2023隱私工程白皮書

隱私工程白皮書2023年9月前言2022年，我國發(fā)布了國家標準GB/T41817-2022《信息安全技術（“《個人信息安全工程指南》”。作為（“《個人信息保護法》”）落地的國家標準之一，該標準結合國外隱私工程的實踐經驗以及《個人信息保護法》的相關要求，在需求、設計、開發(fā)、測試、發(fā)布的傳統(tǒng)開發(fā)流程中嵌入個人信息保護的工程化要求，旨在將個人信息保護措施與產品和服務同步規(guī)劃、建設和使用，主動預防個人信息安全風險和侵害用戶個人信息權益事件的發(fā)生，為幫助網(wǎng)絡產品和服務提升個人信息保護能力提供工程化指引。個人信息安全工程的概念取自隱私工程即engineering”ISO/IECTR27550:2019《信息技術安全技術系統(tǒng)生命周期流程中的隱私工程》將隱私工程定義為“將隱私問題納入系統(tǒng)和軟件工程生命周期過程的工程實踐”。作為將隱私保護要求嵌入系統(tǒng)工程乃至企業(yè)管理全流程的一套方法論，歐盟、美國等國家對其進行持續(xù)討論和研究，對于隱私工程與隱私保護立法的關系、如何指導企業(yè)進行隱私工程實踐等形成了較為體系化的結論和成果。相比之下，我國對于隱私工程的研究和實踐仍處于初期。一方面，隨著我國個人信息保護立法的不斷完善，如何在落實個人信息保護合規(guī)要求的同時盡量減少對業(yè)務的負擔成為企業(yè)無法回避的課題，越來越多的企業(yè)開始從技術和管理等多角度求解，但尚未形成較為系統(tǒng)和全面的方法論；另一方面，我國對數(shù)據(jù)要素市場的大力發(fā)展也促使企業(yè)主動探尋數(shù)據(jù)安全合規(guī)流通路徑，尤其是個人為了加深企業(yè)對隱私工程的理解，幫助處在不同發(fā)展階段的企業(yè)提升隱私保護能力，我們聯(lián)合在隱私工程理論和實踐方面有經驗國企業(yè)的隱私工程實踐經驗進行介紹，希望能夠為企業(yè)隱私保護能目錄一、隱私工程的起源：從隱私設計到隱私工程 1(一) 隱私設計的產生和發(fā)展 1(二) 隱私設計與隱私工程 4二、 隱私工程的內涵：以隱私嵌入系統(tǒng)工程為核心 6(一) 隱私工程的定義 6(二) 隱私工程的目標 8(三) 隱私工程的內容 10三、 隱私工程的價值：企業(yè)隱私保護的必經階段 13(一) 監(jiān)管趨勢：隱私保護監(jiān)管趨于精細化常態(tài)化 13(二) 用戶需求：個人信息主體權利保護成為隱私保護重點 15(三) 企業(yè)發(fā)展：隱私保護助力企業(yè)合規(guī)高效發(fā)展 16四、 隱私工程的實踐：我國隱私工程實踐探索 18(一) 隱私工程體系建設流程參考 18(二) 隱私工程體系建設架構參考 32(三) 隱私工程體系建設建議 43五、 結語 46參考文獻 47圖目錄圖1隱私設計七大基本原則 2圖2個人信息安全工程目標和《個人信息保護法》基本原則映射 9圖3《個人信息安全工程指南》個人信息安全工程各階段活動 10圖4NIST隱私工程構成 圖5AmberGroup信息安全與隱私組織架構 19圖6OPPO安全隱私保護組織架構 20圖7AmberGroup信息安全與隱私管理體系文件融合架構 21圖8螞蟻i-ABC隱私工程體系隱私水位洞察域架構 21圖9OPPO數(shù)據(jù)安全技術防御體系 23圖10隱私影響評估域架構 26圖隱私影響評估策略管控 26圖12隱私風險監(jiān)測域架構 32圖13技術驅動的i-ABC隱私工程體系 33圖14阿里巴巴隱私工程框架 35圖15數(shù)據(jù)流通隱私合規(guī)風險精細化管控系統(tǒng) 37圖16OPPO隱私工程實踐框架 39圖17AmberGroup數(shù)據(jù)安全與隱私保護框架 41表目錄表1國內外隱私工程目標對比 9表2ISO/IEC27550:2019提出的覆蓋系統(tǒng)生命周期的隱私工程流程 12表3隱私工程內容 12表4星紀魅族隱私工程流程 27隱私工程白皮書隱私工程白皮書PAGEPAGE2一、 隱私工程的起源：從隱私設計到隱私工程(一)隱私設計的產生和發(fā)展2090AnnCavoukian提出“隱私設計”PrivacybyDesign（b”，該理念認為隱私不能僅靠遵守法規(guī)監(jiān)管框架來保證，相反，保障隱私安全在理想情況下應當成為一種默認操作模式，對隱私的保護必須由產品設計師們以一種雙贏的方式設計出來。雙贏的隱私設計應當貫穿始于采集、終于銷毀的個人信息處理活動全生命周期。在此之前，隱私計算技術一度成為人們追捧的隱私保護解決方案，但隨著隱私保護的法律原則和要求的發(fā)展，人們漸漸認識到隱私計算技術雖然能夠通過數(shù)據(jù)最小化、數(shù)據(jù)可用不可見等方式幫隱私設計理念提出將隱私計算技術的應用擴展為一套完整的隱私設計框架，主動將隱私保護嵌入信息技術、網(wǎng)絡基礎設施和商業(yè)實踐中，并通過實踐七項基本原則（1）來實現(xiàn)這種嵌入的隱私保護理念。1

