编者按:
随着《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的正式生效,以及国家信息监管文件的密集出台,我国自上而下对数据安全都高度重视,致力建立完整而有效的数据安全法律体系。但是,数据泄露事件仍不时发生,学校、医院等特殊场景值得重点关注,在这些特殊场景的信息化系统上往往储存有大量的个人信息,这些场景的个人信息具有集中度高、变现快等特点,其数据安全的防护能力却相对薄弱,容易遭到内外部不法分子的觊觎,进而导致数据泄露事件的发生,引发个人隐私信息被滥用、电话骚扰和电信诈骗等一系列恶劣后果。综合以上分析,需要对数据个人信息隐私保护领域中容易被人忽视的领域——学校、医院等人员密集型场景的个人隐私保护合规工作加以特别关注!
一、特殊场景的数据合规“特殊”在哪里?
(一)科研活动中的特殊审核机制
在高校以及医院场景中,存在大量的科研活动,这些科研活动涉及各类型的数据。在这些活动中如何确保数据收集、使用、储存,以及销毁的全流程得到有效监管,并且对研究对象的个人隐私得到正确保护。在这里简单介绍下美国高校以及科研机构通用的IRB 研究审查机制。
IRB 中文含义为“研究伦理审查委员会”。IRB审查关注的核心内容是,高校和科研机构的研究者,在进行与人相关的研究过程中,如何做好有效保护受访者的个人隐私工作、以何种合理方式进行数据采集、处理、使用、存储和销毁,确保最大程度地减少个人隐私泄露风险。需要注意的是,在美国IRB定义中“关于人的研究”不仅限于人体研究或生命科学研究,只要研究涉及人,比如研究人们的消费习惯,可能需要发放调查问卷,获得结构化的量化数据,也被视为人的研究;或者,研究高校毕业生的就业市场压力,可能需要进行面对面访谈,涉及到质化数据的收集。研究中无论是形成结构化数据还是非结构化数据,只要与人相关,都需要提交给IRB审核委员会进行审查,审查重点内容之一就在于如何有效保护研究对象人的隐私。
IRB审查具有两个主要特点:
首先是事前审核。例如如果计划研究消费者的心理,例如为什么他们购买某些商品,认为这些商品能够保值增值,那么在启动研究之前,在与受访者接触之前,研究者必须向学校的IRB审查委员会提交申请。这种审查是一次性的,具有时间限制,一旦时间结束或者是启动新的研究,都需要再次提交IRB申请。
其次,IRB审查的严格程度可以根据不同研究对象的不同性质而有所不同。如果研究对象为一些特殊群体,例如未成年人,隐私保护要求可能会更高,审查也会更加详细,审查所需的时间也会更长。因此,IRB审查要求会根据研究对象的不同而有所调整。
在进行研究的过程中,需要非常注意个人隐私的保护设计和数据的全流程合规管理。全流程管理可分为事前、事中和事后三个阶段。
事前阶段,需要进行告知和取得同意。在这方面,关键是确保告知和同意的方式恰当,需要确保被调查人充分了解调查的意图,所收集数据在收集、保存以及销毁全流程必须确保个人隐私泄露的风险最小化。例如,在IRB申请中强调告知同意时,必须确保整个过程在相对私密的环境中进行,必须采用恰当的表达方式确保当事人能够理解研究的目的,以及相关涉及个人隐私保护的细节。
事中阶段,需要采取适当的措施,确保及时对收集的数据进行脱敏,删除个人细节。同时,需要审查数据处理过程,以最大化措施去减少数据泄露的可能性。例如,数据转换时需要谨慎,同时也需要考虑存储设备的安全性,包括密码保护以及USB设备的控制,数据存贮设备不得随意移动其位置,特别是不得随意携带数据存储设备旅行。
事后阶段,需要承诺在一定时间内删除和销毁相关可能泄露个人隐私的原始数据。对于脱敏的数据
