数据时代,我们真正想要做好隐私保护和数据合规,必须要掌握一定的隐私科技,让技术成为合规建设上的一个工具/手段。
面临的数据量加之数据处理场景的多元化和复杂性,决定了传统的人工方式识别隐私合规风险的方式已无法满足需要,想要做的又快又好,必须理解和掌握隐私合规的技术常识。
1. 从应用场景出发,主要解决这 3 个问题
隐私合规:使用技术手段帮助组织去梳理和识别合规风险,进而规避和削减风险。
数据安全:这个不难理解,海量的数据往往能够产生巨大的价值,这种巨大的诱惑也导致了各类数据安全事件不断发生,各类法律法规的出台,也迫使数据所有者不断寻找可靠的方法保护数抵的安全性。
数据可用:围绕着数据如何产生价值,如何在兼顾合规安全的前提下,打通不同组织/企业之间的数据壁垒,实现数据的“流通”与“共享”并挖掘其最大的价值。
2.从产品角度出发,它包括了解决组织的隐私合规问题的数据可视化工具、隐私合规影响评估工具;解决组织的数据安全与可用的问题,以可信计算/联邦学习框架等为代表的技术类产品与服务。
个人数据与隐私管理的解决方案可分为三个部分——规划设计阶段、实施构建阶段和持续运营阶段。
(一)规划设计阶段:是解决方案构建的基础工作,主要是识别企业内部各类资产清单、数据清单和法律实体清单,理清底数台账。
通过数据映射为企业理清数据处理目的、范围、方式和法律基础依据等重点核心问题。
通过数据保护影响评估对可能给数据主体权利和自由带来高风险的数据处理活动进行风险和影响分析,满足尽责评估的要求。
最后将前面梳理的基础清单,形成企业产品或服务隐私政策。
(二)实施构建阶段:是整个隐私保护数字化解决方案的核心,也是使企业彰显隐私品牌价值和体现尊重用户隐私的重点。
这里会涉及基于默认和设计的隐私、数据主体同意管理、移动应用合规管理、Cookies 合规、数据主体访问请求、事件响应管理等内容。
(三)持续运营阶段:是隐私保护数字化解决方案构建完成后,所需要持续运营的工作内容。
主要在于对各类相关环境、资产的持续识别,以及维护好可能罚你(监管机构)、告你(数据主体)、坑你(供应商&数据处理者)和投诉你(员工)的各个主体交互点,降低隐私的合规风险。
(四)规划设计阶段
作为体系建设的基础,企业需要识别与理清几张清单,理顺各类清单之间的逻辑关系,这是构建一系列隐私保护解决方案的前提条件。
1. 资产清单识别梳理
资产清单是与个人数据生命周期有关联的所有信息系统,需识别和建立的清单分别是应用系统清单、移动 APP 清单、数据库清单、 API 接口清单、数据仓库清单、 SDK 清单、 Cookies 清单和 APP 权限清单。
那么,企业想要尽可能清晰和齐全地识别和建立清单,就需要依靠数字化工具以及配套的管理活动支撑,单靠其中一样都会存在疏漏,导致识别不全。
① 应用系统、 APP 、数据库和数据仓库清单
一个企业的应用系统、 APP 、数据库和数,仓库清单,企业可以具备的识别方案是由【安全建设(运维)+资产暴露面管理】进行组合识别。
但是,作为信息安全与隐私相关部门要推动运维建设需要不少的时间。如果安全建设达不到,那纯人工服务也不失为一种最后手段。
② API 接口清单
在现有的 IT 架构中, API 已经充当了一个非常重要的系统交互通道角色, API 存在数量众多难以管控、伪数据脱敏、敏感数据未加密、未鉴权、接口安全风控措施缺失等一系列的数据滥用、数据篡改、数据泄露的安全风险问题。
要做好个人数据与隐私保护, API 接口清单是必须要理清的。
目前 API 接口的梳理与风险发现,可以借助 API安全监测工具,通过对内外部传输的API接口进行统计分析,一方面可以清楚明确API接口底数台账,另一方面可以有效梳理各类API违规使用风险问题。
③ SDK与APP权限清单
为什么把这两个放在一起说呢, SDK 与 APP 权限清单的违法违规监控是中国近年来的执法工作重点,因此理清一个 APP 里面的 SDK 和权限情况,是至关重要的合规基础。
原理是获取未安全加固的安卓 apk 和苹果 ipa 安装包,放入检测沙箱中运行,对 SDK 和权限进行动态和静态的扫描检测。
使用工具可对《个人信息保护法》及其相关配套规定、指南的合规要求进行扫描,再配合人工服务完成所有合规检测内容。
④ Cookies 清单
