移动互联网的蓬勃发展加速推动了生产生活方式的变革,同时也凸显了个人信息保护问题。各种智能终端和APP使企业具备了强大的个人数据采集能力,大数据技术让企业能够低成本分析处理海量个人数据,AI技术又能让企业快速识别处理人脸等敏感个人数据,隐私危机大爆发。如何在充分挖掘利用数据价值和尊重并保护个人主体权益之间进行取舍与平衡,成为了各界共同关心的话题。
缘起:如何落实严格的法律要求,需要一本操作指南
Gartner预测,到2024年末,全球75%人口的个人信息将得到现代隐私法规的保护。自欧盟2016年正式通过《通用数据保护条例》(GDPR)开始,各国相关法律的制定和修订步伐纷纷加快,如日本《个人信息保护法》(APPI)、美国《加州消费者隐私法案》(CCPA)、新加坡《个人资料保护条例》(PDPA)、巴西《一般数据保护法》(LGPD)等。我国《个人信息保护法》也于2021年8月发布,并于2021年11月正式实施。
自《个人信息保护法》生效以来,如何落实个保法要求成了诸多企业共同面临的难题。一方面,法律的规定通常较为概括,无法全面细致的给出具体的实操要求;另一方面,部分条款对应的行政和司法案例较少,企业个人信息保护的合规边界仍不清晰。面对种种问题,隐私工程或将成为企业在业务管理全流程中落实相关法律要求的“答案之书”。
简单来说,隐私工程是将隐私保护要求嵌入系统工程乃至企业管理全流程的一套完整方法。从落实个人信息保护要求的角度来看,企业或多或少都在从技术和管理等角度匹配个人信息保护要求,只是通常未形成较为系统和全面的方法论。隐私工程则通过梳理和总结隐私保护合规要求,将其转化为系统工程中的目标、策略、风险管理框架、组织管理和运营方法,帮助企业遵守和落实隐私保护要求。
误区:隐私工程是成熟企业才需要的“奢侈品”
很多企业对于隐私工程的理解存在误区,认为隐私工程投入周期大、成本高,企业只有解决了发展初期的生存问题,并逐步达到监管合规的基本要求之后,才会考虑实施隐私工程。也有观点认为,隐私工程是针对欧盟GDPR等隐私保护要求较为严苛的法律的方法论,若非业务涉及的个人信息处理行为落入相关法律的适用范围内,并没有必要大动干戈引入隐私工程。
然而,正如欧盟EDPB《关于第25条的设计和默认数据保护指南》所述,立法并未对初创企业降低个人信息保护要求,成本是企业应当考虑的因素,但并非不遵守隐私保护要求的借口。如果不能在初期就将隐私保护嵌入到产品和服务乃至公司管理和制度流程中,种下隐私保护隐患的种子,未来很可能被隐私安全的恶果反噬,届时再引入隐私工程也会面临巨大的变动和阻力。
目前,欧美国家已经给出了一些隐私工程的实施指引。例如,欧洲数据保护监督机构(EDPS)在2018年发布了Opinion 5/2018 Preliminary Opinion on privacy by design,对隐私和数据保护的工程化进行了梳理和论述,介绍了现有的隐私工程方法论、隐私工程标准化现状等。美国国家标准技术研究院(NIST)于2020年发布了隐私框架NIST Privacy Framework: A Tool for Improving Privacy Through Enterprise Risk Management, Version 1.0,为相关组织改进使用和保护个人信息的方法提供了一组有用的隐私保护策略,企业可以在其中找到关于如何进行隐私风险管理的具体操作步骤。国际标准化组织(ISO)和国际电工委员会(IEC)也发布过隐私工程的相关国际标准ISO/IECTR 27550《信息技术 安全技术 系统生命周期流程中的隐私工程》。
尽管不同国家和地区对隐私工程具体形式的设计各不相同,但基本会在明确隐私工程的原则和目标的前提下,将企业落实隐私保护要求应当考虑的要素进行梳理并按照某一逻辑进行归类,企业可对照自身需求和目前的隐私保护水平按需选择和适用。总体来看,与其说隐私工程是满足隐私保护最高要求的实践方法,不如说其是一套可对标评估企业隐私保护和管理能力的参考标准,企业完全可以结合本国立法要求以及现阶段企业的隐私合规目标,参考隐私工程的现有经验,提升自身的隐私保护能力。
展望:更适合我国企业的隐私工程体系
此前,由于我国数据保护相关立法和监管处于发展初期,企业投入大量精力配合监管检查,对个人信息保护的关注点也主要集中在监管检查和通报的重点方面,更多从避免监管处罚和事后补救的角度理解个人信息保护。但是,随着相关法律和监管框架的基本稳固,监管活动也逐渐趋于常态化,监管的关注点也越来越细致深入,如何建设制度化、流程化和体系化的个人信息保护能力,将视角从事后补救转向事前布局和预防将成为国内企业的必修课。
需要意识到的是,隐私工程在我国的实践和推广还任重道远。虽然我国2022年正式发布了《信息安全技术 个人信息安全工程指南》,从国家标准层面引入了隐私工程的理念,结合了我国个人信息保护法律法规和政策标准要求以及国内外隐私工程的实践经验,给出了在规划和建设阶段的个人信息安全工程实施指南。但由于该标准主要关注产品服务层面的个人信息安全工程活动,对于企业如何在组织架构、人员管理、制度建设等管理和运营层面系统化地建设隐私保护能力,还有待明确和细化。此外,除了互联网头部企业以及有产品出海业务的企业(如手机厂商)对于隐私工程有一定的认识和实践经验外,我国大部分企业对于隐私工程的概念还不甚了解,对于如何选择和应用适合自己的隐私工程体系或方案也无从下手。
TC601大数据技术标准推进委员会希望能够与行业共同探索和梳理更适合我国企业的隐私工程体系,立足于我国个人信息保护的相关要求,结合监管重点和企业,与各行业进行广泛深入的交流,讨论隐私工程标准化的可行性、不同行业在个人信息保护方面遇到的难点、隐私工程是否应当根据不同行业构建不同的体系等问题。
对此,我们将组织撰写隐私工程的相关标准,欢迎报名参加!
后续,TC601也将陆续举办隐私工程相关的沙龙、研讨会等,期待感兴趣的企业和各位专家老师分享经验、切磋探讨!
联系人:
王老师
wangdanyang@caict.ac.cn
15941081234(微信同号)