來源：CCSATC601隨著時間的推移，隱私設計理念及其原則逐漸被各國監(jiān)管機構和國際組織所認可，并成為推動隱私保護發(fā)展的重要理論基礎。201010理論作為未來隱私保護至關重要的組成部分1。2018年生效的歐盟enerlataroeconeuaiR）將隱私設計理念納入第二十五條“DataProtectionbyDesignandbyDefault”中；202010月，歐洲數(shù)據(jù)保護委員會（EuropeanDataroeconardB）發(fā)布了udenes429onrile25DataProtectionbyDesignandbyDefault2.0設計的數(shù)據(jù)保護和基于默認的數(shù)據(jù)保護需要考慮的相關要素進行分析后，提出了透明度、合法性、公平性、目的限制、數(shù)據(jù)最小化、準確性、存儲限制、完整性和保密性、可問責性等原則，并針對每132ndInternationalConferenceofDataProtectionandPrivacyCommissioners.Privacybydesignresolution,October2010.27-29October2010,Jerusalem,Israel.個原則提供了具體的要素和示例解讀供參考。英國信息專員辦公室（InformationCommissioner’sOffice）發(fā)布GuidetoDataProtection2017年以來持續(xù)更新，其中就“隱私保護設計”設專章，鼓勵企業(yè)將隱私保護設計納入現(xiàn)有的項目管理和風險管理方法和政策中。美國聯(lián)邦貿易委員會（FederalCommission）2012年發(fā)布的報告2中提出以“隱私融入設計”“簡化的用戶選擇”“透明性”為三大原則的隱私框架。202263日，美國參議院和眾議院發(fā)布的第一個獲得兩黨兩院支持的美國聯(lián)邦全面隱私保護提案《美國數(shù)據(jù)隱私和保護法》（AmericanDataPrivacyandProtectionAct）草案也將隱私融入設計原則放置在忠誠（InternationalOrganizationfortaariatnIO）在23年1月還發(fā)布了I30-:23隱私設計的產生和發(fā)展標志著一種新的隱私保護范式的興起，為更完善的隱私保護提供了新思路。同時，AnnCavoukian提出的隱私設計理念也面臨著一些挑戰(zhàn)，例如，企業(yè)管理層對于隱私保護的事后補救觀念難以轉變、設計和開發(fā)工程師需要有過硬的隱私保護2ProtectingConsumerPrivacyinanEraofRapidChange:RecommendationsForBusinessesandPolicymakers隱私工程白皮書隱私工程白皮書PAGEPAGE10專業(yè)知識以選擇合適的隱私保護架構和策略、業(yè)內尚未形成廣泛共識的方法論等等。這些挑戰(zhàn)也成了各國數(shù)據(jù)保護監(jiān)管機構以及國際組織等持續(xù)討論和研究的課題。(二)隱私設計與隱私工程也進行了一系列的演變和發(fā)展，諸多學者和權威機構提出了一系列經典理論和知識體系，如隱私風險建模、隱私影響評估、隱私工程設計策略、隱私設計模式等等，將隱私設計從理論推向實踐，而其中很重要的一項發(fā)展就是隱私工程的誕生。由于隱私設計的七項基本原則較為抽象，業(yè)界一直致力于將該等原則具體化，形成一套可以直接指導實際研發(fā)并解決特定領域不同隱私需求的方法論，即隱rvcynieer。隱私工程對于隱私保護監(jiān)管和企業(yè)實踐都有較強的指導意義。一方面，法律的更迭速度與技術的發(fā)展速度差距越來越大，引發(fā)了數(shù)據(jù)保護監(jiān)管機構的擔憂。