隱私計劃管理--隱私治理
1.全球隱私現狀
1.1隱私需求現狀
隱私已成為全球范圍內的重要議題。因此,組織無法再忽視相關法律法規以及行業最佳實踐對于保護個人信息的規定。政府會繼續實施更嚴格的法律法規,消費者也會繼續要求其所選擇的組織為自己的信息提供更多保護。因此,為滿足此類要求,組織必須對其所保管的信息實施更多控制措施、流程和程序。迫于當前的諸多影響和壓力,全球隱私團隊必須嘗試跟蹤、管理和監測可能不斷發生的動態變化。
1.2國際全面隱私法現狀
根據IAPP官方2022年4月發布的全球綜合隱私法映射圖,能夠通過該份報告看到目前全球約有143個國家或地區發布了全面的隱私保護立法,以下列出部分重要國家或地區隱私立法情況。
國家或地區 | 立法名稱 | 主管機構 |
中華人民共和國 | ||
歐盟成員國 | 歐盟數據保護委員會及各成員國數據保護監管機構 | |
巴西 | ||
加拿大 | The Personal Information Protection and Electronic Documents Act | |
新加坡 | ||
韓國 |
1.3美國隱私法現狀
美國與歐盟和許多國家不同,從聯邦層面美國目前沒有統一的、綜合的聯邦層面數據與隱私安全立法,主要是通過行業立法和州立法來保護隱私。
美國聯邦層面也在積極推進《美國數據隱私保護法》(American Data Privacy and Protection Act,以下簡稱“ADPPA”),該法案的目標是建立一個強有力的國家框架,保護消費者的數據隱私和安全,不過目前各州存在反對聲音,其最終走向及效果仍需要時間來檢驗。
1.3.1美國行業立法
美國聯邦根據行業特點,專門制定了行業隱私法律,以下為部分行業立法:
所屬行業 | 立法名稱 | 主管機構 |
金融服務 | FTC,聯邦銀行機構和其它聯邦監管機構,以及各州保險監督機構 | |
未成年人保護 | ||
健康衛生 |
1.3.2美國州立法
為保護本州居民個人信息權益,美國各州積極推進和完善自己的隱私數據保護政策,同時美國所有50個州都通過了數據泄漏方面的立法,以下列表為迄今為止已簽署的法律:
所屬州 | 立法名稱 | 生效時間 |
California | 2020年1月1日 | |
California | 2023年1月1日 | |
Colorado | 2023年7月1日 | |
Connecticut | 2023年7月1日 | |
Indiana | 2026年1月1日 | |
Iowa | 2025年1月1日 | |
Montana | 2024年10月1日 | |
Tennessee | 2024年7月1日 | |
Texas | 2024年1月1日 | |
Utah | 2023年12月31日 | |
Virginia | 2023年1月1日 |
下圖為IAPP發布的美國州隱私法追蹤地圖:
image
2.隱私計劃管理
2.1什么是隱私計劃管理
隱私計劃管理是一種將多個項目合并到一個框架和生命周期中的結構化方法,用以保護個人信息和個人權利。通過實施和維持合理的結構化隱私計劃,組織能夠遵守法律法規要求,滿足客戶預期,同時預防和減輕隱私風險。
2.2為什么需要隱私計劃管理
- 法律法規要求
履行合規義務
符合各地區隱私法
降低員工和消費者訴訟的風險
- 降低數據泄漏風險及開拓市場
降低數據泄漏風險
實現全球運營并進入新市場
增加營收
- 超越法律和合規
增強企業品牌形象和公眾信任
增強消費者信任
提高企業競爭能力
3.隱私計劃框架
3.1如何做好隱私治理
