(本文整理自北京字节跳动企业隐私部 隐私策略负责人朱玲凤和北京字节跳动隐私及数据保护产品隐私保护专家汪明于iLaw直播间讲授的公开课内容)
强监管和有限资源下,如何构建轻量化合规体系
(一)合规体系概述
公司数据法务初期接触数据合规工作时,通常并没有对合规体系给予重视,而是更关注法律层面的合规流程是否到位,合规评估、风险认定是否有效,是否可以帮助解决业务风险,但是在实践中发现,隐私合规并不是单靠流程、评估就能完美了结的事,而是一个需要全面思考,长治久安的系统化工程,这就需要建立一个合规体系,如 GDPR 就规定了「企业的义务就是要采取与风险相适应的组织和技术措施」。
从法务部门的负责人的角度来说,首先我们得认可在法律以外,隐私保护还需要合规体系,还需要工具,还需要流程等等。
不同于互联网大厂有着比较精细化、多样化的合规团队分工和岗位设置,大多数的企业,特别是传统的行业、传统企业,要考虑的是在资源有限的情况下,如何规划合规体系的工作。
(二)PPT合规管理体系
1. P-Process-流程
从 process 的角度上来讲,对于一个普通的企业而言,我们在制定制度的时候要追求「 在精而不在多 」的一种体系框架,所制定的规则应当是明确易懂的,每一个流程的职责应该是定义清晰的,易于业务部门执行的,最好还能够通过一些必要的工具平台帮助把流程规范固定下来。
这样既能帮助大家规范日常的工作,也有利于事后针对工作的开展情况进行追溯和审计。
2. P-People-人
从 people 的角度上来讲,很多企业都会面临这种合规人员不足、经费不足等问题,这个时候我们可以使用一些富有行业经验的外包资源来解决自身人力不足的问题。
这种外包资源一方面包括法律合规的咨询,也包括在日常工作当中需要用到的隐私专业知识的资源,当然在这个过程当中我们需要注意的就是要擦亮眼睛,选好辅助!
3. T-Technology-技术
当今数据合规的趋势是依赖先进的隐私技术能力,尤其是在一些基础架构层面,我们需要考虑的是建立数据合规技术,然后用它去做一些数据治理的工作,比如自动化将数据进行分类分级等,这样可以为法务部门梳理数据处理、开展隐私风险评估,提供底层的技术支持。
同时我们也要去做一些应用层面或者展示层面的一种设计,比如数据去标识化等技术,确保我们的产品设计、企业内部的数据流动、内外部的数据流动是合规的。通过这些好用的工具,既能解放人力,还能确保合规落地,同时也能增强负责合规工作的人员的工作信心。
(三)中小型企业法务如何构建轻量型合规体系
在不同行业或者说不同体量、不同规模的公司,以及公司可能在不同的国家地区开展业务,它们所面临的合规重点是不一样的。
作为法务总监也好,还是数据合规总监也好,可能首先要做的就是认清自己目前的业务限制是什么,以及可能在短期、中期的业务规划是什么。之后结合自身的业务特点,再去联合相应的信息安全部门或者是 it 工程类部门,来梳理清楚合规工作路径,找出自身所存在的关键痛点在哪里,这样就可以明确工作重点。
因为法务部的整个人力资源不是那么充足,但数据合规工作却是一个综合性的工作,需要将合规要求,落地到流程,落地到技术,它的最佳方法就是团结所有可利用的盟友,订立一个清晰的目标,然后一起去实施共建整个项目。
(四)在经济下行的疫情大背景之下,企业如何平衡盈利与落地隐私合规?
作为一个法务总监或者合规总监,需要去向老板去说明的是,企业的生存、盈利和企业所要履行的合规责任,这两者在很大程度上是并不矛盾的。
在三年前,国内有一款非常火的换脸软件,但是上架后没几天就因为数据合规问题被监管部门约谈,要求它下架并开展自查整改。
这对于一个企业而言,可能花了很大的成本做了这么一款软件,结果还没等盈利,就因为合规问题被下架了。随着监管越来越趋严,什么时候能再重新上架,其实存在很大的不确定性。
所以企业需要有这样一个意识,就是要遵循一个比较良好的隐私设计的准则,在实现基本的业务功能,帮助赚钱盈利的同时,也要考虑它的合规要求。
对于一个企业而言,特别是在开展新业务或者是做一款新产品时,应当在一开始就要有一个比较体系化的规划,其实就是风险评估。我们要去评估一下到底存在什么样的合规风险,风险是高还是低,以及合规成本所带来的投资回报率。
合规不能被认为是一种纯粹烧钱的行为,它本质上也是企业实现稳定盈利的前提。如果存在高风险的话要及时整改,否则只会带来更大的损失。
有人可能就会问了,现实当中我们可能会遇到的不一定是高风险,可能是可以接受的风险,那么能不能先进行业务,等以后遇到问题,再去采取措施。但这并不能真正解决合规问题。而且企业很可能因此失去用户的信任,进一步失去商机。
所以应当提前策划好相应的风险减缓措施,它不一定能消除风险或直接规避风险。但是将来如果真的出现什么问题,需要企业采取一些必要的应急措施时,这个机制将会发挥很大的用处。
在合规方面,我们怎么能让这件事情在资源有限的情况下进行,最重要的几个点是:
第一,在商言商。
老板希望资源换来的合规价值比投入更大,所以不能完全从成本中心的角度去考虑合规工作,应该将风险和解决方案进行分级。
每个公司在不同的行业和不同的司法辖区需要考虑的问题是不一样的。以跨国公司为例,可能总部并没有在意中国的合规风险,但是如果拿着一套方案在全球一起落地是不现实的,必须要有准确地判断各个国家、地区的风险高低,以及对应的解决方案。
合规体系并不一定是高成本投入的,也可以定制化设计,前提就是要找对问题,找对解决方案,设计好一个定制化的解决方案。
第二,用迭代思维来解决问题。
先拿一部分的资源解决当前最紧急的问题,同时告诉老板这个钱花的是值的,这个资源投入是有意义和价值的,这样老板就会在下一次更有信心。在老板发现合规问题之前就准备好了方案,让所有的风险在上线之前得以解决,这才是好的合规体系。
(五)数据合规效果的量化
从体系的角度上,量化实际上是整个合规体系工作中比较靠后的环节。从具体实操层面,可从 PPT 的进行展开:
1. Process-流程
基于公司已有的合规流程,对实施情况进行审计,开展现存风险的分析,经过持续的分析和评估,识别出有哪些关键的风险是已经得到了控制,有哪些损失是通过前期的事前预防已经规避掉的。
同时也通过评估和审计的行为去发现还有哪些没有闭环的流程,还有哪些没有做到合规落地,以明确后续的工作计划在量化的时,我们可以把风险的覆盖度,以及风险的分类进行量化。
2. People-人
从人的视角来看,不管是在一般的传统企业,还是互联网大厂,隐私合规意识的宣传都是非常重要的事情。
所以我们也可以去量化隐私合规的意识宣贯到底覆盖了哪些部门,哪些员工,是不是所有的涉及到数据处理的相关的这些业务部门、技术部门。
3. Technology-技术
从技术的视角来看,通过监控分析去发现我们现存的安全隐私方面的一些风险,以及可能出现风险的事件。通过提升发现能力以进一步提升问题解决的时效性,确保风险能得到闭环处置
法务/IT/安全部门如何跨界合力开展数据合规工作
(一)在企业中,哪个部门更容易获得资源,更适合成为数据合规的牵头部门
这个可能和企业的文化或者说这个部门所处的地位有关。从实操的角度,如预算的申请或者使用,其实要结合部门的职责进行考虑。
如果是偏向于合规流程或者体系建设类,法务部门会更加合适。因为将来它们也要去负责一些如合规审批、合规评估的工作。
如果涉及隐私技术方面的投入,IT部门或者安全技术部门可能会更适合。当然也有少部分企业可能会专门建立数据合规部,里面可能既有法律背景,也有技术背景,甚至还有产品背景的员工。
(二)部门之间跨界工作经验
当进行数据合规工作时,不能仅仅从技术视角或者从公司自身的业务视角去理解这个问题,而应该站在用户视角,也就是所谓的隐私伦理层面去尊重用户的隐私权利,包括用户在个人信息的相关法律之下被赋予的权利,是相互理解、相互帮助的一个过程。
在这个基础组织上,各部门要共同做好规划,商议好合作的方式,来发挥各自的专长,减少沟通理解的障碍。
GDPR 和国内的个保法都提出了个人信息主体的权利,或者说数据主体权利。很多公司会开发一些比如 portal 平台,或者 UI 界面,可以让用户在上面去行使自己的权利,比方说申请删除自己的数据,申请去下载自己的数据。
但这个时候会面临一个很关键的问题:用户的身份有没有可能是假的,是被仿冒的?