只有在全面评估事前、事中和事后的个人隐私保护设计以及数据的全流程管理措施后,IRB委员会才有可能批准研究计划申请。
IRB机制通过有效地保护受访者和研究对象的个人信息,防止数据泄露。尽管程序繁琐,但从个人隐私保护和数据合规性的角度来看,该制度非常完善。IRB机制由专门的委员会负责,将外部规定内化,通过学校的规章制度确定统一规定,从而确保了对后续数据处理、存储和销毁的监督功能。
同时,为了能够做到每个研究者都了解自己在研究中对个人隐私保护的义务,每个提交IRB 申请人都需要进行系统的合规培训。通过有关机构组织的培训,通过课程结课考试,获得有关的证书方能够有申请IRB 项目的资格。
通过以上的合规设计,研究人员才能够更好地了解伦理规范、隐私保护和合规要求,为研究工作提供坚实的基础。
2023年3月,我国出台了《涉及人的生命科学和医学研究伦理审查办法》。这个办法可以看作是中国版的IRB审查规范,为从事相关研究的人员提供了明确的合规指引,以确保行为合规性特别是个人隐私保护的合规。
该审查办法有如下亮点:
第一,明确范围。该审查办法明确了其适用范围,它适用于生命科学和医学领域的研究。如果从事这些领域的研究,就需要进行先期审查。
第二,伦理委员会建设。伦理委员会建设方面的亮点是,根据审查办法,学校和科研单位需要建立自己的伦理委员会,从而扩大了审查的范围。
第三,机制建设。审查办法还引入了机制建设,将审核分为正常审核、快速审核和免审核等级,细化了同意流程。
第四,细化明确了知情同意流程。审查办法明确了知情同意流程,使参与研究人员更容易理解和遵守相关规定。
第五,个人信息保护。这个办法强调了对参与研究个人隐私信息的保护,这是委员会审核的重要方面,强调要切实保护参与研究者的隐私权,不得随意向第三方面泄露研究参与者的个人信息。
第六,数据安全保护。审查办法还注意遵守我国数据安全法律的有关要求,专门强调了数据生命全周期的安全性。
该审查办法是我国生命科学和医学研究领域的一项重要法规,为高校从事相关研究中的个人隐私保护提供了重要的法规依据。
(二)特殊场景中的“特殊”管理方式
从社会治理或数据治理相关的法律法规角度看,以下举例场景存在特殊性:①宿舍“刷脸”进出;②奖学金、助学金评比“公示”;③学生社团活动报名;④学生人脸考勤;⑤线上选课;⑥临床研究论文收集数据;⑦集体会诊疑难病例;⑧线上挂号;⑨诊室医生问诊。
以上场景存在的特殊性主要在于三点:
第一,关系特殊。学校与学生,医院与患者之间。不属于商家与消费者的关系,适用法律法规也具有特殊性。
第二,环境特殊。学校和医院的数据量惊人,数据收集、存储、传播行为发生面广并且时间持续长,数据收集主体多元,并且环境中存在需要数据公开公示的场合。
第三,组织特殊。学校和医院与普通公司企业相比较,其治理、管理结构以及部门设置、人员构成都有很大差异,各自职权相对分散,很多岗位/职位都具有数据收集的工作需要。
企业的数据管理有三道防线,第一道防线是业务防线,第二道防线是法务合规,第三道防线是审计防线。特殊场景下业务防线相对复杂,例如学校,各个接口都可能收集相关数据。在这种特殊场景下,必须进行数据的梳理工作,包括收集、加工、传输、储存和最终生命周期的结束。
为了清晰地了解每个可能发生数据流的节点,我们需要构建一个风险矩阵。这个数据风险地图和风险矩阵表格有助于明确风险的位置,从而真正有效地构筑第一道防线。涉及数据合规时,有很多方法可供选择,这些方法可能是一种流程,也可能是一种标准化的操作方式。
然而,最终我们需要回到风险的核心问题。我们必须基于风险进行识别和评估,然后考虑如何确定适当的防线。只有通过明确的风险识别和评估,我们才能够制定出更加可靠的数据管理策略。
二、如何在特殊场景中做到有效的数据合规?
