1.全球隱私現(xiàn)狀

1.1隱私需求現(xiàn)狀

隱私已成為全球范圍內(nèi)的重要議題。因此，組織無(wú)法再忽視相關(guān)法律法規(guī)以及行業(yè)最佳實(shí)踐對(duì)于保護(hù)個(gè)人信息的規(guī)定。政府會(huì)繼續(xù)實(shí)施更嚴(yán)格的法律法規(guī)，消費(fèi)者也會(huì)繼續(xù)要求其所選擇的組織為自己的信息提供更多保護(hù)。因此，為滿足此類要求，組織必須對(duì)其所保管的信息實(shí)施更多控制措施、流程和程序。迫于當(dāng)前的諸多影響和壓力，全球隱私團(tuán)隊(duì)必須嘗試跟蹤、管理和監(jiān)測(cè)可能不斷發(fā)生的動(dòng)態(tài)變化。

1.2國(guó)際全面隱私法現(xiàn)狀

根據(jù)IAPP官方2022年4月發(fā)布的全球綜合隱私法映射圖，能夠通過該份報(bào)告看到目前全球約有143個(gè)國(guó)家或地區(qū)發(fā)布了全面的隱私保護(hù)立法，以下列出部分重要國(guó)家或地區(qū)隱私立法情況。

1.3美國(guó)隱私法現(xiàn)狀

美國(guó)與歐盟和許多國(guó)家不同，從聯(lián)邦層面美國(guó)目前沒有統(tǒng)一的、綜合的聯(lián)邦層面數(shù)據(jù)與隱私安全立法，主要是通過行業(yè)立法和州立法來保護(hù)隱私。
美國(guó)聯(lián)邦層面也在積極推進(jìn)《美國(guó)數(shù)據(jù)隱私保護(hù)法》（American Data Privacy and Protection Act，以下簡(jiǎn)稱“ADPPA”），該法案的目標(biāo)是建立一個(gè)強(qiáng)有力的國(guó)家框架，保護(hù)消費(fèi)者的數(shù)據(jù)隱私和安全，不過目前各州存在反對(duì)聲音，其最終走向及效果仍需要時(shí)間來檢驗(yàn)。

1.3.1美國(guó)行業(yè)立法

美國(guó)聯(lián)邦根據(jù)行業(yè)特點(diǎn)，專門制定了行業(yè)隱私法律，以下為部分行業(yè)立法：

1.3.2美國(guó)州立法

為保護(hù)本州居民個(gè)人信息權(quán)益，美國(guó)各州積極推進(jìn)和完善自己的隱私數(shù)據(jù)保護(hù)政策，同時(shí)美國(guó)所有50個(gè)州都通過了數(shù)據(jù)泄漏方面的立法，以下列表為迄今為止已簽署的法律：

下圖為IAPP發(fā)布的美國(guó)州隱私法追蹤地圖：

image

2.隱私計(jì)劃管理

2.1什么是隱私計(jì)劃管理

隱私計(jì)劃管理是一種將多個(gè)項(xiàng)目合并到一個(gè)框架和生命周期中的結(jié)構(gòu)化方法，用以保護(hù)個(gè)人信息和個(gè)人權(quán)利。通過實(shí)施和維持合理的結(jié)構(gòu)化隱私計(jì)劃，組織能夠遵守法律法規(guī)要求，滿足客戶預(yù)期，同時(shí)預(yù)防和減輕隱私風(fēng)險(xiǎn)。

2.2為什么需要隱私計(jì)劃管理

• 法律法規(guī)要求

履行合規(guī)義務(wù)

符合各地區(qū)隱私法

降低員工和消費(fèi)者訴訟的風(fēng)險(xiǎn)

• 降低數(shù)據(jù)泄漏風(fēng)險(xiǎn)及開拓市場(chǎng)

降低數(shù)據(jù)泄漏風(fēng)險(xiǎn)

實(shí)現(xiàn)全球運(yùn)營(yíng)并進(jìn)入新市場(chǎng)

增加營(yíng)收

• 超越法律和合規(guī)

