接上篇,我们从数据视角探讨了个人信息影响安全评估、处理活动记录、告知与同意、主体权利响应、个人信息保护、数据留存管理、第三方管理、数据泄漏响应这8个专题的关联性,这篇文章将从数据另外一个视角,数据处理活动的事前和事后来探讨这8个主题的内在逻辑,同时探讨目前市场对隐私合规的几个误区。
见本而知末
当下市场存在的误区之一是从数据发现或者流量检测层面出发来治理隐私合规,但实际上这是一定程度的“舍本逐末”。最简单的一个逻辑就是一旦你监测出了违规,实际上已经违规了。所以在《个保法》中都明确说明了数据处理活动需要“事前”评估,围绕隐私合规的8个专题当中有4个都是事前合规要求,分别是个人信息影响安全评估、处理活动记录、告知与同意、第三方管理,比如:
个人信息影响安全评估&处理活动记录:个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录 ————《个保法》第55条
告知与同意:个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项 ———— 《个保法》第17条
第三方管理:个人信息处理者委托处理个人信息的,应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并对受托人的个人信息处理活动进行监督 ———— 《个保法》第21条
数据出境:数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。 ———— 《数据出境安全评估办法》
“事前”是隐私合规与数据安全非常大的区分点, 隐私合规的整个逻辑是建立在“见本而知末”之上,即敏感数据的处理需事前记录及评估,后续的实际处理应该与事前记录一致。那数据发现或者流量检测在隐私合规领域是否就一无是处呢,我们认为也不是,他可以起到后续的持续监督作用做到及时补救,以及在隐私合规体系冷启动的时候,帮助做已上线业务的数据梳理
当下市场存在的误区之二是隐私合规是合规、法务的事情,与业务、技术无关,但实际上这也是一种错误的意识。最简单的一个逻辑就是隐私合规评估的对象本身就是业务和技术,是需要业务技术深度参与甚至主动发起的。那如何将合规、法务、产品、技术在隐私合规层面形成好的配合效果,用九智汇也做了非常多的创新探索,Privacy Scan便是其中之一,它以代码扫描作为手段切入研发流程中来帮助梳理数据流图并发现合规风险点,在之后的文章会做详细介绍。
执一而应万
当下市场存在的误区之三是隐私合规全是事前的Paper工作,与实际数据无关。这个问题我们在上一篇中也做了说明,围绕隐私合规的8个专题当中有4个都是和“事后”落库数据相关,分别是主体权利响应、个人信息保护、数据留存管理、数据泄漏响应。而他们“执一而应万”的核心就是数据发现,解决Know your data的问题,解决数据在哪,数据是什么,数据主体是谁,数据留存期限,数据谁在用等问题,比如
主体权利响应需要数据发现和处理活动记录作为输入,利用处理活动记录找出涉及到的应用和三方以生成行权流程,利用数据发现能力找出具体应用中的个人数据,以满足复制权/查阅权/删除权
个人信息保护需要数据发现作为输入,利用数据发现能力找出所有敏感数据分布,并加入相应的管控措施
数据留存管理需要数据发现及隐私政策作为输入,利用数据发现能力找出所有敏感数据分布,综合隐私政策和行业法规,执行留存策略
数据泄漏响应需要数据发现作为输入,利用数据发现能力找出所有敏感数据分布及数据主体,对比泄漏数据判断泄露点并做影响分析,执行应急策略
当下市场存在的误区之四是数据合规治理就是做数据分类分级。在数据安全的体系下,数据发现可以认为就是数据分类分级,以满足数据管控的要求,但如果加入隐私保护的体系,我们认为数据合规治理的含义会更广,除了数据分类分级之外,他还需要引入主体识别的能力、留存期限的问题、处理目的等问题以满足主体权利响应、个人信息保护、数据留存管理、数据泄漏响应的合规要求,用九智汇在数据合规治理层面也做了非常多的创新探索,标识实验室便是其中之一,它以开放模型平台的方式帮助数据治理同学自主完成数据识别建模,加快数据合规治理效率。
这篇我们通过“见本而知末,执一而应万”介绍了隐私合规在数据处理层面存在事前与事后的两面性。下篇我们将从数据流转层面介绍隐私合规的两面性,此处先用两句偈语埋个伏笔。
身是菩提树,心如明镜台,
时时勤拂拭,勿使惹尘埃。
菩提本无树,明镜亦非台,
本来无一物,何处惹尘埃。
阅读原文:
