合作关系,尤其是设置了多个关键节点的管理层汇报,帮助管理层在掌握项目情况、了解项目价值的同时,也强化了管理层对客户信息保护的重视程度,有效提升了业务、科技、风险等多部门的协同效率。

 

影响

保障合规——通过对业务和系统中的数据处理情况的合规性评估,提示出了合规性风险,并协助整改,守住合规底线,保障业务正常开展。

促进数据保护落地——帮助客户从业务和系统两方面理清了明细的数据处理现状,解决了企业因为不掌握数据的具体处理情况而无法落实执行数据保护的问题。

联系我们

李睿

李睿

合伙人, 普华永道中国

电话: +[86] (10) 6533 2312

关注我们