前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >数据视角下的隐私合规

数据视角下的隐私合规

原创
作者头像
用户10816666
修改2023-11-01 14:44:06
3420
修改2023-11-01 14:44:06
举报
文章被收录于专栏:用九智汇分享

千呼万唤始出来,犹抱琵琶半遮面

2016年6月,通用数据保护条(GDPR)正式发布,其长臂管辖权对全球企业在隐私合规领域产生了深远的影响,在GDPR 5周年之际,截止2023年3月1日,GDPR累计罚款27.7亿欧元(Numbers and Figures | GDPR Enforcement Tracker Report 2022/2023 (cms.law))。

2018年6月,美国加州立法机构颁布了CCPA,但颁布之后引发了很多争议,立法机构进行了多次修订,对多种场景进行了豁免。2年之后的2020年11月3日,加州选民绕过了立法机构投票通过了第24号提案,也就是《2020年加州隐私权法》(CPRA),对CCPA做了很多实质性的修订,并创建了一个独立的数据监管机构——加利福尼亚隐私保护局,有效地阻止了加州政府通过未来立法破坏这些变化。

2003年5月,日本通过个人信息保护法(APPI),并于2005年4月全面实施,是亚洲最早制订隐私合规立法的国家,立法者考虑到信息通信技术日新月异的发展,承诺每隔三年对该法进行一次修改,最新一次的大修订(2020年修订案将于2022年4月1日生效),增强了用户权利、加重了数据处理者的义务、扩大域外适用范围、加重了惩罚措施等条款。

截止2021年12月,全球已有137个国家对数据和隐私的保护进行了立法,数据处理活动需严格遵守相关国家的合规要求(Data Protection and Privacy Legislation Worldwide | UNCTAD)。

2021年11月1日,《中华人民共和国个人信息保护法》正式实施,拉开了中国的隐私合规的序幕,也为全球数字治理贡献的中国方案,配套的执行标准也在陆续出台,各行业也在出台行业性的相关标准,包括金融、汽车、医疗、智能终端、政务等(下面仅做部分举例):

2020年10月1日起实施 GB/T 35273《信息安全技术 个人信息安全规范》

2020年2月13日起实施 JR/T 0171《个人金融信息保护技术规范》

2021年6月1日起实施 GB/T 39335《信息安全技术 个人信息安全影响评估指南》

2021年7月1日起实施 GB/T 39725《信息安全技术 健康医疗数据安全指南》

2022年9月1日起实施 《数据出境安全评估办法》

2023年5月1日起实施 YD/T 41871《信息安全技术 汽车数据处理安全要求》

2023年10月1日起实施 GB/T 42460《信息安全技术 个人信息去标识化效果评估指南》

2023年12月1日实施 GB/T 42574《信息安全技术 个人信息处理中告知和同意的实施指南》

...

但毕竟《中华人民共和国个人信息保护法》正式实施还不到2年,还有很多领域及行业的执行标准还有待细化,相关处罚也还比较少,犹抱琵琶半遮面,还有待时间去揭开他的全部面纱。本文并不从法律视角去解读各个场景的隐私合规要求,而是尝试用技术视角去看隐私合规的数据脉络。

轻拢慢捻抹复挑,初为霓裳后六幺

《中华人民共和国个人信息保护法》在框架层面几乎与国际个人信息保护通用原则全面接轨,差异点主要在每项义务的数据定义、场景认定、合规流程事项及罚则上,从大块来拆分数据处理者主要履行的义务有个人信息影响安全评估,处理活动记录,告知与同意,主体权利响应,个人信息保护,数据留存管理,第三方管理,数据泄漏响应等方面。

个人信息影响安全评估,个保法第55条,GDPR Article 35

处理活动记录,个保法第55条,GDPR Article 30

告知与同意,个保法第14条,GDPR Article 7

主体权利响应,个保法第四章,GDPR Article 15-21

数据留存管理,个保法第47条,GDPR Article 17

第三方管理,个保法第21条,GDPR Article 28

个人信息保护,个保法第51条,GDPR Article 35

数据泄漏响应,个保法第57条,GDPR Article 33-34

每一个主题本身都有非常多的合规点,比如个人信息影响安全评估过程中,可能会引入特殊场景,包括APP合规、数据出境、未成年人保护、自动化决策等,再比如数据留存管理,除了告知同意中的协议规定之外,还需要考虑行业规定综合判断数据留存期限,比如金融领域的反洗钱法规定客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年,医疗领域的医疗机构病历管理规定住院病历,医院保管时间不得少于30年等。