Cookies 在《个人信息安全规范》中的分类是网站浏览记录(属个人信息)/网页浏览记录(属个人敏感信息),属于个人信息范畴,应当按个人信息的管理方式进行相应管理。
但中国在过往几年的司法案件中,个人主张企业收集 Cookies 信息侵犯个人隐私时,都以败诉告终,经典案例如「朱某诉百度案」。
随着《民法典》和《个人信息保护法》的相继出台,往后对于 Cookies 案件的判决结果将会有所不同。
但无论如何,如果是一个全球化的企业,Cookies 的合规却是必不可少的,因为 GDPR 对 Cookies 纳入个人数据范畴是毋容置疑的。
当前国内对于 cookie 这块开发的工具不多,但是国外的隐私管理工具中,通常会集成 Cookies 合规扫描工具,通过输入网站域名后,便能自动爬取该域名下网站 Cookies、Beacon 或其他网页浏览记录文件,并对其进行功能分类,例如分成绝对必要类、性能分析类、功能类、定向跟踪类和未知类。
2. 数据清单识别梳理
上面讲了资产的梳理,那做数据隐私合规的,数据清单就是必不可少的基础了。
数据清单可以从数据结构类别入手,分为结构化个人数据和非结构化个人数据。
① 结构化个人数据的收集渠道有以下几种:
数据主体在 web 表单主动填写提交
自动化数据采集(数据埋点、手机权限自动采集(如GPS位置数据))什么叫埋点呢:比如你想购买的课程,通过这个购买事件产生了一系列行为数据,这时采集用户的行为数据,并上报到后台,就是埋点。
第三方渠道采集(包括 API 采集、库表交换)
离线录入(包括 Excel 或 CSV 文件)
上述几种个人数据收集渠道不同,但都会存储于结构化的关系型数据库中。可以利用数据发现与扫描工具进行数据库扫描,对数据库进行扫描,发现数据,同时完成数据分类分级标记工作。
② 非结构化个人数据的收集渠道有以下几种:
数据主体主动提交的图片、附件资料
自动化数据采集(录音、视频等)
第三方渠道采集( Office 文档、 PDF 、图片等)
收集的渠道和方式大差不差,对于办公环境的终端电脑,则可以利用业界较为成熟的 DLP 系统,其中资产管理模块可以对存放在终端的文件进行扫描识别。
3. 法律实体识别梳理
法律实体识别和数据处理活动本质上都是解决数据如何流动这一回事儿。数据主体是这个数据流转中涉及到的主体
4. 数据处理活动识别梳理与数据映射
数据处理活动聚焦于一个活动中,这个数据从哪儿来到哪儿去,目的是什么?
那么用到的隐私科技工具是数据映射,通过辅助的功能,能够结构化的梳理数据的生命周期,并且生成一个直观的数据流。
能把握这个数据从采集到存储到应用再到删除的全过程。
5. 隐私政策文本设计
隐私政策,是企业在个人数据与隐私保护的「门面」。是刚才梳理的那些清单、流程的一个集合。隐私政策的草拟通常由企业的法务团队负责,作为安全与隐私团队,可以做的是为法务团队提供技术支撑。
(五)构建阶段
这个阶段是企业全面构建自动化处理、自动化响应能力的阶段。
1. 基于默认和设计的隐私
首先隐私设计( Privacy by Design )是指导着目前全球隐私工程设计的落地实践,是值得借鉴和参考的。基本原则的简介如下:
积极预防,而非被动救济:隐私应该尽早地被考虑,而不是等出事件再考虑;
隐私默认保护:目的说明、目的限制、数据最小化和数据使用/保留等要求应该默认嵌入组织、流程和系统中;
将隐私嵌入设计之中:隐私必须以整体,整合和创新的方式嵌入技术,运营和信息架构中。建立框架和原则、进行隐私影响和风险评估,做好安全控制,降低隐私影响。例如将隐私设计嵌入DevSecOps或SDL的应用安全实践中;
功能完整--正和而非零和:强调隐私和业务功能不应该冲突,而是相辅相成,相当益彰的关系,隐私应作为产品的核心价值体现。可以参考苹果公司的隐私品牌价值嵌入和宣传方式;
端到端安全--全生命周期的保护:从终端到生产,从收集到销毁,建立全面的安全控制保护;
可见性和透明性:应建立问责制以落实隐私保护责任,向用户公开企业隐私政策和策略以供检验,建立举报投诉渠道以接纳用户声音;
尊重用户隐私:应该以便捷的方式响应用户的数据主体权利,防止企业滥用、误用个人数据。
2. 同意管理
数据主体的授权同意几乎是最常见的个人数据收集与处理的法律基础。提到同意管理,就不得不提到2个灵魂拷问——
第一,监管机构要求你提供数据主体同意的记录依据,你能提供吗?
第二,数据主体什么时候撤回同意的,撤回了哪个数据的同意,你能证明吗?