增強(qiáng)企業(yè)品牌形象和公眾信任

增強(qiáng)消費(fèi)者信任

提高企業(yè)競(jìng)爭(zhēng)能力

3.隱私計(jì)劃框架

3.1如何做好隱私治理

要構(gòu)建強(qiáng)大的隱私計(jì)劃，需要從建立合適的治理計(jì)劃開始，下圖為治理計(jì)劃建立路線：

image

3.2隱私保護(hù)愿景和使命

1.組織的隱私愿景和使命宣言至關(guān)重要，是奠定隱私計(jì)劃的其余部分基礎(chǔ)的關(guān)鍵因素。隱私愿景應(yīng)符合組織更廣泛的目的和經(jīng)營(yíng)目標(biāo)，根據(jù)具體的業(yè)務(wù)發(fā)展方向，這些目的和目標(biāo)可能會(huì)發(fā)生變化。
2.隱私愿景通常由若干短句組成，主要簡(jiǎn)單描述隱私部門的存在理由。組織的整體使命宣言或行為守則中也可能包含隱私的相關(guān)要求。
下表舉例說明了部分企業(yè)的隱私使命和愿景聲明。

3.3定義隱私管理范圍

每個(gè)組織都應(yīng)履行特定的合規(guī)義務(wù)，確保遵守相關(guān)法律法規(guī)，因此，您需要確認(rèn)具體適用的隱私和數(shù)據(jù)保護(hù)法律法規(guī)。以下是用于確認(rèn)范圍的方式，包括以下兩個(gè)步驟:

• 確認(rèn)收集和處理的個(gè)人信息
• 確認(rèn)適用的隱私和數(shù)據(jù)保護(hù)法律法規(guī)

3.3.1確認(rèn)收集和處理的個(gè)人信息

3.3.1.1信息收集方式

為了解您的組織收集、使用、存儲(chǔ)和以其它方式處理的個(gè)人信息，可根據(jù)組織實(shí)際情況選擇不同的方式開展信息收集工作，以下列出兩種不同的方式，它們各有優(yōu)缺點(diǎn)。

• 通過安排與職能部門(通常負(fù)責(zé)收集、使用、存儲(chǔ)和以其它方式處理個(gè)人信息)進(jìn)行信息收集訪談，以此確定數(shù)據(jù)在整個(gè)組織中的位置

• 輕松自己麻煩別人，當(dāng)然隱私管理是整個(gè)集團(tuán)的工作目標(biāo)

• 通過第三方協(xié)助完成信息收集工作（外部咨詢公司、數(shù)據(jù)自動(dòng)化發(fā)現(xiàn)工具）

• 適用于復(fù)雜的數(shù)據(jù)環(huán)境
• 更具條理的數(shù) 據(jù)確認(rèn)工作有助于形成更加準(zhǔn)確、詳細(xì)的數(shù)據(jù)清單、地圖和其它輔助文件
• 維護(hù)成本低

3.3.1.2部分關(guān)鍵問題

為提高效率，以下列出了部分關(guān)鍵問題以方便確定范圍：

• 誰(shuí)負(fù)責(zé)收集、使用和維護(hù)有關(guān)個(gè)人、客戶和員工的個(gè)人信息?
• 收集什么類型的個(gè)人信息，收集信息的目的是什么?
• 數(shù)據(jù)存儲(chǔ)在哪里(應(yīng)用程序、系統(tǒng)以及國(guó)家 地區(qū))?
• 數(shù)據(jù)傳輸?shù)膶?duì)象是誰(shuí)?
• 內(nèi)部和外部誰(shuí)有權(quán)訪問數(shù)據(jù)(如第三方)?
• 何時(shí)(例如，交易或雇用過程中)以及如何(例如，通過在線方式)收集數(shù)據(jù)?
• 數(shù)據(jù)保留時(shí)間是多久，如何刪除數(shù)據(jù)?
• 目前有哪些保護(hù)數(shù)據(jù)的安全控制措施?

3.3.2確認(rèn)適用的隱私和數(shù)據(jù)保護(hù)法律法規(guī)

為確認(rèn)組織對(duì)于數(shù)據(jù)承擔(dān)的相關(guān)隱私義務(wù)，除遵守當(dāng)?shù)財(cái)?shù)據(jù)保護(hù)和隱私法律外，對(duì)于向身在其它國(guó)家地區(qū)的個(gè)人提供服務(wù)的組織，或者在海外設(shè)有辦事處的組織而言，可能還需要遵守全球隱私義務(wù)。
若您的組織計(jì)劃在數(shù)據(jù)保護(hù)法規(guī)不健全或未制定數(shù)據(jù)保護(hù)法規(guī)的司法管轄區(qū)內(nèi)開展業(yè)務(wù)，請(qǐng)按照可實(shí)現(xiàn)的最高標(biāo)準(zhǔn)制定組織的要求、政策和程序，而不是降低標(biāo)準(zhǔn)迎合業(yè)務(wù)所在國(guó)的隱私保護(hù)水平。最佳實(shí)踐是選擇限制性最強(qiáng)的政策，而不是限制性最弱的，這會(huì)減少組織所面臨的隱私相關(guān)風(fēng)險(xiǎn)。
確認(rèn)范圍過程中同樣面臨著挑戰(zhàn)，若想制定全球性計(jì)劃需要了解文化規(guī)范、差異以及隱私保護(hù)方式。

3.4制定和實(shí)施隱私框架

為落實(shí)個(gè)人信息處理和保護(hù)過程中所需的控制措施，應(yīng)通過合適的隱私框架制定有效的隱私計(jì)劃，該做法具有如下優(yōu)勢(shì):

• 有助于組織從實(shí)質(zhì)上遵守其適用的各類隱私法律法規(guī)
• 通過體現(xiàn)組織在個(gè)人信息保護(hù)方面的重視，贏得信任，從而獲得競(jìng)爭(zhēng)優(yōu)勢(shì)
• 支持對(duì)利益相關(guān)者、客戶、合作伙伴以及供應(yīng)商提出的商業(yè)承諾和目標(biāo)
  可使用NIST的《隱私框架》確認(rèn)和管理隱私風(fēng)險(xiǎn)，該框架是供各種規(guī)模的組織廣泛使用的自愿性工具，并分成三個(gè)關(guān)鍵部分：
• "核心"隱私保護(hù)活動(dòng)，隱私計(jì)劃應(yīng)考慮此類活動(dòng)，并以此為基礎(chǔ)
• 關(guān)注"概況"，這部分是組織希望基于風(fēng)險(xiǎn)偏好、未來預(yù)期和資源等因素定制的活動(dòng)
• "層級(jí)"，該部分要求組織考慮可在特定情況下實(shí)現(xiàn)的運(yùn)營(yíng)成熟度水平，同樣以關(guān)鍵標(biāo)準(zhǔn)為依據(jù)

此外可將隱私保護(hù)設(shè)計(jì)(又名“Pbd”或“數(shù)據(jù)保護(hù)設(shè)計(jì)”)加入到隱私治理框架中，Pbd是一種根據(jù)七大基本原則制定隱私計(jì)劃和設(shè)計(jì)系統(tǒng)的方法，Pbd的總體意圖是確保在生命周期開發(fā)的各個(gè)階段(即系統(tǒng)、產(chǎn)品、特征和流程)考慮隱私要求和相關(guān)因素，七大基本原則如下：

• 主動(dòng)而非被動(dòng);預(yù)防而非補(bǔ)救
• 將隱私作為默認(rèn)設(shè)置
• 將隱私嵌入設(shè)計(jì)
• 完整功能正和，而不是零和
• 端到端安全全生命周期保護(hù)
• 可見、透明 保持開放性
• 尊重用戶隱私以用戶為中心

目前國(guó)際上也有其他一些隱私框架可供組織選擇，如:" (OECD)《關(guān)于隱私保護(hù)和個(gè)人數(shù)據(jù)跨境流動(dòng)指南》、(APEC)《隱私框架》、ISO/IEC 29101《隱私架構(gòu)框架》等"，同時(shí)國(guó)內(nèi)也在逐步推出適合中國(guó)國(guó)情的隱私框架。

3.5制定隱私策略

下一步便是制定整體隱私策略，"一個(gè)鏈條的堅(jiān)固程度取決于它最薄弱的環(huán)節(jié) "，這句話非常適合形容組織處理隱私計(jì)劃的方式，本質(zhì)上隱私策略是一種組織用于溝通和
支持隱私計(jì)劃及其愿景的方法，具體的隱私策略包括但不限于以下各項(xiàng)：