所以不仅仅要去实现数据主体权利响应的功能,同时还要考虑这个功能本身应该具备的安全性。这个时候需要借助安全部门进行必要的安全性评估和安全性设计,确保功能本身合规,同时也不出现其他次生的安全危险。
隐私法规定了目的限制原则( purpose limitation ),是指,在收集了用户数据之后,我们不应当把数据用于用户预期之外的目的。
在企业内部,特别是在服务端,可能有大量的数据存储,包括数据使用场景,这个时候会存在一些潜在的风险,如进了数据库之后,数据有没有可能被非授权的访问,有没有可能在用户不知情或不合规的情况下被共享给第三方。这个时候我们要把它和传统的安全审批流程结合起来,可能也要部署一些监控系统。
(三)企业如何兼顾数据合规与产品开发
在产品的设计过程中要注意规避黑模式(暗模式)( dark pattern ),指的是产品可能并没有明显违背违反法律法规的要求,但是从隐私原则的角度上来讲,它和隐私设计原则相违背,体现出对用户的不尊重。这些问题是我们需要去进行规避的,在功能实现的同时,也要考虑安全隐私,实现 privacy by design。
(四)在实务中如何区分去标识化所用的技术和去匿名化所用的技术
不管是国内的个保法,还是GDPR,都对匿名化有明确定义,它指的是对数据进行匿名化处理之后,原始的个人身份完全不能被还原。
我们国内有去标识化这样的概念,可以理解为对数据进行了匿名化的操作处理,但是却不够彻底,仍有机会在一定程度上还原出个人身份,或者说不一定是能够明确知道这个人是谁,但是可以在某一个特定的人群能够唯一地标识出这样一个人。
线上化/平台化的数据合规流程与体系落地
(一)对数据合规工作中辅助工具的选择
在一个复杂的系统下进行数据发现、数据分类分级,以及之后的数据评估,其实还是依赖于业务部门的同事进行手动的输入,但是很多工作人员在做数据合规时,甚至连真正的数据收集表长什么样都没见过。数据到底收集了什么?数据自身定义的字段和最终在法律条文或者标准里看到的数据类型有没有差异?
在这种情况下,如果不知道大盘数据的底子是什么样的,数据评估也会有风险。那么在这种复杂的系统架构下,我们其实更推荐去使用数据发现、数据流、数据血缘和数据分类分级等工具。
数据合规的工具化、平台化是非常重要、非常关键,但是又非常基础性的工作。因为防止数据滥用、防止数据泄露、非授权访问等等这些偏向于表面化的工具平台,其实底层都需要依托于准确的数据地图,需要一个能够确保准确性,能够全面发现各种各样个人数据的数据发现的能力。在这个基础之上,就可以把数据去标识化的工具、数据脱敏加密的工具结合起来。在部署监控或者行为审计工具时,也可以基于底层数据的基础设施实现。
法务合规总监如何通过「PPT」合规管理体系高效推动数据合规
作者:朱玲凤 汪明来源:iLaw合规

(本文整理自北京字节跳动企业隐私部 隐私策略负责人朱玲凤和北京字节跳动隐私及数据保护产品隐私保护专家汪明于iLaw直播间讲授的公开课内容) 强监管和有限资源下,如何构建轻量化合规体系 (一)合规体系概