这方面如果想做的严谨,需要建立细化的数据收集清单,并且收集清单每一个数据收集点都可以与同意记录进行关联,并且已录入数据库中。
3. APP 合规管理
移动应用合规,是一种先进的移动一体化合规管理工具。除了在资产清单识别梳理过程中启用 SDK 扫描和 APP 权限扫描外,移动应用合规可以提供一个合规 SDK ,与企业的 APP 集成。
它可以具备以下能力:
① SDK 收集行为查询:如果在数据主体同意管理模块设置了 SDK 的数据收集点。那么该功能可以允许第三方 SDK 向这个合规 SDK 查询它有没有得到用户同意收集个人数据。合规SDK会向第三方SDK响应「是」或「否」;
② SDK收集数据事件监听与阻断:合规 SDK 可以监听第三方 SDK 收集数据行为事件,如果发现未经用户授权同意的数据收集行为,可以进行实时阻断;
③ 地理位置规则:可以通过合规 SDK 识别手机所处的地理位置,自动识别当地司法管辖区的同意模型。
④ 用户隐私偏好中心:这跟数据主体同意的用户隐私偏好中心是一样的,只是这个位置可以根据企业的产品品牌设计的 Logo 、风格、颜色搭配进行自定义设置,使其更符合企业产品的风格。这个风格设置可以交给产品团队的 UI 同学进行设计。
4. Cookies 合规
Cookies 合规同样是隐私管理平台的功能之一,除了可以在资产清单识别梳理环节帮理清 Cookies 信息外,也可以提供地理位置的同意模型选择,并帮助用户 Cookies 横幅和 Cookies 偏好中心嵌入网站中。
这个 Cookies 偏好中心,同样可以跟数据主体同意管理以及移动应用合规管理的用户隐私偏好中心进行集成,以一致的风格对外展示。
5. 数据主体访问请求 DSR
《个保法》要求企业建立便捷的行使个人行使权利的申请受理和处理机制。企业内部请求响应工作流,它包括这些交互主体,不同的主体干了这些事情——当收到数据主体访问请求后,可以根据组织职责,分配各自的工作内容,包括客服挽留、业务审批、法务符合性审批、隐私团队审批和 DBA 实际数据操作等。
6. 事件响应管理
在真的发生相关事件时,应启动计划,做好调查、抑制、处理、溯源、取证和通知工作。
最重要的是根据事件严重程度判断是否对数据主体的权利、自由和其他权益造成高风险,从而判断是否通知数据主体。
(六)持续运营阶段
实施构建阶段完成后,企业已经具备个人数据与隐私管理的基础框架了,接下来更重要是做好体系化的运营工作,确保每一个环节能够顺畅运作。持续运营,关注持续变化识别,以及各个相关方的交互。
1. 持续的变化识别
根据前面提到的数据安全与隐私保护框架的识别模块要求,应该持续对法律合规、业务状况、数据状况、商业环境、生态合作和安全风险进行持续的识别,发现变更后,应该及时更新隐私管理的各项清单内容。
2. 数据主体交互
数据主体的交互,主要是做好隐私通知、权利响应,维护好权利响应和投诉举报渠道。
另外,对企业客服人员做好相应的培训也是至关重要的,他们是企业对外的窗口,专业的用语,统一的话术,没有歧义的指引。
可以在企业官网做一些安全与隐私的宣传教育,使用户在使用企业产品的时候,知道怎么设置好账号的安全性,防范警惕电信诈骗等。
另外,定期改密短信以及 2FA 绑定提醒,都是有效的交互方式。
3. 监管机构交互
监管机构的良好交互是确保不会收到巨额罚单的重要前提。
企业应该维护好沟通联络渠道,企业要获得业务开展范围内各司法管辖区的监管机构联系方式,设法取得联系。
企业应能及时获悉监管最新动向,按要求做好隐私认证、测评工作。企业的 DPO 应该在隐私政策中公布联系方式,让监管机构能找到对应负责人
4. 供应商(数据处理者)交互
企业应建立良好的供应商安全管理流程,在引入供应商的时候做好尽职调查,对供应商的资质和能力做好充分的评估。
签署合同前,要做好数据处理协议的签署,明确双方的责任义务,确立数据权利响应的分工,提出应急演练协同和定期供应商审计的要求。特别要关注的是 SDK/API 收集数据的实际情况,建立良好的合作方式,共同解决问题。
5.员工交互
员工交互应该把握几个关键点,包括明确责任、建立 DPO 机制、入职离职、安全培训宣贯、奖惩管理、协议管理、沟通管理等方面。
这些工作机制,大部分应该与企业的人力资源部门做好沟通,将对员工安全的管理措施融入到企业的员工管理制度中。
六大阶段,如何用技术常识赋能你的隐私合规方案?
作者:乔思淼来源:iLaw合规

数据时代,我们真正想要做好隐私保护和数据合规,必须要掌握一定的隐私科技,让技术成为合规建设上的一个工具/手段。