• 為隱私團(tuán)隊(duì)提供資源和裝備
• 為重要的隱私強(qiáng)化資源和技術(shù)提供資金
• 開展培訓(xùn)和意識(shí)教育，并對(duì)未能遵守隱私政策和程序的員工追究責(zé)任
• 確保業(yè)務(wù)聯(lián)系人數(shù)據(jù)的安全，并尊重這些個(gè)人的選擇
• 整合有效的安全控制措施，構(gòu)建安全的網(wǎng)站，以及創(chuàng)建適當(dāng)?shù)慕鉀Q方案
• 保障個(gè)人數(shù)據(jù)(硬拷貝和電子方式) 在收集、存儲(chǔ)和傳輸過程中的安全

3.5.1確定利益相關(guān)者和內(nèi)部合作伙伴

最有挑戰(zhàn)的工作是認(rèn)同“將隱私作為必要的業(yè)務(wù)條件”，因此在構(gòu)建隱私計(jì)劃和必要的支持性策略的過程中需要分階段建立并與組織管理層成員乃至最高執(zhí)行領(lǐng)導(dǎo)達(dá)成共識(shí)，大致工作內(nèi)容如下：

• 獲得支持的最佳實(shí)踐是從所在部門的最高領(lǐng)導(dǎo)開始，然后沿著管理鏈向上，必要時(shí)可進(jìn)行初步的介紹說明，并獲得認(rèn)同/建議
• 確定隱私計(jì)劃發(fā)起人，計(jì)劃發(fā)起人應(yīng)該是理解隱私重要性的人員，還應(yīng)成為您以及該計(jì)劃的擁護(hù)者，通常情況下，發(fā)起人會(huì)在組織內(nèi)擔(dān)任風(fēng)險(xiǎn)或合規(guī)主管，也可由首席信息安全官、首席合規(guī)官或總法律顧問共同擔(dān)任計(jì)劃發(fā)起人
• 開發(fā)內(nèi)部合作伙伴，以下是一些最佳實(shí)踐:

• 參考其他組織處理和查看個(gè)人信息的方式
• 了解商業(yè)背景下的數(shù)據(jù)使用情況
• 協(xié)助在持續(xù)項(xiàng)目中構(gòu)建隱私要求，進(jìn)而降低風(fēng)險(xiǎn)
• 在提出減少個(gè)人信息暴露風(fēng)險(xiǎn)的解決方案的同時(shí)，幫助員工實(shí)現(xiàn)自身目標(biāo)
• 邀請(qǐng)員工加入隱私倡導(dǎo)小組，推進(jìn)實(shí)施隱私相關(guān)的最佳實(shí)踐

• 針對(duì)支持隱私計(jì)劃開發(fā)和啟動(dòng)工作的利益相關(guān)者(包括專門的隱私委員會(huì))定期舉行研討會(huì)，通過為組織定義隱私、說明市場(chǎng)預(yù)期、解答問題和減少混淆，以拉齊大家對(duì)隱私的認(rèn)識(shí)水平
• 關(guān)鍵的內(nèi)部利益相關(guān)者組建指導(dǎo)委員會(huì)，以明確資產(chǎn)和責(zé)任的歸屬

3.6組建隱私團(tuán)隊(duì)

組建隱私團(tuán)隊(duì)通常是組織正規(guī)化其隱私處理方式的最后一個(gè)目標(biāo)，根據(jù)具體業(yè)務(wù)需求為隱私辦公室選取合適的治理模型，以及建立職責(zé)定義和報(bào)告關(guān)系的適當(dāng)組織模型。

3.6.1隱私團(tuán)隊(duì)治理模型

根據(jù)自身的業(yè)務(wù)運(yùn)營(yíng)狀況，考慮僅在特定地理區(qū)域內(nèi)還是全球范圍內(nèi)應(yīng)用該模型，無(wú)論選擇哪種模型，均需考慮下述關(guān)鍵任務(wù)，確保所選模型最適合企業(yè)目的:

• 邀請(qǐng)高層領(lǐng)導(dǎo)加入
• 邀請(qǐng)利益相關(guān)者加入
• 開發(fā)內(nèi)部合作伙伴
• 提供靈活性
• 進(jìn)行溝通
• 開展合作

3.6.1.1集中式

集中式治理模式比較常見，特別適合單一業(yè)務(wù)的組織使用，在此類組織中，通常由同一小組完成規(guī)劃和決策。只需一個(gè)團(tuán)隊(duì)或一個(gè)人負(fù)責(zé)隱私相關(guān)事務(wù)，其他所有人或組織都通過這個(gè)單一聯(lián)絡(luò)點(diǎn)開展工作。
優(yōu)點(diǎn)：

• 組織的運(yùn)營(yíng)效率高
• 流程較簡(jiǎn)單

缺點(diǎn)：

• 團(tuán)隊(duì)成員無(wú)法自行決策，必須尋求更高層級(jí)的同意

3.6.1.2分散式

分散式是指將決策權(quán)下放至組織的較低層級(jí)，分散式組織的組織架構(gòu)層級(jí)較少，控制范圍廣，能夠形成自下而上的決策和觀點(diǎn)流動(dòng)。
優(yōu)點(diǎn)：

• 可創(chuàng)建和管理自己的商業(yè)實(shí)踐

缺點(diǎn)：

• 存在重復(fù)流程
• 效率低下

3.6.1.3混合式

混合式治理模型可以實(shí)現(xiàn)集中式和本地治理的綜合運(yùn)用，組織任命一名員工或者一個(gè)部門主要負(fù)責(zé)隱私相關(guān)事務(wù)，向組織其他部門發(fā)布政策和指令。然后由本地實(shí)體實(shí)施和支持來自該總部的政策和指令。
優(yōu)點(diǎn)：

• 減少了員工受到的外部干擾
• 實(shí)現(xiàn)員工價(jià)值
• 組織資源集中
• 維護(hù)了共同的使命、價(jià)值和目標(biāo)
• 實(shí)現(xiàn)全球?qū)用婊虮镜貙用娴念A(yù)期目標(biāo)
• 工作效率高
• 保持決策的可見性和一致性

缺點(diǎn)：

• 不適合單一業(yè)務(wù)組織

3.6.2隱私組織架構(gòu)

在建立整體組織隱私模型時(shí)，必須考慮與策略、合作和管理相關(guān)的組織架構(gòu)，明確職責(zé)和報(bào)告機(jī)制，以下是架構(gòu)中各單元職位：

組織利用具體框架高效地維持架構(gòu)并開發(fā)必要流程。相關(guān)考慮因素包括:

• 指揮層-由高級(jí)管理層、領(lǐng)導(dǎo)和執(zhí)行團(tuán)隊(duì)組成，負(fù)責(zé)建立責(zé)任體系
• 角色定義-明確職責(zé)的定義，確定個(gè)人預(yù)期和表現(xiàn)
• 成果評(píng)估-用于確定優(yōu)勢(shì)和劣勢(shì)，以及在必要時(shí)予以糾正或增強(qiáng)的方法
• 組織架構(gòu)變更-為滿足當(dāng)前目標(biāo)，采用新技術(shù)或應(yīng)對(duì)競(jìng)爭(zhēng)，保持靈活并在必要時(shí)做出改變的能力
• 重要性-復(fù)雜結(jié)構(gòu)通常適用于大型組織，扁平結(jié)構(gòu)適用于小型組織
• 架構(gòu)類型-產(chǎn)品組織架構(gòu)、功能組織架構(gòu)和其它
• 客戶-根據(jù)組織所提供的產(chǎn)品和服務(wù)的特點(diǎn)，考慮各種不同的需求
• 利益-對(duì)于組織、客戶和利益相關(guān)者而言，與目的和目標(biāo)保持一致

3.7總結(jié)

制定合適的計(jì)劃是一項(xiàng)復(fù)雜且充滿挑戰(zhàn)的工作。在隱私治理方面，并沒有一種萬(wàn)能的方法每個(gè)公司都有著獨(dú)特的全球業(yè)務(wù)、資源可用性、風(fēng)險(xiǎn)偏好、文化和業(yè)務(wù)重點(diǎn)，這些都影響著計(jì)劃的最終制定方式，因此了解業(yè)務(wù)所在地區(qū)的法律法規(guī)及企業(yè)內(nèi)部業(yè)務(wù)特性成為了計(jì)劃建立的重中之重。

以上，就是關(guān)于隱私治理的一些個(gè)人觀點(diǎn)，部分?jǐn)?shù)據(jù)來自IAPP歡迎大家多多指正。