什么是數(shù)據(jù)合規(guī)？怎樣做到數(shù)據(jù)合規(guī)？

數(shù)據(jù)合規(guī)管的是與用戶相關(guān)的數(shù)據(jù)，具體邊界并不清晰，而且用語(yǔ)都不同，有的人稱之為用戶數(shù)據(jù)，有的人稱之為個(gè)人信息，大多數(shù)人稱之為隱私。

數(shù)據(jù)合規(guī)工作的范圍是什么？從信息技術(shù)的本質(zhì)而言，個(gè)人信息是一個(gè)或幾個(gè)字段，即數(shù)據(jù)。如“01010202,F,click,2021-04-21 9:26:00”，該行數(shù)據(jù)根據(jù)自定義的數(shù)據(jù)結(jié)構(gòu)，含義為“ID是01010202，性別為女，在2021年4月21日9點(diǎn)26分發(fā)生了一次點(diǎn)擊行為”。數(shù)據(jù)有自己的生命周期，如下圖所示，從邏輯上可以簡(jiǎn)單分為數(shù)據(jù)收集、使用、存儲(chǔ)、披露至銷毀。

▲圖1 數(shù)據(jù)全生命周期

使用“數(shù)據(jù)全生命周期”的框架，一方面符合數(shù)據(jù)的基本規(guī)律，另一方面可以幫助數(shù)據(jù)合規(guī)人員全面梳理企業(yè)處理個(gè)人信息的活動(dòng)，進(jìn)而分階段評(píng)估和處置相應(yīng)的個(gè)人信息保護(hù)風(fēng)險(xiǎn)。

01 數(shù)據(jù)合規(guī)工作的方方面面

1. 管理體系

法律對(duì)企業(yè)在個(gè)人信息處理上的規(guī)定為企業(yè)按照所處理活動(dòng)的風(fēng)險(xiǎn)等提供相應(yīng)、適當(dāng)、必要的組織措施和技術(shù)措施。組織措施則需要依靠管理體系來(lái)加以運(yùn)轉(zhuǎn)，如圖2所示，簡(jiǎn)單來(lái)說(shuō)包括個(gè)人信息保護(hù)的機(jī)構(gòu)組織保障、對(duì)相關(guān)從業(yè)人員的培訓(xùn)與考核，以及相應(yīng)的制度保障（將合規(guī)要求落實(shí)到公司內(nèi)不同層級(jí)的規(guī)范文件中）、安全事件應(yīng)急響應(yīng)以及安全審計(jì)。

▲圖2 個(gè)人信息保護(hù)管理體系示意圖

2. 技術(shù)措施

適當(dāng)必要的措施除了組織措施，還應(yīng)當(dāng)包括相應(yīng)的技術(shù)措施。個(gè)人信息保護(hù)的技術(shù)措施范圍比較廣泛，既包括加密、脫敏等安全技術(shù)措施，也包括落實(shí)個(gè)人信息保護(hù)要求的產(chǎn)品設(shè)計(jì)技術(shù)措施。安全技術(shù)措施，如圖3所示，包括數(shù)據(jù)識(shí)別、個(gè)人信息保護(hù)、接口安全管理、數(shù)據(jù)防泄露以及操作審計(jì)。

關(guān)于落實(shí)個(gè)人信息保護(hù)要求的產(chǎn)品設(shè)計(jì)技術(shù)措施，根據(jù)各產(chǎn)品類型的差異，基于產(chǎn)品本身帶來(lái)的風(fēng)險(xiǎn)而相應(yīng)設(shè)計(jì)的合規(guī)控制措施包括差分隱私、聯(lián)邦計(jì)算等。比如，閱讀平臺(tái)建議開啟好友關(guān)系，可以互相分享讀書記錄和心得，而該功能對(duì)于部分希望讀書是私密的用戶來(lái)說(shuō)是超出預(yù)期的，所以產(chǎn)品合規(guī)設(shè)計(jì)應(yīng)為默認(rèn)不開啟。

▲圖3 個(gè)人信息保護(hù)技術(shù)措施示意圖

如上所述，數(shù)據(jù)合規(guī)工作涉及多個(gè)方面，包括政策研究、合規(guī)評(píng)估、管理體系以及技術(shù)措施等，在企業(yè)內(nèi)分工明晰的情況下，這些工作應(yīng)由各自相關(guān)部門承擔(dān)。

