在上篇中(隐私工程实践路径系列:PIA篇(上)),我们重点讨论了PIA的定义及发展历程,以及企业在面对PIA工作中的重点及难点,本篇接下来的内容中,我们将以隐私保护专家在企业内最常面临的实际情况为例,介绍如何使用技术化手段一一化解。
1、业务场景太多太杂,如何有序梳理并制定合理PIA计划?
场景是进行合规管理的基石,开展PIA工作之前,首先需要按照场景,梳理数据处理活动情况。相较于线下的手工Excel表单梳理方式,我们更推荐采用所见即所得的数据流向绘制工具的方式来完成梳理。
数据流向绘制工具
某Excel模板(GDPR)
数据流向绘制工具支持直接绘制、Excel导入、从评估导入(与评估系统联动使用)3种方式,均可生成可视化的数据流向图;支持在图中体现数据收集、使用、存储、访问、公开、删除、传输等满足《个保法》、GDPR要求的数据生命周期情况。
数据处理活动系统支持自动汇总生成应用系统数据清单、第三方数据清单、数据主体清单以及法律实体数据清单。
2、监管法规持续完善,评估模板需要不断升级
即便是在同个企业内,根据业务线的不同,需要设置的评估模板也不同,常用的评估模板例如《PIA标准评估模板》、《第三方数据共享评估模板》、《数据出境自评估模板》、《数据安全风险评估模板》等等,任意模板均支持自定义编排设计,可以随着监管法规的更新,以及企业内部合规体系的完善,而逐步升级。
提供灵活问卷设计能力同时,数据合规评估系统支持两项引擎能力:
编排引擎:支持配置复杂的条件触发更多问题,例如在答题过程中,系统自动检测是否填写收集了敏感个人信息,一旦涉及到处理敏感个人信息,自动出现“用户明示同意”、“隐私政策更新”等进一步评估问题。
规则引擎:在规则引擎下的辅助下,支持评估回答满足约定情况时,触发更多的任务事项,例如在“收集敏感个人信息”且“未设计用户明示同意交互”的情况下,自动判定存在“用户同意风险”;或者在以上情况出现时,执行“创建重点事项提醒”、“创建另一个评估”等等。
3、风险治理是一场拉锯战,任务清单式跟踪更省心
评估风险产生后,需要相当长时间来与业务商讨合规策略,甚至需要改动部分业务功能设计,这会耗费很多时间与精力,风险治理过程稍长,非常容易导致风险任务踢皮球现象;而另一方面,稍有不慎错过业务功能上线时间,分分钟陷入“保业务上线还是保合规”的尴尬局面。
数据合规评估系统提供了清单式的风险治理任务跟踪功能,从风险的产生、解决方案的记录、业务风险责任人、合规部门责任人的指定、处置过程的留档,有效的进行了风险全生命周期管理;并可以设置风险临期提醒、个人风险任务统计。
4、评估不只是合规专家的工作,业务的参与必不可少
大多数评估系统在设计上,往往仅设计了合规工作的开展流程,却没有照顾到业务部门作为参与方的体验需求,而实际上合规工作很多时候需要业务老师的支持。
数据合规评估系统非常重视评估管理端、评估业务端的协同设计,向评估双方都提供了良好的评估体验,例如在评估业务端,我们设计了评估业务端工作台,通过评估状态自动跟踪、智能评估提醒、我的任务统计等功能,让业务方能够快速上手,更省心省力的完成评估。
同时,数据合规评估系统支持与企业微信、飞书、钉钉等第三方办公软件集成,可以直接将任务推送至移动端消息通知,无缝对接生产办公工具.
5、业务方合规意识不强,如何潜移默化培养合规心智?
企业的PIA制度实践,乃至数据合规体系建设,在真正落地的过程中,都离不开整体合规心智水平的提升,那么在PIA的过程中,又有哪些可以培养业务方合规心智的细节呢?
数据合规知识库同时收录了1700余部法律法规、监管部门规定/通知,在业务人员填写评估问卷、查看评估结果、治理评估风险等多个场景上,系统都支持了可以预设法律依据、合规要点、监管判罚案例、内部Q&A等合规内容建设入口,业务方在参与评估过程中,随时可以查看到这些合规的内容,一方面加深了对合规老师的信任,另一方面在潜移默化中提高了合规心智水平。
6、合规工作如此重要,更要学会“高效汇报”
数据合规管理系统提供了一站式的数据分析报表平台,甚至还提供了“可配置化报表”功能,可以任意设置不同的维度作为统计口径,例如按各部门维度统计Q2季度的评估完成情况/风险治理情况、按风险的分类维度统计历史评估风险的分布方式并排序Top10,更加清晰直观的展示评估工作成果。
阅读原文:
