第一是数据管理六大原则,包括收集目的和方式、准确性和留存时间、数据使用、数据安全、透明度、访问和更新。这六条是日常收集数据中建议思考的问题。这几个问题想明白了,至少在数据分级分类中也就能够基本上想明白。我们之前也接触过一些公益组织,大家对数据安全相对来讲没有那么强的意识。我们见过一个公益组织把数据放在个人电脑上,也没有集中管理。一旦该人员离职,项目信息、志愿者信息、筹款人信息都会被带走,没有做留存。这对该组织是一种损失,也是对个人信息的不负责任。
第二是数据泄露的响应。无论是企业还是非营利组织,都很难说自己的数据一定不会泄露。一旦发生泄露,我们能做什么事情呢?有一些基本原则。首先应停止发生问题系统的运行,随后更改用户密码和系统配置,判断是否需要技术援助,重新设置个人访问权限,保存数据泄露证据,通知有关当局或报警,保护系统中敏感和关键信息并立即采取补救措施。这些原则说的是比较虚的,还会涉及到很多具体问题,背后需要有一系列管理机制和程序支撑。
第三是隐私数据的判定与识别。这张表很实用,如果行业协会商会在日常工作中会涉及到这些信息的话,大家可以按照这张表来匹配。一旦这些数据被识别出来,就意味着应当为它们匹配相应的管理措施,因为这些属于隐私数据。刚刚我们提到了确权的问题,这些隐私数据不是行业协会商会的,而是属于个人的,没有经过个人允许这些数据不能随意处置。
第二是数据泄露的响应。无论是企业还是非营利组织,都很难说自己的数据一定不会泄露。一旦发生泄露,我们能做什么事情呢?有一些基本原则。首先应停止发生问题系统的运行,随后更改用户密码和系统配置,判断是否需要技术援助,重新设置个人访问权限,保存数据泄露证据,通知有关当局或报警,保护系统中敏感和关键信息并立即采取补救措施。这些原则说的是比较虚的,还会涉及到很多具体问题,背后需要有一系列管理机制和程序支撑。
第三是隐私数据的判定与识别。这张表很实用,如果行业协会商会在日常工作中会涉及到这些信息的话,大家可以按照这张表来匹配。一旦这些数据被识别出来,就意味着应当为它们匹配相应的管理措施,因为这些属于隐私数据。刚刚我们提到了确权的问题,这些隐私数据不是行业协会商会的,而是属于个人的,没有经过个人允许这些数据不能随意处置。