02 數(shù)據(jù)合規(guī)工作的利益相關(guān)方

1. 功能開發(fā)相關(guān)的利益相關(guān)方

以軟件開發(fā)為例來(lái)闡釋利益相關(guān)方，如圖4所示，涉及數(shù)據(jù)合規(guī)的利益相關(guān)方如下。

▲圖4 軟件功能開發(fā)中個(gè)人信息保護(hù)利益相關(guān)方示意圖

2. 數(shù)據(jù)開發(fā)的相關(guān)利益相關(guān)方

在大數(shù)據(jù)時(shí)代，除了傳統(tǒng)的軟件開發(fā)，涉及更多的是數(shù)據(jù)利用，包括數(shù)據(jù)分析、數(shù)據(jù)挖掘、深度學(xué)習(xí)、算法推薦、用戶畫像等。數(shù)據(jù)開發(fā)的利益相關(guān)方涉及如下兩類。

1）數(shù)據(jù)科學(xué)家部門，包括算法工程師、數(shù)據(jù)工程師，其主要職責(zé)是通過數(shù)據(jù)實(shí)現(xiàn)業(yè)務(wù)的需求。例如，在網(wǎng)約車服務(wù)中構(gòu)建算法模型匹配用戶和司機(jī)，完成最高效的派單，減少用戶等待時(shí)間。完成這樣的需求，需要大范圍地分析包括個(gè)人信息在內(nèi)的數(shù)據(jù)，包括用戶集中打車地點(diǎn)、時(shí)間以及打車習(xí)慣等，構(gòu)建相應(yīng)的算法模型。

數(shù)據(jù)科學(xué)家部門對(duì)數(shù)據(jù)的需求會(huì)比軟件開發(fā)相關(guān)部門更強(qiáng)烈，但是因?yàn)樯疃葘W(xué)習(xí)等原因，很難解釋個(gè)人信息和實(shí)現(xiàn)目的之間的關(guān)系。因此，數(shù)據(jù)合規(guī)人員需要與數(shù)據(jù)科學(xué)家密切合作，在保障個(gè)人信息保護(hù)的同時(shí)促進(jìn)數(shù)據(jù)價(jià)值的發(fā)揮。

2）大數(shù)據(jù)平臺(tái)部門，其主要職責(zé)是構(gòu)建大數(shù)據(jù)平臺(tái)，包括數(shù)據(jù)存儲(chǔ)架構(gòu)、元數(shù)據(jù)、數(shù)據(jù)分析引擎等基礎(chǔ)技術(shù)架構(gòu)。大數(shù)據(jù)平臺(tái)可以在數(shù)據(jù)平臺(tái)側(cè)實(shí)現(xiàn)個(gè)人信息保護(hù)要求，比如數(shù)據(jù)發(fā)現(xiàn)和數(shù)據(jù)流圖，為個(gè)人信息保護(hù)提供評(píng)估的基礎(chǔ)材料，同時(shí)觀察合規(guī)實(shí)施效果。

3. 管理體系和技術(shù)措施的利益相關(guān)方

如前所述，我們需要建立管理體系和安全技術(shù)措施來(lái)保障個(gè)人信息。信息安全管理體系和安全攻防等部門在個(gè)人信息保護(hù)工作出現(xiàn)前已經(jīng)很成熟了，通常被稱為信息安全部。

數(shù)據(jù)合規(guī)工作應(yīng)當(dāng)與信息安全部充分合作，在信息安全管理體系上增加個(gè)人信息保護(hù)，迭代為個(gè)人信息安全管理體系，同時(shí)持續(xù)落實(shí)和鞏固安全技術(shù)措施，包括漏洞管理、數(shù)據(jù)防泄露等。

本文摘編于《數(shù)據(jù)合規(guī)：入門、實(shí)戰(zhàn)與進(jìn)階》，經(jīng)出版方授權(quán)發(fā)布。（書號(hào)：978-7-111-70536-9）轉(zhuǎn)載請(qǐng)保留文章出處。

推薦語(yǔ)：企業(yè)數(shù)據(jù)合規(guī)治理的實(shí)用工作手冊(cè)！數(shù)據(jù)合規(guī)專業(yè)人士成長(zhǎng)晉階的秘笈！