《灵魂拷问:你的数据被合规使用了吗?.docx》由会员分享,可在线阅读,更多相关《灵魂拷问:你的数据被合规使用了吗?.docx(6页珍藏版)》请在课桌文档上搜索。
1、企业内部有各种各样的数据,包括:- 企业经营数据,如财务报表、现金流水、产品日激活人数和活跃人数;- 企业决策所需数据,如行业统计报告;产品收集的各类数据,包括用户的注册信息、行为信息等;- 企业在收集的各类数据基础上加工开发的数据,如用户画像、推荐算法模型、产品优化方向等。数据合规管的是与用户相关的数据,具体边界并不清晰,而且用语都不同,有的人称之为用户数据,有的人称之为个人信息,大多数人称之为隐私。数据合规工作的范围是什么?从信息技术的本质而言,个人信息是一个或几个字段,即数据。tt01010202,F,click,2021-04-219:26:00”,该行数据根据自定义的数据结构,含义为
2、“ID是OIOlO202,性别为女,在2021年4月21日9点26分发生了一次点击行为”。数据有自己的生命周期,如下图所示,从逻辑上可以简单分为数据收集、使用、存储、披露至销毁。其他合法性处理基础图1数据全生命周期使用“数据全生命周期”的框架,一方面符合数据的基本规律,另一方面可以帮助数据合规人员全面梳理企业处理个人信息的活动,进而分阶段评估和处置相应的个人信息保护风险。数据合规工作的方方面面管理体系法律对企业在个人信息处理上的规定为企业按照所处理活动的风险等提供相应、适当、必要的组织措施和技术措施。组织措施则需要依靠管理体系来加以运转,如图2所示,简单来说包括个人信息保护的机构组织保障、对相
3、关从业人员的培训与考核,以及相应的制度保障(将合规要求落实到公司内不同层级的规范文件中)、安全事件应急响应以及安全审计。机构人员决策层(高管、数据安全守)管理层(数据安薪理队i监瞥层(审计)建立益俨Ifl号核问龙制度执行层(数据安全运,评、技术团队)员工、合作伙伴明确数据安全的政策.落实和监督等工作对应的角色和职次.确保数据安全工作的有效执行教育培训制定人员培训计划J开展培训人员考核评定制定数据安全管理相关岗位人员培训计划,数据安全管理责任人员年度培训时长不少于IO学时制度保障级文件方舒、总纲明确数据安全策略.目标.掂本原则二级文件建M数据安全通用和数据全生命周期管理等制度,如数据资产管管理办
4、法三级文件控制程序理制度.数据使用安全管理制度规他数据操作流程、作业指 .模板文件等.如数据 访问申请和审批流程四级文件表单 记录执行数据安全野理产生的表”1.报告.各种运行/检IEkI录、日志文件等应急响应I强化数据安全件啊应能力结合事件场景和等级制定应急预案实操典中场及至少年年开艇一次演练数据安全事件演练总结3.数据安全第件靖果输出形成事件汹在匕录和 总结报告安全审计数据安全专项申计策略和标准符合性部申图2个人信息保护管理体系示意图技术措施适当必要的措施除了组织措施,还应当包括相应的技术措施。个人信息保护的技术措施范围比较广泛,既包括加密、脱敏等安全技术措施,也包括落实个人信息保护要求的产
5、品设计技术措施。安全技术措施,如图3所示,包括数据识别、个人信息保护、接口安全管理、数据防泄露以及操作审计。关于 落实个人信息保护要求的产品设计技术措施,根据各产品类型的差异,基于 产品本身带来的风险而相应设计的合规控制措施包括差分隐私、联邦计算 等。比如,阅读平台建议开启好友关系,可以互相分享读书记录和心得,而 该功能对于部分希望读书是私密的用户来说是超出预期的,所以产品合规设 计应为默认不开启。定期对相关平台系统数据资产进行扫描.定期对数据脱敏效果进行验证数据识别个人信息保护操作审计去标识化,关键字段加密技术能力安全存储措施;加密传输措施规划建设具有自动化操作审计能力的平台系统。接口安全管
6、理数据防泄露而向互联网及合作方开放的数据接Ll具备接U认证鉴权与安全监控能力、涉及存储、处理个人敏感信息和重要的数据平台系统配备数据防泄露能力一图3个人信息保护技术措施示意图如上所述,数据合规工作涉及多个方面,包括政策研究、合规评估、管理体系以及技术措施等,在企业内分工明晰的情况下,这些工作应由各自相关部门承担。数据合规工作的利益相关方(1)功能开发相关的利益相关方以软件开发为例来阐释利益相关方,如图4所示,涉及数据合规的利益相关方如下。政府企业图4软件功能开发中个人信息保护利益相关方示意图(2)数据开发的相关利益相关方在大数据时代,除了传统的软件开发,涉及更多的是数据利用,包括数据分析、数据
7、挖掘、深度学习、算法推荐、用户画像等。数据开发的利益相关方涉及如下两类。1)数据科学家部门,包括算法工程师、数据工程师,其主要职责是通过数据实现业务的需求。例如,在网约车服务中构建算法模型匹配用户和司机,完成最高效的派单,减少用户等待时间。完成这样的需求,需要大范围地分析包括个人信息在内的数据,包括用户集中打车地点、时间以及打车习惯等,构建相应的算法模型。数据科学家部门对数据的需求会比软件开发相关部门更强烈,但是因为深度学习等原因,很难解释个人信息和实现目的之间的关系。因此,数据合规人员需要与数据科学家密切合作,在保障个人信息保护的同时促进数据价值的发挥。2)大数据平台部门,其主要职责是构建大数据平台,包括数据存储架构、元数据、数据分析引擎等基础技术架构。大数据平台可以在数据平台侧实现个人信息保护要求,比如数据发现和数据流图,为个人信息保护提供评估的基础材料,同时观察合规实施效果。(3)管理体系和技术措施的利益相关方如前所述,我们需要建立管理体系和安全技术措施来保障个人信息。信息安全管理体系和安全攻防等部门在个人信息保护工作出现前已经很成熟了,通常被称为信息安全部。数据合规工作应当与信息安全部充分合作,在信息安全管理体系上增加个人信息保护,迭代为个人信息安全管理体系,同时持续落实和巩固安全技术措施,包括漏洞管理、数据防泄露等。