要構建強大的隱私計劃,需要從建立合適的治理計劃開始,下圖為治理計劃建立路線:
image
3.2隱私保護愿景和使命
1.組織的隱私愿景和使命宣言至關重要,是奠定隱私計劃的其余部分基礎的關鍵因素。隱私愿景應符合組織更廣泛的目的和經營目標,根據具體的業務發展方向,這些目的和目標可能會發生變化。
2.隱私愿景通常由若干短句組成,主要簡單描述隱私部門的存在理由。組織的整體使命宣言或行為守則中也可能包含隱私的相關要求。
下表舉例說明了部分企業的隱私使命和愿景聲明。
企業名稱 | 愿景/使命 |
斯坦福大學 | 以透明且符合道德標準的創新方式使用個人數據,助力斯坦福駕馭隱私領域充滿活力的未來 |
微軟 | 助力全球每個人和每個組織達成更多成就。為此,我們正在建立智能云,重塑生產力和業務流程,以及提供更加個性化的計算技術。在此過程中,我們不僅會保持隱私的永恒價值,而且也會保留您對您數據的控制權 |
蘋果 | 隱私是每個人的基本權利,同時也是我們的一項核心價值觀。因此,我們設計產品和服務的理念就是保護隱私,并堅信這才是真正的創新 |
騰訊 | 騰訊一直以“數據向善”為原則。我們相信,用戶信息安全與隱私保護是創造安全、優質產品及用戶體驗的首要前提。在此原則下,我們堅持保護用戶數據的隱私和安全,對數據的使用始終堅持從用戶受益出發,致力改善產品與服務,并嚴格遵守適用的法律及法規 |
中興 | 中興通訊高度重視隱私保護,遵守業務所在國家和地區適用的隱私保護法律法規,將隱私保護作為“法律遵從、信任共建、道德履行”的重要基線 |
百度 | 百度的使命是用科技讓復雜的世界更簡單。我們希望通過不斷地研發新技術、推出新服務,以產品和業務不斷提升的智能化推動您的生活更加高效、更加便利。 百度的愿景是成為最懂用戶,并能幫助人們成長的全球頂級高科技公司。我們希望以多年的技術積累和持續創新的產品,為用戶、客戶、伙伴提供最貼心的服務;我們將一如既往的重視您的隱私的保護,并將持續提升隱私控制功能,使您可以控制您的隱私 |
3.3定義隱私管理范圍
每個組織都應履行特定的合規義務,確保遵守相關法律法規,因此,您需要確認具體適用的隱私和數據保護法律法規。以下是用于確認范圍的方式,包括以下兩個步驟:
- 確認收集和處理的個人信息
- 確認適用的隱私和數據保護法律法規
3.3.1確認收集和處理的個人信息
3.3.1.1信息收集方式
為了解您的組織收集、使用、存儲和以其它方式處理的個人信息,可根據組織實際情況選擇不同的方式開展信息收集工作,以下列出兩種不同的方式,它們各有優缺點。
- 通過安排與職能部門(通常負責收集、使用、存儲和以其它方式處理個人信息)進行信息收集訪談,以此確定數據在整個組織中的位置
- 輕松自己麻煩別人,當然隱私管理是整個集團的工作目標
- 通過第三方協助完成信息收集工作(外部咨詢公司、數據自動化發現工具)
- 適用于復雜的數據環境
- 更具條理的數 據確認工作有助于形成更加準確、詳細的數據清單、地圖和其它輔助文件
- 維護成本低
3.3.1.2部分關鍵問題
為提高效率,以下列出了部分關鍵問題以方便確定范圍:
- 誰負責收集、使用和維護有關個人、客戶和員工的個人信息?
- 收集什么類型的個人信息,收集信息的目的是什么?
- 數據存儲在哪里(應用程序、系統以及國家 地區)?
- 數據傳輸的對象是誰?
- 內部和外部誰有權訪問數據(如第三方)?
- 何時(例如,交易或雇用過程中)以及如何(例如,通過在線方式)收集數據?
- 數據保留時間是多久,如何刪除數據?
- 目前有哪些保護數據的安全控制措施?
