?企業(yè)內(nèi)部有各種各樣的數(shù)據(jù)，包括：

• 企業(yè)經(jīng)營數(shù)據(jù)，如財務(wù)報表、現(xiàn)金流水、產(chǎn)品日激活人數(shù)和活躍人數(shù)；
• 企業(yè)決策所需數(shù)據(jù)，如行業(yè)統(tǒng)計報告；產(chǎn)品收集的各類數(shù)據(jù)，包括用戶的注冊信息、行為信息等；
• 企業(yè)在收集的各類數(shù)據(jù)基礎(chǔ)上加工開發(fā)的數(shù)據(jù)，如用戶畫像、推薦算法模型、產(chǎn)品優(yōu)化方向等。

數(shù)據(jù)合規(guī)管的是與用戶相關(guān)的數(shù)據(jù)，具體邊界并不清晰，而且用語都不同，有的人稱之為用戶數(shù)據(jù)，有的人稱之為個人信息，大多數(shù)人稱之為隱私。

數(shù)據(jù)合規(guī)工作的范圍是什么？從信息技術(shù)的本質(zhì)而言，個人信息是一個或幾個字段，即數(shù)據(jù)。如“01010202,F,click,2021-04-21 9:26:00”，該行數(shù)據(jù)根據(jù)自定義的數(shù)據(jù)結(jié)構(gòu)，含義為“ID是01010202，性別為女，在2021年4月21日9點26分發(fā)生了一次點擊行為”。數(shù)據(jù)有自己的生命周期，如下圖所示，從邏輯上可以簡單分為數(shù)據(jù)收集、使用、存儲、披露至銷毀。

▲圖1　數(shù)據(jù)全生命周期

使用“數(shù)據(jù)全生命周期”的框架，一方面符合數(shù)據(jù)的基本規(guī)律，另一方面可以幫助數(shù)據(jù)合規(guī)人員全面梳理企業(yè)處理個人信息的活動，進而分階段評估和處置相應(yīng)的個人信息保護風險。

數(shù)據(jù)合規(guī)工作的方方面面

管理體系

法律對企業(yè)在個人信息處理上的規(guī)定為企業(yè)按照所處理活動的風險等提供相應(yīng)、適當、必要的組織措施和技術(shù)措施。組織措施則需要依靠管理體系來加以運轉(zhuǎn)，如圖2所示，簡單來說包括個人信息保護的機構(gòu)組織保障、對相關(guān)從業(yè)人員的培訓(xùn)與考核，以及相應(yīng)的制度保障（將合規(guī)要求落實到公司內(nèi)不同層級的規(guī)范文件中）、安全事件應(yīng)急響應(yīng)以及安全審計。

▲圖2 個人信息保護管理體系示意圖

技術(shù)措施

適當必要的措施除了組織措施，還應(yīng)當包括相應(yīng)的技術(shù)措施。個人信息保護的技術(shù)措施范圍比較廣泛，既包括加密、脫敏等安全技術(shù)措施，也包括落實個人信息保護要求的產(chǎn)品設(shè)計技術(shù)措施。安全技術(shù)措施，如圖3所示，包括數(shù)據(jù)識別、個人信息保護、接口安全管理、數(shù)據(jù)防泄露以及操作審計。關(guān)于落實個人信息保護要求的產(chǎn)品設(shè)計技術(shù)措施，根據(jù)各產(chǎn)品類型的差異，基于產(chǎn)品本身帶來的風險而相應(yīng)設(shè)計的合規(guī)控制措施包括差分隱私、聯(lián)邦計算等。比如，閱讀平臺建議開啟好友關(guān)系，可以互相分享讀書記錄和心得，而該功能對于部分希望讀書是私密的用戶來說是超出預(yù)期的，所以產(chǎn)品合規(guī)設(shè)計應(yīng)為默認不開啟。

▲圖3 個人信息保護技術(shù)措施示意圖

如上所述，數(shù)據(jù)合規(guī)工作涉及多個方面，包括政策研究、合規(guī)評估、管理體系以及技術(shù)措施等，在企業(yè)內(nèi)分工明晰的情況下，這些工作應(yīng)由各自相關(guān)部門承擔。

數(shù)據(jù)合規(guī)工作的利益相關(guān)方

（1）功能開發(fā)相關(guān)的利益相關(guān)方

以軟件開發(fā)為例來闡釋利益相關(guān)方，如圖4所示，涉及數(shù)據(jù)合規(guī)的利益相關(guān)方如下。

▲圖4 軟件功能開發(fā)中個人信息保護利益相關(guān)方示意圖

（2）數(shù)據(jù)開發(fā)的相關(guān)利益相關(guān)方

在大數(shù)據(jù)時代，除了傳統(tǒng)的軟件開發(fā)，涉及更多的是數(shù)據(jù)利用，包括數(shù)據(jù)分析、數(shù)據(jù)挖掘、深度學(xué)習、算法推薦、用戶畫像等。數(shù)據(jù)開發(fā)的利益相關(guān)方涉及如下兩類。

1）數(shù)據(jù)科學(xué)家部門，包括算法工程師、數(shù)據(jù)工程師，其主要職責是通過數(shù)據(jù)實現(xiàn)業(yè)務(wù)的需求。例如，在網(wǎng)約車服務(wù)中構(gòu)建算法模型匹配用戶和司機，完成最高效的派單，減少用戶等待時間。完成這樣的需求，需要大范圍地分析包括個人信息在內(nèi)的數(shù)據(jù)，包括用戶集中打車地點、時間以及打車習慣等，構(gòu)建相應(yīng)的算法模型。數(shù)據(jù)科學(xué)家部門對數(shù)據(jù)的需求會比軟件開發(fā)相關(guān)部門更強烈，但是因為深度學(xué)習等原因，很難解釋個人信息和實現(xiàn)目的之間的關(guān)系。因此，數(shù)據(jù)合規(guī)人員需要與數(shù)據(jù)科學(xué)家密切合作，在保障個人信息保護的同時促進數(shù)據(jù)價值的發(fā)揮。

2）大數(shù)據(jù)平臺部門，其主要職責是構(gòu)建大數(shù)據(jù)平臺，包括數(shù)據(jù)存儲架構(gòu)、元數(shù)據(jù)、數(shù)據(jù)分析引擎等基礎(chǔ)技術(shù)架構(gòu)。大數(shù)據(jù)平臺可以在數(shù)據(jù)平臺側(cè)實現(xiàn)個人信息保護要求，比如數(shù)據(jù)發(fā)現(xiàn)和數(shù)據(jù)流圖，為個人信息保護提供評估的基礎(chǔ)材料，同時觀察合規(guī)實施效果。

（3）管理體系和技術(shù)措施的利益相關(guān)方

如前所述，我們需要建立管理體系和安全技術(shù)措施來保障個人信息。信息安全管理體系和安全攻防等部門在個人信息保護工作出現(xiàn)前已經(jīng)很成熟了，通常被稱為信息安全部。

數(shù)據(jù)合規(guī)工作應(yīng)當與信息安全部充分合作，在信息安全管理體系上增加個人信息保護，迭代為個人信息安全管理體系，同時持續(xù)落實和鞏固安全技術(shù)措施，包括漏洞管理、數(shù)據(jù)防泄露等。

本文摘編于《數(shù)據(jù)合規(guī)：入門、實戰(zhàn)與進階》，經(jīng)出版方授權(quán)發(fā)布。（書號：9787111705369）轉(zhuǎn)載請保留文章出處。