一家公司悄然成为个人数据运营商
152-FZ 不仅涉及银行、医药和政府服务。当公司自行确定处理的目的和方法时,公司就成为个人数据的运营商:接受网站上的申请、维护 CRM、收集简历、连接个人帐户、记录通话、存储通话历史记录、发送邮件、使用行为分析或将数据传输给承包商。
因此,该页面对于 IT、网络安全、法律职能、营销、人力资源、电子商务和产品团队的负责人非常有用。问题不在于该网站是否有个人数据政策。问题是这个政策是否符合公司内部的实际数据路径。
检查后应该清楚什么
152-FZ 的良好诊断应提供管理图片,而不仅仅是一组文件修改。核实后应明确收集哪些类别的个人数据、出于什么目的、基于什么基础、存储在什么系统中、谁有权访问、数据传输给谁、在哪里跨境传输、如何记录同意、如何删除数据以及公司如何响应主体的请求。
数据和目标
表单、CRM、HR、个人帐户、聊天、通话、日志和分析中收集了哪些字段,以及业务真正需要它们的原因。
系统和访问
数据位于何处:网站、后端、CRM、1C、服务台、BI、邮件、云、备份、测试环境和集成。
文件和同意书
PD 处理政策、同意书、通知、流程登记册、操作员和处理者的角色、处理理由和同意证明。
控制与操作
保留期限、删除、记录、访问权限、事件、主题请求、所有者责任和定期更新。
为什么这不仅仅是一项法律任务?
律师可以准备正确的公式,但他们看不到所有的技术路线:前端在哪里发送申请,后端在日志中写入什么,谁读取CRM,哪些数据发送到邮件服务,什么最终进入BI,Excel下载位于哪里以及AI助手中使用了哪些字段。反过来,IT 和网络安全并不总是知道文档中应记录哪些处理目的和存储期限。
152-FZ的实践画像出现在法律、架构、开发、运营和网络安全的交叉点上。 RESTART 正是在这个地方有用的:我们将监管要求转化为可理解的站点、后端、CRM、访问权限、日志、文档、流程和供应商保护的积压工作。
RESTART如何组装实用环境152-FZ
| 层 | 我们正在做什么? | 客户得到什么? |
|---|---|---|
| 法律和程序 | 处理目的、理由、同意、通知、主体请求、所有者角色、存储和删除规定。 | 与系统实际操作相对应的文档和流程,而不是与 IT 分开。 |
| 建筑 | 网站、表单、API、CRM、HR、个人帐户、1C、BI、集成、存储、测试环境和备份。 | 数据处理图和需要更改逻辑、访问、存储或数据传输的点列表。 |
| 网络安全 | ISPDn、威胁模型、安全级别、网络安全、CIPF、DLP、IAM/PAM、日志记录、监控和事件响应。 | 一套明确的技术和组织措施,可保障网络安全、审计和管理。 |
| 人工智能和数据 | 在 RAG、聊天机器人、分析、日志记录、训练样本、匿名化和测试集中使用个人数据。 | 安全使用人工智能的边界:可以使用哪些数据、如何屏蔽数据、谁检查答案以及在哪里进行人工审查。 |
当根据调查结果需要采取技术措施时,PD环境进入 落实网络安全:设置访问、日志、端点保护、配置控制、虚拟化保护和操作法规。
对于 ISPD,端点层对于操作员、管理员和服务用户处理个人数据非常重要:RESTART 连接 保护工作站和服务器 具有访问权限、日志、DLP、SIEM 和操作法规。
数据处理卡
第一个实际成果是PD处理图。它不仅显示公共表单,还显示隐藏的路线:从站点到 CRM 的 Webhook、给经理的电子邮件通知、潜在客户导出、电话集成、人力资源服务、应用程序中的附件、内部聊天、应用程序日志、备份和测试环境。
这样的地图可以帮助企业做出决策而无需猜测:哪些字段可以删除,哪些字段需要屏蔽,哪些访问应该被审查,哪些处理器应该在文档中指定,哪些流程应该转移到法规以及哪些系统应该移动到单独的ISPD。
术语无雾
PDn
个人数据是与特定人员直接或间接相关的信息:姓名、电话号码、电子邮件、职位、简历、客户 ID、对话记录、通话记录和其他特征包。
局放操作员
确定数据处理的目的和方法的组织。承包商、CRM 平台或云服务通常成为运营商线路中的处理者。
ISPD
个人数据信息系统:收集、存储、更改、转移或删除个人数据的网站、CRM、HR系统、个人账户或其他IT环境。
SZI 和 CIPF
网络安全工具和加密信息保护工具:访问控制、加密、通道保护、操作控制和监管措施实施的解决方案类别。
DLP, DBF/DAM
DLP 降低了通过电子邮件、文件和通信渠道泄露的风险。 DBF/DAM 有助于控制数据库访问、表操作和可疑查询。
DSAR/主题请求
全球术语 DSAR 是指询问某人的数据。在俄罗斯环境中,这是接收、检查、执行和记录个人数据主体请求的过程。
俄罗斯和全球实践指南