3.3.2確認適用的隱私和數據保護法律法規
為確認組織對于數據承擔的相關隱私義務,除遵守當地數據保護和隱私法律外,對于向身在其它國家地區的個人提供服務的組織,或者在海外設有辦事處的組織而言,可能還需要遵守全球隱私義務。
若您的組織計劃在數據保護法規不健全或未制定數據保護法規的司法管轄區內開展業務,請按照可實現的最高標準制定組織的要求、政策和程序,而不是降低標準迎合業務所在國的隱私保護水平。最佳實踐是選擇限制性最強的政策,而不是限制性最弱的,這會減少組織所面臨的隱私相關風險。
確認范圍過程中同樣面臨著挑戰,若想制定全球性計劃需要了解文化規范、差異以及隱私保護方式。
3.4制定和實施隱私框架
為落實個人信息處理和保護過程中所需的控制措施,應通過合適的隱私框架制定有效的隱私計劃,該做法具有如下優勢:
- 有助于組織從實質上遵守其適用的各類隱私法律法規
- 通過體現組織在個人信息保護方面的重視,贏得信任,從而獲得競爭優勢
- 支持對利益相關者、客戶、合作伙伴以及供應商提出的商業承諾和目標
可使用NIST的《隱私框架》確認和管理隱私風險,該框架是供各種規模的組織廣泛使用的自愿性工具,并分成三個關鍵部分: - "核心"隱私保護活動,隱私計劃應考慮此類活動,并以此為基礎
- 關注"概況",這部分是組織希望基于風險偏好、未來預期和資源等因素定制的活動
- "層級",該部分要求組織考慮可在特定情況下實現的運營成熟度水平,同樣以關鍵標準為依據
此外可將隱私保護設計(又名“Pbd”或“數據保護設計”)加入到隱私治理框架中,Pbd是一種根據七大基本原則制定隱私計劃和設計系統的方法,Pbd的總體意圖是確保在生命周期開發的各個階段(即系統、產品、特征和流程)考慮隱私要求和相關因素,七大基本原則如下:
- 主動而非被動;預防而非補救
- 將隱私作為默認設置
- 將隱私嵌入設計
- 完整功能正和,而不是零和
- 端到端安全全生命周期保護
- 可見、透明 保持開放性
- 尊重用戶隱私以用戶為中心
目前國際上也有其他一些隱私框架可供組織選擇,如:" (OECD)《關于隱私保護和個人數據跨境流動指南》、(APEC)《隱私框架》、ISO/IEC 29101《隱私架構框架》等",同時國內也在逐步推出適合中國國情的隱私框架。
3.5制定隱私策略
下一步便是制定整體隱私策略,"一個鏈條的堅固程度取決于它最薄弱的環節 ",這句話非常適合形容組織處理隱私計劃的方式,本質上隱私策略是一種組織用于溝通和
支持隱私計劃及其愿景的方法,具體的隱私策略包括但不限于以下各項:
- 為隱私團隊提供資源和裝備
- 為重要的隱私強化資源和技術提供資金
- 開展培訓和意識教育,并對未能遵守隱私政策和程序的員工追究責任
- 確保業務聯系人數據的安全,并尊重這些個人的選擇
- 整合有效的安全控制措施,構建安全的網站,以及創建適當的解決方案
- 保障個人數據(硬拷貝和電子方式) 在收集、存儲和傳輸過程中的安全
3.5.1確定利益相關者和內部合作伙伴
最有挑戰的工作是認同“將隱私作為必要的業務條件”,因此在構建隱私計劃和必要的支持性策略的過程中需要分階段建立并與組織管理層成員乃至最高執行領導達成共識,大致工作內容如下:
- 獲得支持的最佳實踐是從所在部門的最高領導開始,然后沿著管理鏈向上,必要時可進行初步的介紹說明,并獲得認同/建議
- 確定隱私計劃發起人,計劃發起人應該是理解隱私重要性的人員,還應成為您以及該計劃的擁護者,通常情況下,發起人會在組織內擔任風險或合規主管,也可由首席信息安全官、首席合規官或總法律顧問共同擔任計劃發起人
- 開發內部合作伙伴,以下是一些最佳實踐:
- 參考其他組織處理和查看個人信息的方式
- 了解商業背景下的數據使用情況
- 協助在持續項目中構建隱私要求,進而降低風險
- 在提出減少個人信息暴露風險的解決方案的同時,幫助員工實現自身目標
- 邀請員工加入隱私倡導小組,推進實施隱私相關的最佳實踐
- 針對支持隱私計劃開發和啟動工作的利益相關者(包括專門的隱私委員會)定期舉行研討會,通過為組織定義隱私、說明市場預期、解答問題和減少混淆,以拉齊大家對隱私的認識水平
- 關鍵的內部利益相關者組建指導委員會,以明確資產和責任的歸屬
3.6組建隱私團隊
組建隱私團隊通常是組織正規化其隱私處理方式的最后一個目標,根據具體業務需求為隱私辦公室選取合適的治理模型,以及建立職責定義和報告關系的適當組織模型。
