一般来说, IT 和数据是落实业务规则,但在实际操作过程中,由于 IT & 数据本身的一些技术特点,或者管理当中的一些疏漏,也会引入一些和 IT 系统和数据强关联的数据合规风险。
首先我们从数据处理的全生命周期来看下那些由于 IT 实施带来的数据合规风险场景。
1. 通知 & 同意管理
同意是企业在收集和处理用户个人数据的常用法律基础之一,根据个人信息保护法,企业在此场景下需要先通知用户,经过用户同意后才能收集用户数据。
《个人信息保护法》第十四条规定,「基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。」
在排除通知文案本身可能引来的风险之外,通知的方式也是一个高风险点。
根据需要同意的内容不同,有「打包同意」、「单独同意」、「明示同意」、「单独明示同意」等多种形式。
根据当国内执法的特点,在用户首次使用产品时,需告知用户产品功能,此时可以采取让消费者主动勾选隐私通知的方式,但不能通过此处同意一次性获取敏感个人信息或敏感系统权限(产品功能必要的场景除外)。
在获取用户位置权限、生物特征信息等特敏感权限或个人信息时,需单独获取用户同意,如用户拒绝,在用户未触发功能场景的情况下,需间隔不少于 48 小时才能再次告知以获取相关信息。
如下图,APP 获取用户的相册权限(敏感权限),需要取得用户的「单独同意」,如用户选择「不予许」后没有重新触发相同或类似的场景,则在 48 小时内不得再问用户要访问相册的权限。
2. 数据存储时长
依据《个人信息保护法》企业存储用户个人数据的时间依赖于使用个人数据的目的,且按照所必需的最短时间来存储,与此同时不同的行业对存储时间有不同的规定。
例如《网络游戏管理暂行办法》规定网络游戏用户的购买记录存储时间为不低于用户最后一次接受服务之日起的 180 天;《电子商务法》规定电子商务平台的经营者应当保存记录为自交易完成之日起不低于三年。
因此企业在确定数据存储时长时,一方面要基于业务目的,严格评估存储数据的必要性,另一方面要查阅相关的管理规定,确保存储时长符合法律法规的要求。
如需了解各种法律对各行业数据存储时长的合规要求,请扫描文末二维码获取。
3. 数据到期处理方式
当个人信息保存期限届满时,原则上个人信息处理者应将个人信息删除或匿名化。
但数据删除和数据匿名化存在一定的技术难度,只要信息曾经在硬盘上保存过,除非经过数据擦除,否则是很容易通过技术手段恢复数据的。
数据擦除的原理是使用指定的十六进制字符填充覆盖硬盘中原有的数据,彻底删除信息几乎无法实现。
数据匿名化也依赖于匿算法的复杂度和未附加信息的可辨识度。
对此《个人信息保护法》给出了折中的方案「删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。」
虽说如此,但个人信息处理者还需要承担无止境的必要安全保护措施,否则一旦泄露就难辞其咎,所以企业在收集个人信息之前就必须慎重考虑收集哪些信息,针对每一项、每一个字节信息的必要性做评估。
同时要明确数据删除和数据匿名化的技术手段,并在开展数据删除和匿名化时开展 PIA ,以评估相关手段的有效性。
1. Cookies 管理
此处的 Cookies 并不是「甜饼」, 而是一个保存在客户终端中的简单的文本文件,该文件有唯一标识,即 Cookie ID ,网站通过 Cookie ID 识别用户,管理与用户的「会话」。
Cookie ID 与用户终端绑定,可以定位到个人,在欧盟等国法律中会将 Cookie ID 定义为个人信息,比如 ePrivacy directive(Directive 2002/58 on Privacy and Electronic Communications)。
Cookies 目前通常会记录用户上网的信息,一旦泄露可能对用户权益造成损害。
企业在使用 Cookies 过程中,需要根据 Cookies 类别进行管理,并获取用户同意。
目前通常将 Cookies 分为必要类、分析类和广告类三种。
① 必要类 Cookies 属于为实现网站功能所必须,在实际应用过程中可以默认打开,无需用户同意。
② 分析类是用于分析用户行为等方面的。
③ 广告类则是用于引流、 Retargeting 等广告投放活动。
此两类 Cookies 在 ePrivacy 要求下均需要用户同意,且需规避一揽子同意风险,以及需要将「拒绝」设置得与「同意」操作一样简单。
法国是当前关于 Cookies 管理最严格的国家之一,需重点关注。
2. 埋点
埋点是一种用户行为数据化的记录,基于业务或者产品需求,对用户在产品内产生行为的每一个事件对应的页面、位置、属性等植入相关代码,并通过采集工具上报统计,采集的数据可以用来分析网站 / APP 的使用情况,用户的使用习惯等等,延伸出用户画像、用户偏好、转化路径等一系列应用场景。
埋点并不必然引入个人数据,依赖于埋点本身所采集的个人数据和应用场景。因此隐私合规从业人员在分析埋点业务时,需关注具体的实施方案。
如埋点工具对用户 ID 的定义方案、采集的用户数据字段、最终的应用场景等。
埋点工具对用户 ID 的定义或收集的用户数据涉及用户账号、设备标识符等信息,则此方案很有可能涉及个人数据,如最终的应用方案是用户画像也将涉及个人数据。
原则上对于产品优化类的埋点方案,不建议采集可标识个人身份信息的数据,此场景下可以按照非个人数据开展数据的收集和处理工作。
我国已将数据纳入生产要素进行管理,许多企业也在开展数字化转型工作,建设了各种数据中台、数据湖、数据仓库的项目,期望让数据发挥更大的价值,但在企业数字化转型的过程中也不能忘记数据合规风险:
1. 数据入湖
数据入湖即将原本属于不同部门的数据导入到同一个数据库中,进行数据的共享。
例如原本由 A 部门搜集的数据,在进行数据入湖后,很可能被内部的 B 部门使用。
因此要尤为关注后续数据的使用目的不能偏离初始收集目的。
在数据入湖时,要对入湖数据进行标识,如数据分类(重要数据、敏感个人数据、一般个人数据、非个人数据……)、数据收集目的(用户同意的隐私通知版本信息等),确保数据在后续使用时能够找到数据源头。
2. 数据消费
数据消费即数据的使用,在数据湖场景下一般由业务部门提出需求,在数据湖中查找是否有所需数据,如有则提出数据需求申请,经审批后使用该数据。
在此环节中需要增加数据合规评审,判断数据使用目的和数据的初始收集目的是否一致,揭示数据合规风险,供业务主管决策是否同意该数据消费行为。
以上就是常见的和 IT & 数据强相关的数据合规风险,希望对你能有所帮助。
但由于数据合规本身的技术属性,以及隐私相关技术的持续迭代发展,无法一劳永逸的解决数据合规的 IT & 数据层面的风险,欢迎继续关注我们以了解更多于数据合规风险管理有关的知识技巧。
如需了解各种法律对各行业数据存储时长的合规要求,请扫描下方二维码获取。
如何全面识别数据合规风险(IT&数据)?
作者:张风来源:iLaw合规

一般来说, IT 和数据是落实业务规则,但在实际操作过程中,由于 IT & 数据本身的一些技术特点,或者管理当中的一些疏漏,也会引入一些和 IT 系统和数据强关联的数据合规风险。