?企業內部有各種各樣的數據，包括：

• 企業經營數據，如財務報表、現金流水、產品日激活人數和活躍人數；
• 企業決策所需數據，如行業統計報告；產品收集的各類數據，包括用戶的注冊信息、行為信息等；
• 企業在收集的各類數據基礎上加工開發的數據，如用戶畫像、推薦算法模型、產品優化方向等。

數據合規管的是與用戶相關的數據，具體邊界并不清晰，而且用語都不同，有的人稱之為用戶數據，有的人稱之為個人信息，大多數人稱之為隱私。

數據合規工作的范圍是什么？從信息技術的本質而言，個人信息是一個或幾個字段，即數據。如“01010202,F,click,2021-04-21 9:26:00”，該行數據根據自定義的數據結構，含義為“ID是01010202，性別為女，在2021年4月21日9點26分發生了一次點擊行為”。數據有自己的生命周期，如下圖所示，從邏輯上可以簡單分為數據收集、使用、存儲、披露至銷毀。

▲圖1　數據全生命周期

使用“數據全生命周期”的框架，一方面符合數據的基本規律，另一方面可以幫助數據合規人員全面梳理企業處理個人信息的活動，進而分階段評估和處置相應的個人信息保護風險。

數據合規工作的方方面面

管理體系

法律對企業在個人信息處理上的規定為企業按照所處理活動的風險等提供相應、適當、必要的組織措施和技術措施。組織措施則需要依靠管理體系來加以運轉，如圖2所示，簡單來說包括個人信息保護的機構組織保障、對相關從業人員的培訓與考核，以及相應的制度保障（將合規要求落實到公司內不同層級的規范文件中）、安全事件應急響應以及安全審計。

▲圖2 個人信息保護管理體系示意圖

技術措施

適當必要的措施除了組織措施，還應當包括相應的技術措施。個人信息保護的技術措施范圍比較廣泛，既包括加密、脫敏等安全技術措施，也包括落實個人信息保護要求的產品設計技術措施。安全技術措施，如圖3所示，包括數據識別、個人信息保護、接口安全管理、數據防泄露以及操作審計。關于落實個人信息保護要求的產品設計技術措施，根據各產品類型的差異，基于產品本身帶來的風險而相應設計的合規控制措施包括差分隱私、聯邦計算等。比如，閱讀平臺建議開啟好友關系，可以互相分享讀書記錄和心得，而該功能對于部分希望讀書是私密的用戶來說是超出預期的，所以產品合規設計應為默認不開啟。

▲圖3 個人信息保護技術措施示意圖

如上所述，數據合規工作涉及多個方面，包括政策研究、合規評估、管理體系以及技術措施等，在企業內分工明晰的情況下，這些工作應由各自相關部門承擔。

數據合規工作的利益相關方

（1）功能開發相關的利益相關方

以軟件開發為例來闡釋利益相關方，如圖4所示，涉及數據合規的利益相關方如下。

▲圖4 軟件功能開發中個人信息保護利益相關方示意圖

（2）數據開發的相關利益相關方

在大數據時代，除了傳統的軟件開發，涉及更多的是數據利用，包括數據分析、數據挖掘、深度學習、算法推薦、用戶畫像等。數據開發的利益相關方涉及如下兩類。

1）數據科學家部門，包括算法工程師、數據工程師，其主要職責是通過數據實現業務的需求。例如，在網約車服務中構建算法模型匹配用戶和司機，完成最高效的派單，減少用戶等待時間。完成這樣的需求，需要大范圍地分析包括個人信息在內的數據，包括用戶集中打車地點、時間以及打車習慣等，構建相應的算法模型。數據科學家部門對數據的需求會比軟件開發相關部門更強烈，但是因為深度學習等原因，很難解釋個人信息和實現目的之間的關系。因此，數據合規人員需要與數據科學家密切合作，在保障個人信息保護的同時促進數據價值的發揮。

2）大數據平臺部門，其主要職責是構建大數據平臺，包括數據存儲架構、元數據、數據分析引擎等基礎技術架構。大數據平臺可以在數據平臺側實現個人信息保護要求，比如數據發現和數據流圖，為個人信息保護提供評估的基礎材料，同時觀察合規實施效果。

（3）管理體系和技術措施的利益相關方

如前所述，我們需要建立管理體系和安全技術措施來保障個人信息。信息安全管理體系和安全攻防等部門在個人信息保護工作出現前已經很成熟了，通常被稱為信息安全部。

數據合規工作應當與信息安全部充分合作，在信息安全管理體系上增加個人信息保護，迭代為個人信息安全管理體系，同時持續落實和鞏固安全技術措施，包括漏洞管理、數據防泄露等。

本文摘編于《數據合規：入門、實戰與進階》，經出版方授權發布。（書號：9787111705369）轉載請保留文章出處。