企业内部有各种数据,包括:企业经营数据,如财务报表、现金流量、产品日激活数、活跃数;企业决策所需的数据,如行业统计报告;各类产品采集数据,包括用户注册信息、行为信息等;企业根据收集到的各类数据加工开发的数据,如用户画像、推荐算法模型、产品优化方向等。数据合规管理与用户相关的数据。具体界线不明确,说法不一。有人称之为用户数据,有人称之为个人信息,大多数人称之为隐私。数据合规工作的范围是什么?从信息技术的本质来看,个人信息是一个或几个领域,即数据。如“01010202,F,click,2021-04-219:26:00”,该行数据基于自定义数据结构,表示“ID为01010202,性别为女,于9:00on2021年4月21日26分钟,发生了一次点击。”数据有自己的生命周期,如下图所示,从逻辑上可以分为数据收集、使用、存储、公开和销毁。▲图1 全数据生命周期采用“全数据生命周期”的框架。一方面符合数据的基本规律,另一方面可以帮助数据合规人员全面梳理企业处理个人信息的活动,进而分阶段评估并处理相应的个人信息保护风险。全方面数据合规工作管理体系个人信息处理的法律法规根据处理活动的风险,为企业提供了相应的、适当的、必要的组织和技术措施。组织措施需要依靠管理制度来运作。如图2所示,简单来说,包括个人信息保护的组织保障、相关从业人员的培训和考核,以及相应的制度保障(公司内部各级规范文件的合规要求落实)、安全应急响应等。事件和安全审计。▲图2个人信息保护管理系统示意图技术措施适当和必要的措施除组织措施外,还应包括相应的技术措施。个人信息保护技术措施的范围较为广泛,不仅包括加密、脱敏等安全技术措施,还包括落实个人信息保护要求的产品设计技术措施。安全技术措施如图3所示,包括数据身份识别、个人信息保护、接口安全管理、数据防泄露、操作审计等。针对落实个人信息保护要求的产品设计技术措施,根据各产品类型的差异,基于产品自身带来的风险设计的合规控制措施包括差分隐私、联合计算等。比如阅读平台推荐开通好友关系,大家可以互相分享阅读记录和心得,但是这个功能对于一些想要私密阅读的用户来说是超出预期的,所以产品合规设计不应该被开启默认。▲图3个人信息保护技术措施示意图如前所述,数据合规工作涉及政策研究、合规评估、管理制度、技术措施等多个方面。有关部门负责。数据合规工作的利益相关者(一)功能开发相关利益相关者以软件开发为例说明利益相关者,如图4所示,涉及数据合规的利益相关者如下。▲图4软件功能开发中个人信息保护的利益相关方示意图(二)数据开发中的相关利益方深度学习、算法推荐、用户画像等数据开发的利益相关者涉及以下两类。1)数据科学家部门,包括算法工程师和数据工程师,主要职责是通过数据实现业务需求。例如,在网约车服务中,构建算法模型匹配用户和司机,完成最高效的订单调度,减少用户等待时间。为了满足这样的需求,需要对包括个人信息在内的大数据进行分析,包括用户打车的位置、时间、习惯等,并建立相应的算法模型。数据科学家部门对数据的需求会比软件开发相关部门更强烈,但由于深度学习等原因,很难解释个人信息与目的实现之间的关系。因此,数据合规人员需要与数据科学家紧密合作,在确保个人信息保护的同时提升数据的价值。2)大数据平台部,主要职责是构建大数据平台,包括数据存储架构、元数据、数据分析引擎等基础技术架构。大数据平台可在数据平台侧落实数据发现、数据流图等个人信息保护要求,为个人信息保护评估提供基础材料,并观察合规实施效果。(3)管理制度和技术措施的利益相关者如前所述,我们需要建立管理制度和安全技术措施来保护个人信息。信息安全管理体系、安全攻防等部门在个人信息保护工作出现之前就已经非常成熟,通常被称为信息安全部门。数据合规工作要全力配合信息安全部,将个人信息保护纳入信息安全管理体系,迭代为个人信息安全管理体系。同时,继续落实和巩固安全技术措施,包括漏洞管理和数据泄露防护。本文节选自《数据合规:入门、实战与进阶》,经出版社授权发布。(ISBN:9787111705369)转载请保留文章出处。
