灵魂拷问:你的数据被合规使用了吗?.docx
企业内部有各种各样的数据,包括: 企业经营数据,如财务报表、现金流水、产品日激活人数和活跃人数;企业决策所需数据,如行业统计报告;产品提供的各类数据,包括用户的注 册信息、行为信息等; 企业在提供的各类数据基础上加工开发的数据,如用户画像、推荐算法模 型、产品优化方向等。数据合规管的是与用户相关的数据,具体边界并不清晰,而且用语都不同, 有的人称之为用户数据,有的人称之为个人信息,大多数人称之为隐私。数据合规工作的范围是什么?从信息技术的本质而言,个人信息是一个或几 个字段,即数据。如“01010202,F,click,2021-04-21 9:26:00”,该行数据根据 自定义的数据结构,含义为“ID是01010202,性别为女,在2021年4月21 日9点26分发生了一次点击行为”。数据有自己的生命周期,如下列图所示, 从逻辑上可以简单分为数据收集、使用、存储、披露至销毁。其他合法性处理基础图I数据全生命周期 使用“数据全生命周期”的框架,一方面符合数据的基本规律,另一方面可以 帮助数据合规人员全面梳理企业处理个人信息的活动,进而分阶段评估和处 置相应的个人信息保护风险。数据合规工作的方方面面管理体系法律对企业在个人信息处理上的规定为企业按照所处理活动的风险等提供相 应、适当、必要的组织措施和技术措施。组织措施那么需要依靠管理体系来加 以运转,如图2所示,简单来说包括个人信息保护的机构组织保障、对相关 从业人员的培训与考核,以及相应的制度保障(将合规要求落实到公司内不 同层级的规范文件中)、平安事件应急响应以及平安审计。机构人员决策层(高管、数据平安仃)管理层(数据平安管理团队)执行层(数据平安运营、技术团队)监普层(审计)坦也内暂和¥枚向而刈度员工、合作伙伴员工、合作伙伴明确数据平安的政策,落实和监督等工作对应的角色和职黄. 确保数据平安工作的有效执行教育培训制定人员培训计勤开版培训人员考核评定制定数据平安管理相关同位人员培训计那么.数据平安管理黄 任人员年度培训时代不少于10学时制度保障级文件方针、总纲方针、总纲明确数据平安策略,目标、基本 原那么二级文件二级文件三级文件管理方法控制程序建江数据平安通用和数据全生命 周期管现等制度.如数据资产管 理制度.数据使用平安管理制度规范数据操作流程、作业指 导书、模板文件等.如数据 访问申请和审批流桎四级文件四级文件表单记录执行数据平安管理产生的 表单、报告.各种运行/检查汜录、日志文件等应急响应应急响应保化数据平安 案件前应能力保化数据平安 案件前应能力结合小件场景州等级 制定应急.预案实操数据平安事件 演缄总结数据平安事件 结架输出典型场景至少出年开 庭一次演缄影成事件调用记录总结报告平安审计平安审计数据平安数据平安平安策略和标ft符合性部卬技术在合性评审图2个人信息保护管理体系示意图技术措施适当必要的措施除了组织措施,还应当包括相应的技术措施。个人信息保护 的技术措施范围比拟广泛,既包括加密、脱敏等平安技术措施,也包括落实 个人信息保护要求的产品设计技术措施。平安技术措施,如图3所示,包括 数据识别、个人信息保护、接口平安管理、数据防泄露以及操作审计。关于 落实个人信息保护要求的产品设计技术措施,根据各产品类型的差异,基于 产品本身带来的风险而相应设计的合规控制措施包括差分隐私、联邦计算 等。比方,阅读平台建议开启好友关系,可以互相提供读书记录和心得,而 该功能对于局部希望读书是私密的用户来说是超出预期的,所以产品合规设 计应为默认不开启。定期对相关平台系统数据资产进行扫描.定期对数据脱敏效果进行验证数据识别个人息保护操作审计去标识化,关键字段加密技术能力规划建没具有自动化操作平安存储措施;加密传输措施。审计能力的平台系统。接口平安管理数据防泄露面向互联网及合作方开放的数据接口涉及存储、处理个人敏感信息和重要具备接口认证鉴权与平安监控能力。的数据平台系统配备数据防泄露能力-图3个人信息保护技术措施示意图如上所述,数据合规工作涉及多个方面,包括政策研究、合规评估、管理体 系以及技术措施等,在企业内分工明晰的情况下,这些工作应由各自相关部 门承当。数据合规工作的利益相关方(1)功能开发相关的利益相关方以软件开发为例来阐释利益相关方,如图4所示,涉及数据合规的利益相关 方如下。政府政府企业图4软件功能开发中个人信息保护利益相关方示意图(2)数据开发的相关利益相关方 在大数据时代,除了传统的软件开发,涉及更多的是数据利用,包括数据分 析、数据挖掘、深度学习、算法推荐、用户画像等。数据开发的利益相关方 涉及如下两类。1)数据科学家部门,包括算法工程师、数据工程师,其主要职责是通过数据 实现业务的需求。例如,在网约车服务中构建算法模型匹配用户和司机,完 成最高效的派单,减少用户等待时间。完成这样的需求,需要大范围地分析 包括个人信息在内的数据,包括用户集中打车地点、时间以及打车习惯等, 构建相应的算法模型。数据科学家部门对数据的需求会比软件开发相关部门 更强烈,但是因为深度学习等原因,很难解释个人信息和实现目的之间的关 系。因此,数据合规人员需要与数据科学家密切合作,在保障个人信息保护 的同时促进数据价值的发挥。2)大数据平台部门,其主要职责是构建大数据平台,包括数据存储架构、元 数据、数据分析引擎等基础技术架构。大数据平台可以在数据平台侧实现个 人信息保护要求,比方数据发现和数据流图,为个人信息保护提供评估的基 础材料,同时观察合规实施效果。(3)管理体系和技术措施的利益相关方如前所述,我们需要建立管理体系和平安技术措施来保障个人信息。信息安 全管理体系和平安攻防等部门在个人信息保护工作出现前已经很成熟了,通 常被称为信息平安部。数据合规工作应当与信息平安部充分合作,在信息平安管理体系E增加个人 信息保护,迭代为个人信息平安管理体系,同时持续落实和巩固平安技术措 施,包括漏洞管理、数据防泄露等。