歐盟網(wǎng)絡和信息安全局（EuropeanUniongecyforberecrtyIA）指出，“歐盟各國數(shù)據(jù)監(jiān)管機”3；另一方面，隱私保護立法日趨嚴格但較為概括模糊，企業(yè)對如何證明其數(shù)據(jù)處理活動遵守隱私保護要求存在困惑，例如如何保證對法律概念和工程實踐概念的理解保持一致，抽象的法律要求如何轉化為精確的研發(fā)工程，不斷更新迭代的系統(tǒng)如何保證持續(xù)合規(guī)等等。3PrivacyandDataProtectionbyDesign-fromPolicytoEngineering隱私工程通過梳理和總結隱私保護合規(guī)要求，將其轉化為系統(tǒng)工程中的目標、策略、風險管理框架、組織管理和運營方法，為隱私保護要求提供了具象化的實踐指引。二、 隱私工程的內涵：以隱私嵌入系統(tǒng)工程為核心GDPR直接將隱私設計原則納入立法中，因此歐盟對于隱私工程的探索主要圍繞如何將GDPR的原則性要求落地于實踐展開討論并提供指引。美國對于隱私工程的探索其核心目的與歐盟一致，都是針對如何將隱私保護的概括性原則和相關法律規(guī)定轉化為系統(tǒng)工程的隱私要求并融入系統(tǒng)開發(fā)流程中。從形式上看，美國的隱私工程框架體系偏向于實用手冊，更方便企業(yè)應用和實踐。ISO和國際電工委員會（InternationallecrotehcalissiI私工程的理論進行沉淀，沒有將與隱私工程相關的實操措施和細節(jié)進行詳細闡述，而是指向了其他框架、標準、書籍和論文，具備了一個知識索引的功能。我國則充分融合了國內外隱私工程實踐，在國內近幾年個人信息保護立法以及行業(yè)實踐基礎上，通過國家標準提供了一種履行義務的實踐路徑，即通過工程化的過程來將個人信(一)隱私工程的定義隱私工程的概念起源于國外，各國對于隱私工程的定義并不相同。ENISA指出“隱私工程可以被認為是DataProtectionbyDesignandbyDefault的一部分，目標在于支持選擇、運用和配置恰當?shù)募夹g和組織措施，以實現(xiàn)具體的數(shù)據(jù)保護原則4究院（NationalInstituteofStandardsandNIST4PrivacyandDataProtectionbyDesign—frompolicytoengineering2017年在其內部報告5中將隱私工程定義為“一種系統(tǒng)工程的特殊方法，旨在讓個人免于承受系統(tǒng)處理個人識別信息過程中所產生的不可接受的后果”。ISO/IECTR27550:2019《信息技術安全技術系統(tǒng)生命周期流程中的隱私工程》（“ISO/IEC27550:2019”）認為隱私工程是“將隱私問題納入系統(tǒng)和軟件工程生命周期過程的工程實踐”。2022GB/T41817-2022（“《個人信息安全工程指南》”。該標準將也稱”6）“和要求融入產品服務規(guī)劃、建設的每個階段，使個人信息安全要求。本白皮書認為，隱私工程并不局限于將隱私保護的需求整合到系統(tǒng)和軟件開發(fā)生命周期，此外還需要一系列組織、技術和管理等多方面的支持。因此，本白皮書所指的隱私工程，是將隱私保護要求嵌入系統(tǒng)工程乃至企業(yè)管理全流程的一種工程實踐。這也和上文中歐盟和美國的定義較為一致。通過對比能夠看出，歐盟和美國對隱私工程的定義更加寬泛，并未將隱私工程限定在系統(tǒng)和軟件開發(fā)流程中，而是描述了通過隱私工程要達到“實現(xiàn)數(shù)據(jù)保護原則”和“保護個人隱私權利”目的。要實現(xiàn)這樣的目的，除了將隱私嵌入系統(tǒng)和軟件開發(fā)流程之外，還要在組織架構保障、技術措施選擇、合規(guī)基線確定、風險評估流程以及隱私風險管理等方面注意隱私保護。ISO/IEC對隱私工程的定義與我國《個人信息安全工程指南》5AnIntroductiontoPrivacyEngineeringandRiskManagementinFederalSystems6GB/T41817-20223.1在“注”中明確“也稱‘隱私工程’”。的定義較為類似，但結合ISO/IEC27550:2019對隱私工程階段流程的描述（包括采購與供應、人力資源管理、知識管理、風險管理等流程，IIC也并非認為隱私工程僅指將隱私要求融入系統(tǒng)和軟件工程生命周期過程。因此，我們在理解隱私工程時，可以在《個制度化、流程化、平臺化的方式來提升企業(yè)的隱私保護能力的工程實踐。