在俄罗斯赛道上,基本准则仍然存在 第 152-FZ 号联邦法“关于个人数据”, 门户网站 Roskomnadzor 关于个人数据的规定, FSTEC 对 ISPDn 中保护措施的要求,包括 FSTEC 第 21 号命令,以及银行、电信、医药、电子商务和政府系统的行业要求。
世界实践有助于超越正式合规。 NIST Privacy Framework 将隐私视为企业级别的风险管理。 ISO/IEC 27701 将隐私管理系统描述为 ISO/IEC 27001 方法的扩展。 GDPR 方法 对于拥有国际客户和跨境流程的公司来说非常重要。 OWASP Top 10 Privacy Risks 对于检查网络应用程序、个人帐户和客户服务很有用。
人工智能如何在 PD 环境中提供帮助
人工智能并不能取代律师、首席网络安全官或负责处理个人数据的人员,但它有助于快速发现大画像中通常丢失的内容。人工智能工具可以查找表单和文档中的PD字段,对上传进行分类,将政策与实际表单进行比较,查找法规中的不一致之处,突出显示有风险的日志,帮助屏蔽测试数据,并准备草稿测试问题以供审核。
对于企业应用程序来说,此类人工智能在安全环境内运行非常重要:访问权限、日志记录、来源限制、批准文档的 RAG、人工验证以及禁止在没有单独解决方案的情况下将敏感数据传输到外部服务。人工智能将成为加速隐私工作的工具,而不是不受控制的处理的新来源。
企业得到什么?
减少监管不确定性
哪些流程已经关闭、哪些流程存在风险、哪些流程需要快速修复以及哪些流程可以包含在路线图中,这些都是很清楚的。
更快地推出数字服务
表单、个人账户、CRM 集成、AI 脚本和分析在开始时而不是在发布之前就收到要求。
为 AI 和 BI 提供更安全的数据
出现在分析、测试和 RAG 场景中屏蔽、访问、记录和使用数据的规则。
责任明确
每个过程都有所有者、存储期限、处理依据、技术措施和响应主体请求的途径。
第一步
合理的做法是从 10-15 个工作日开始进行诊断。在此阶段,RESTART 将查看网站、表单、个人数据政策、同意、CRM/HR/个人帐户、集成、后端日志、访问角色、应用程序存储、cookie/跟踪器、AI 脚本和向承包商传输的数据。
第一阶段的结果是PD处理图、风险登记册、必要文件和同意书列表、前端/后端要求、网络安全建议、屏蔽、访问、存储、删除以及处理受试者请求的程序。
常见问题
是否有可能在网站上限制自己的政治范围?
如果真实的表单、CRM、邮件、HR 流程、个人账户和集成的工作方式不同,情况就不是这样了。该文件必须反映实际处理过程,否则会产生虚假的控制感。
ISPD 与常规 CRM 有何不同?
如果个人数据在 CRM 中处理,则 CRM 可以成为 ISPD 的一部分。那么不仅客户卡很重要,访问、日志、下载、集成、备份和操作法规也很重要。
个人数据可以用于人工智能吗?
只有在确定数据的目的、基础、组成、处理地点、访问、记录和安全措施后,这才有可能。许多场景需要屏蔽、匿名化、针对批准来源的 RAG 以及人工验证。
RESTART 是否提供遵守 152-FZ 的法律保证?
在未审核特定环境的情况下,我们不承诺“完全合规”。我们的职责是找到文档、系统和流程之间的差距,准备实际要求并与 IT、网络安全和客户律师一起帮助实施。
保护个人数据的合作伙伴解决方案
在 152-FZ 下的项目中,RESTART 可以从受保护的工作站和服务器、CIPF、防火墙、DLP、DBF/DAM、屏蔽、访问控制和公共站点参数的初始验证的解决方案中组装技术环境。根据架构的不同,Security Code、AXIOMA AI、Confident、InfoTEX、UserGate、DAMASCUS、Garda、InDEED 和 Kaspersky 均适用。
安全码
监管网络安全、NGFW、VPN、端点、虚拟化
AXIOMA AI
152-FZ Check、AXIOMA LAW、AI 合规性和法律分析
机密的
NSD、可信下载、VI、WAF、监管项目
信息展览中心
CIPF、VPN、加密网关、HSM、PKI、CII
UserGate
NGFW, SUMMA, SIEM, LogAn, Client, SecaaS
大马士革
屏蔽、标记化、动态数据保护
加尔达
DLP, DBF, Data Masking, NDR, WAF, Anti-DDoS
InDEED
Identity Security, IAM, PAM, ITDR, MFA, IdM
Kaspersky
endpoint, EDR/XDR, KATA, threat intelligence
合作伙伴被列为解决方案类的技术骨干。产品的具体构成、版本、许可证、证书和交付条件均在项目前确定。
让我们讨论一下您的环境
描述任务、当前系统、约束和预期结果。我们将提供实用的第一步:诊断、试点、审计、路线图或项目团队。