隐私合规犹如一个三维象限,x是专题(如PIA、RoPA、Consent等),y是各国法规(如个保法、GDPR等),z是行业(如金融、汽车、医疗等),犹如一个魔方,拆来开每块积木,都有丰富的内涵,先挖个坑,未来再来专题讨论。

嘈嘈切切错杂弹,大珠小珠落玉盘

我们抛开每个专题的细节,探究各个主题的关联性。个人信息影响安全评估、处理活动记录、告知与同意、主体权利响应、个人权利保护、数据留存管理、第三方管理、数据泄漏响应这8个专题看似独立,他们犹如一个一个珠子独自散落,但内在有一根线将他们串联在一起,而这根线就是“数据”。

PIA&RoPA

PIA与RoPA有非常强的关联性,尤其在个保法第55,56条中,将两者放在一起规定,常规的实践中,我们会把RoPA作为PIA的前置步骤,也就是先梳理数据流转再来做PIA评估(RoPA->PIA)。但在国内实践PbD的过程中,有些企业会在RoPA之前加入一个“评估前的评估”,我们暂且把他称之为“前置评估”,它的出现主要有两个原因,第一不是所有的业务上线都需要进行RoPA记录,比如不涉及到个人数据的业务场景,轻量的“前置评估”,可以很好对业务分类,在PdD的前提下加快业务开展的同时减轻合规压力。第二RoPA的数据全生命周期梳理本身是比较耗时的,轻量的“前置评估”可以重点关注在采集和传输上,由业务来主导,完整的RoPA由合规来主导,能很好的平衡业务和合规压力。在这种实践的思路下,流程就变成“前置评估”->RoPA->PIA。无论采用哪种方式,都要结合企业实际的业务情况和管理水平来看,选择最优的方式,两种方式的落地,用九智汇的平台都能很好的支持。

前面谈到了PIA&RoPA的关联与落地,那来看看PIA&RoPA与其他合规事项的关系,PIA&RoPA都是在业务开展之前执行的,与后续的合规事项产生联动。

To 告知与同意,基于RoPA的变动及时联动告知的协议,及时变更。

To 主体权利响应,基于RoPA的存储信息及传输信息,制定权利响应的数据收集流程。

To 第三方管理,基于RoPA的引入(采集或传输)的第三方,管理第三方。

To 数据泄露响应,基于RoPA的存储信息及传输信息,评估可能的泄漏点及泄漏影响范围。

告知与同意

To 主体权利响应,取消同意也是主体权利响应的场景之一,基于撤回同意的协议,完成对对应数据的处置(删除/匿名化/停止使用)。

To 数据留存管理,基于适用法律法规要求及相关协议中约定的留存期限,来设置相关数据的留存策略。

To 个人信息保护,基于同意的记录,在访问控制层面,做到专数专用,匹配协议中采集的目的及同意的人群。

隐私合规完美的形态可能是打开任意一个数据,你都能知道他关联了哪个RoPA,场景,方式,目的,关联了哪个PIA,关联了哪个隐私协议,关联了哪些同意记录,关联了哪些实际使用场景,关联了哪些留存策略,关联了哪个数据主体,从而满足主体权利响应,第三方管理,数据留存管理,个人信息保护,数据泄漏响应的合规要求。

东船西舫悄无言,唯见江心秋月白

之前有位客户问了我们一个问题,隐私合规为什么要做数据治理?这篇文章是我们的一些思路,但是从落地角度是否一定要做,答案是不一定,每个企业的业务复杂度、合规压力、系统复杂度都不同,举个例子,比如工业企业的隐私合规,采集的个人信息以供应商及员工的个人信息为主,PIA和DSAR都可以轻量化的方式实现,以性价比最高的方式落地隐私合规义务。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 千呼万唤始出来,犹抱琵琶半遮面
  • 轻拢慢捻抹复挑,初为霓裳后六幺
  • 嘈嘈切切错杂弹,大珠小珠落玉盘
    • PIA&RoPA
      • 告知与同意
      • 东船西舫悄无言,唯见江心秋月白
      相关产品与服务
      应用合规平台
      应用合规平台(Application Compliance Platform)是一款提供小程序、移动 App 应用隐私合规检测的产品,基于相关法律法规、国家标准、行业标准等,对小程序、移动 App 应用进行静态、动态的技术检测,结合腾讯灵犀隐私合规专家团队专业意见,帮助企业识别应用的数据隐私合规问题,助力企业安全合规。
      领券
      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档