京东数科个人信息保护实践课件

京东数科个人信息保护实践2019.05.25京东数科个人信息保护实践2019.05.25个人信息保护大势所趋1立法43标准2监管组织网络安全法（施行）个人信息保护法（加快立法）……中共中央网络安全和信息化委员会办公室国家互联网信息化办公室中国互联网协会个人信息保护工作委员会App违法违规收集使用个人信息专项治理工作组公安部、工信和信息化部、国家市场监督管理总局、人民银行、银保监局、证监会……国家市场监管总局全国范围内部署开展打击侵害消费者个人信息违法行为专项执法行动中央网信办等四部门开展APP专项治理工业和信息化部就侵犯用户个人隐私的问题约谈互联网公司公安查处数据堂公安查处巧达科技人民银行，违法查询个人信息和企业信贷信息，交银国际信托遭行政处罚……个人信息安全规范（草案）互联网个人信息安全保护指南个人信息去标识化指南个人信息和重要数据出境安全评估办法网络安全等级保护标准监管动态个人信息保护大势所趋1立法43标准2监管组织网络安全法（施行京东金融京东数科个人信息保护大势所趋京东数字化演进京东金融京东数科个人信息保护大势所趋京东数字化演进做一家数字科技公司数字金融京东支付白条京东小金库产品众筹……数字化企业服务ABS云平台北斗七星零售信贷产品京东稻田智能巡检机器人……数字城市城市信用规划交通环境能源商业安全……做一家数字科技公司数字金融数字化企业服务ABS云平台数字城市数字化产品、服务消费金融资产科技能力用户运营白条金条小白卡小白信用风控系统大数据模型消金系统白条贷款数字化产品、服务消费金融资产科技能力用户运营白条金条数字科技赋能金融业务开放技术开放供应链金融消费金融农村金融保险财富管理支付众筹基金人工智能云计算图像识别自然语言处理区块链图谱网络生物识别机器学习风险量化模型体系精准营销模型体系用户洞察模型体系智能投顾模型体系智能客服账户场景开放产业场景金融场景消费场景智能借贷平台资产交易平台客户开放企业客户个人客户企业金融综合服务平台个人金融综合服务平台以开放的态度为银行业金融机构提供服务数字科技赋能金融业务技术供应链金融消费金融农村金融保险财富管大数据风控500+风控模型5000+风险策略60万+风控变量5000万+黑灰风险名单实现对3亿+用户信用风险的评估大数据风控500+风控模型5000+风险策略60万+风控变量个人信息保护理念Ⅰ执行上下一体，人人有责；对外可见，内部可查的个人信息保护理念公司理念尊重用户隐私，保护个人信息是公司及每位员工的责任对外展示将个人信息保护落实到产品设计中业务流程所有业务流程可查看，可追溯，可审计，可问责个人信息保护理念Ⅰ执行上下一体，人人有责；对外可见，内部可查个人信息保护理念Ⅱ目的明确选择同意收集分类存储安全存储存储最少够用访问控制使用安全评估加密传输传输用户自主及时通知删除执行贯穿于全生命周期的个人信息保护理念个人信息保护理念Ⅱ目的明确收集分类存储存储最少够用使用安全评个人信息保护体系-工作方针谁主管谁负责谁运营谁负责谁使用谁负责谁接入谁负责“”责任明确技管结合授权合理流程规范个人信息保护体系-工作方针谁主管谁负责“”责任明确技管结合授个人信息保护体系-组织架构数据委员会数据安全工作组隐私保护工作组管理层数据标准小组数据流程小组执行层隐私保护小组外部监督组织外部专家、顾问制定数据安全标准数据保密等级分类与管理制定数据脱敏与加密标准内部宣贯与咨询制定数据接入流程制定查询、提取、推送等流程内部宣贯与咨询新产品个人信息安全影响评估隐私政策的执行与更新隐私事件的处理与反馈内部宣贯与咨询决策层个人信息保护体系-组织架构数据委员会数据安全工作组隐私保护工个人信息保护体系-制度、规范明确原则明确原则制定规范落实细则个人信息保护体系-制度、规范明确原则明确原则制定规范落实细则个人信息保护体系-流程、方法需求需求评审合法性、正当性、必要性设计APP功能、产品或服务设计《APP收集和使用个人信息功能合规规范》开发根据合规规范开发APP收集和使用个人信息的功能，合理调用系统权限，合规嵌入SDK、第三方代码等测试根据合规规范开发测试用例，对APP收集使用个人信息的功能点进行符合性测试、安全性测试评估、检查个人信息安全影响评估PIA审计、检查需求设计开发评估个人信息保护体系-流程、方法需求设计开发测试评估、检查需求设个人信息保护体系-细则、工具APP收集使用个人信息合规评估工具表1-个人信息定义、分类表2-APP收集个人信息调研、评估填表指南表3-APP收集个人信息调研、评估表表4-系统调用敏感权限调研、评估表表5-敏感权限清单表6-隐私政策、产品或服务协议合规评估表表7-第三方SDK合规评估表APP收集使用个人信息功能设计规范个人信息保护体系-细则、工具APP收集使用个人信息合规评估工个人信息保护实践-内部协作收集、获取法律合规部门安全部门风险管理部门数据管理部门开发部门查询、展示报送项目、需求开发大数据平台APP、Web、SDK、VPN、API…DB安全防护功能设计规范审计、测试数据平台、数据服务安全评估、审计安全防护合规评审数据能力建设合规梳理合规梳理数据管理运维安全测试个人信息保护实践-内部协作收集、获取法律合规部门安全部门风险个人信息保护实践-数据审批需求明确流程完备节点控制多重审批跨部门合作以数据表权限申请为例数据表权限申请为例个人信息保护实践-数据审批需求明确流程完备节点控制多重审批跨个人信息保护实践-APP示例功能Ⅰ隐私政策阅读提示信息授权协议隐私设置专属页面个人信息保护实践-APP示例功能Ⅰ隐私政策阅读提示信息授权协个人信