3.6.1隱私團隊治理模型
根據自身的業務運營狀況,考慮僅在特定地理區域內還是全球范圍內應用該模型,無論選擇哪種模型,均需考慮下述關鍵任務,確保所選模型最適合企業目的:
- 邀請高層領導加入
- 邀請利益相關者加入
- 開發內部合作伙伴
- 提供靈活性
- 進行溝通
- 開展合作
3.6.1.1集中式
集中式治理模式比較常見,特別適合單一業務的組織使用,在此類組織中,通常由同一小組完成規劃和決策。只需一個團隊或一個人負責隱私相關事務,其他所有人或組織都通過這個單一聯絡點開展工作。
優點:
- 組織的運營效率高
- 流程較簡單
缺點:
- 團隊成員無法自行決策,必須尋求更高層級的同意
3.6.1.2分散式
分散式是指將決策權下放至組織的較低層級,分散式組織的組織架構層級較少,控制范圍廣,能夠形成自下而上的決策和觀點流動。
優點:
- 可創建和管理自己的商業實踐
缺點:
- 存在重復流程
- 效率低下
3.6.1.3混合式
混合式治理模型可以實現集中式和本地治理的綜合運用,組織任命一名員工或者一個部門主要負責隱私相關事務,向組織其他部門發布政策和指令。然后由本地實體實施和支持來自該總部的政策和指令。
優點:
- 減少了員工受到的外部干擾
- 實現員工價值
- 組織資源集中
- 維護了共同的使命、價值和目標
- 實現全球層面或本地層面的預期目標
- 工作效率高
- 保持決策的可見性和一致性
缺點:
- 不適合單一業務組織
3.6.2隱私組織架構
在建立整體組織隱私模型時,必須考慮與策略、合作和管理相關的組織架構,明確職責和報告機制,以下是架構中各單元職位:
崗位 | 職責 |
首席隱私官 | 該崗位屬于企業領導者,主要負責制定公司隱私策略,運行隱私計劃。該崗位常見于大型全球性組織。需要注意的是,該崗位并非總是直接向執行委員會報告,具體取決于組織架構 |
隱私總監/經理 | 該崗位屬于中層崗位,通常向或同等職位報告,負責協助實施隱私策略計劃。在大型組織中,該職位主要負責具體公司業務活動的一個特定子集(例如,廣告隱私 經理) |
隱私分析師 | 該崗位屬于初級崗位,通常負責協助戰術性的隱私計劃工作,比如通過研究協助制定關鍵決策,或幫助客戶支持部門處理具體的隱私咨詢 |
業務線隱私負責人 | 該崗位屬于高級管理崗位,常見于大型跨國企業,此類企業中往往存在多條業務線、品牌或獨立區域 |
隱私/法律顧問 | 組織通常需要法律專業知識來支持組成隱私計劃的多個工作流(例如,開展第三方盡職調查, 就合同、泄露、事件、定期通知和投訴等事務與DPA進行協商)。這些崗位的人員可能在隱私團隊,法律職能部門,或是外部顧問,或者是前述人員的組合,具體由組織決定 |
第一響應人 | 該崗位主要為某些場景中的特定隱私流程提供支持(例如,事件響應團隊成員) |
數據保護官(DPO) | 該崗位通常專為有規定要求設立DPO一職的公司保留(例如,根據GDPR第三十七條的要求) |
隱私工程師 | 該崗位屬于相對較新的崗位,側重于在產品設計中涉及隱私要求的技術實施,負責整個組織中隱私保護原則的落實工作 |
隱私技術專家 | 指在隱私保護技術或采用技術保護隱私方面發揮作用的技術專家們。包括但不限于審計、風險和合規經理/數據專家/數據架構師/數據科學家/系統設計師及開發人員/軟件工程師/隱私工程師 |
組織利用具體框架高效地維持架構并開發必要流程。相關考慮因素包括:
- 指揮層-由高級管理層、領導和執行團隊組成,負責建立責任體系
- 角色定義-明確職責的定義,確定個人預期和表現
- 成果評估-用于確定優勢和劣勢,以及在必要時予以糾正或增強的方法
- 組織架構變更-為滿足當前目標,采用新技術或應對競爭,保持靈活并在必要時做出改變的能力
- 重要性-復雜結構通常適用于大型組織,扁平結構適用于小型組織
- 架構類型-產品組織架構、功能組織架構和其它
- 客戶-根據組織所提供的產品和服務的特點,考慮各種不同的需求
- 利益-對于組織、客戶和利益相關者而言,與目的和目標保持一致
3.7總結
制定合適的計劃是一項復雜且充滿挑戰的工作。在隱私治理方面,并沒有一種萬能的方法每個公司都有著獨特的全球業務、資源可用性、風險偏好、文化和業務重點,這些都影響著計劃的最終制定方式,因此了解業務所在地區的法律法規及企業內部業務特性成為了計劃建立的重中之重。
以上,就是關于隱私治理的一些個人觀點,部分數據來自IAPP歡迎大家多多指正。