(一)何谓有效的数据合规
数据合规本质上是合规管理的问题。因此,当我们努力实现有效的数据合规时,需要借鉴合规管理的一些方法。可以从制度、机制、管理和意识几个角度出发,分析有效和无效数据合规的区别。
首先,制度建设至关重要,制度需要完善,避免变成“纸面合规”。为了使制度更完善,需要明确的规则制定,并且需要管理人员来负责制度的执行,确保合规政策得以贯彻。
其次,机制和程序也至关重要。拥有制度是不够的,还需要明确的机制和程序,以确定何时启动合规措施,如何报告风险事件等。就像处理台风预警一样,需要不同级别的响应机制,基于风险的严重程度来决定采取何种措施。
第三,管理和部门的角色不可忽视。是否有专门的部门或者负责人来管理数据合规事务至关重要。例如,数据合规专员可能需要具备法律和技术背景,以确保数据合规政策得以执行。明确的管理职责可以帮助确保合规体系的有效运行。
最后,合规文化和保护意识的建设非常重要。人们的合规意识应该得到加强,这意味着我们需要建立一个强调个人隐私保护的文化。这包括建立伦理审查制度等举措,以进一步加强合规文化。合规体系的有效性关键取决于人们的合规意识。
综上所述,要实现有效的合规体系,我们需要完善制度、建立机制和程序、明确管理职责,并建立合规文化的意识。无效和有效的数据合规体系特点总结如图表所示。
(二)数据合规体系的建构定位
合规管理体系包括多个分支,如质量管理、环境管理、健康安全管理、反商业贿赂、隐私信息管理和信息安全管理等等。这些分支需要在整个合规体系中协调工作。
从顶层设计的角度来看,我们应该建立基本的合规管理框架,然后在这个框架下,建设每个子领域。这些分支之间不应该形成壁垒,而应该形成一种协同互动的关系,以确保整个合规管理体系的协调运行。
在整个体系运行过程中,有一个需要澄清的概念,即个人隐私保护和数据合规不仅限于科技领域,也包括其他情景。如面谈数据收集,也需要关注个人隐私的合规性,包括告知同意书和录音同意书等方面的合规。
合规管理体系仍然缺乏具体的实例和案例以供参考。因此仍然需要在合规管理领域进行实践。
(三)数据合规行为的逻辑起点
涉数据行为的逻辑起点,首先是最小必要性。这是数据合规行为的一个基本原则,即在我们决定收集数据时,首先确信数据的收集是必要的,尽量少重复收集数据,这样可以降低个人隐私隐私泄露的风险。其次为最小风险化。这意味着尽管我们不可避免地需要收集数据,但我们应该尽一切努力来减小潜在的个人隐私泄露的风险。包括在整个数据收集和处理流程中采取有效的措施,将个人隐私泄露的风险降至最低。
(四)企业加强数据合规教育的建议
教育是一个长期的过程,即使是小讲座也能提高人们的个人隐私保护和数据安全意识。为实现这个目标,我们需要制定一系列课程计划,明确每一节课的目标、频率以及整个课程计划的大纲和人培方案。这种细致的规划有助于确保教育的连贯性和有效性。
除了显性的授课和讲座方式,还有一种隐性的教育方法,比如在企业的显眼部位增加数据合规标语和宣传栏。这些隐性的教育措施可能在开始时效果不明显,但能够潜移默化地影响员工的合规意识。
数据泄露专题——特殊场景的数据合规实践(附报告&模板)
作者:董进来源:iLaw合规

编者按: 随着《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的正式生效,以及国家信息监管文件的密集出台,我国自上而下对数据安全都高度重视,致力建立完整而有效的数据安全法律体系。