將隱私要求嵌入系統(tǒng)和軟件開發(fā)流程是隱私工程的核心，但同時還需要通過組織保障、制度要求、流程管理、平臺工具等提供(二)隱私工程的目標各國對于隱私工程目標的設定基本以其倡導的隱私保護原則或標相一致（如表1，而“合法正當”和“最小必要”兩項目標則主要是基于《個人信息保護法》的頂層架構進行了調整（如圖2，使來源：CCSATC601圖2個人信息安全工程目標和《個人信息保護法》基本原則映射表1國內外隱私工程目標對比我國歐盟ENISA7美國NIST8合法正當//遵循個人信息安全相關法律法規(guī)要求，處理個人信息具有明確、合理的目的，不通過誤導、欺詐、脅迫等方式處理個人信息。//最小必要//處理個人信息與處理目的直接相關，采取對個人權益影響最小的方式，收集個人信息限于實現(xiàn)處理目的的最小范圍。//公開透明透明性（Transparency）可預測性（Predictability）公開個人信息處理規(guī)則，明示處理的目的、方式和范圍，提高產品服務個人信息處理的透明性是指所有與隱私相關的數(shù)據(jù)處理，包括法律、技術和組織設置，都可以隨時理解和重建。數(shù)據(jù)的實際處理、計劃處理以及處理后的具體情況都應當保證透明性。是指使個人、所有者和操作人員能夠對個人信息及其信息系統(tǒng)的處理有可靠的預期。7PrivacyandDataProtectionbyDesign—frompolicytoengineering8AnIntroductiontoPrivacyEngineeringandRiskManagementinFederalSystems我國歐盟ENISA7美國NIST8不可關聯(lián)不可關聯(lián)性（Unlinkability）不可關聯(lián)性（Disassociability）采用去標識化、匿名化等手段，減少個人信息關聯(lián)到個人信息主體引起的安全風險。是指隱私相關數(shù)據(jù)與域外的任何其他隱私相關數(shù)據(jù)集不可關聯(lián)。是指對個人信息或事件的處理，不與超出系統(tǒng)運行需求的個人或設備相關聯(lián)?？晒芾硇钥筛深A性（Intervenability）可管理性（Manageability）提供個人信息處理的管理機制，使用戶和組織能夠適當干預產品服務處理個人信息的過程。是指確保對所有正在進行或計劃進行的隱私數(shù)據(jù)處理進行干預，并在必要時能夠糾正和制衡。是指提供對個人信息細粒度的管理的能力，包括選擇、刪除和選擇性披露。來源：CCSATC601(三)隱私工程的內容輸出已給出了較為具體的實施方案，包含了需求、設計、開發(fā)、測試和部署軟件開發(fā)過程通用的個人信息安全工程活動（如圖3。此的要點和常見個人信息安全默認配置參考要點，對我國企業(yè)而言具來源：《個人信息安全工程指南》圖3《個人信息安全工程指南》個人信息安全工程各階段活動但如前所述，在完成《個人信息安全工程指南》提供的流程之外，企業(yè)還需要從運營和管理的角度提供一系列的隱私保護支撐，這些內容在NIST報告和ISO/IEC27550:2019中均有所體現(xiàn)。NIST941規(guī)和Is10（2）隱私影響評估，用于識別風（3）（4）隱私工程和安全目標，用于厘清并評估系統(tǒng)是否滿足相關要求以及妥善處理風險的能力；以及（5）風險管理框架，用于提供選擇和評來源：AnIntroductiontoPrivacyEngineeringandRiskManagementinFederalSystems圖4NIST隱私工程構成ISO/IEC27550:2019提出的隱私工程流程是建立在ISO/IEC/IEEE15288:2023《系統(tǒng)和軟件工程：系統(tǒng)軟件生命周期》之上的，從企業(yè)完整運營的角度考慮，認為隱私工程涉及包括采購、銷售、人力資源等相關部門，具備較強的兼容性。具體內容包括采購與管理流程、人力資源流程、知識管理流程、風險管理流程、相9AnIntroductiontoPrivacyEngineeringandRiskManagementinFederalSystems10FIPPs（FairInformationPracticePrinciples）即“公平信息實踐法則”是由美國衛(wèi)生、教育與福利部提出的保護個人隱私的基本原則，包括個人有權知道他人收集了哪些關于他的信息，以及這些信息是如何被使用的；個人有權拒絕某些信息使用并更正不準確的信息；信息收集組織有義務保證信息的可靠性并保護信息安全。FIPPs隨后成為美國1974年《隱私法案》及其他聯(lián)邦和各州隱私保護法律的基礎，也被其他國家和國際組織所廣泛承認和接受。盡管隨著時間的推移FIPPs的內容在表達上有所變化，但始終被視為與各組織的信息管理實踐廣泛相關的一致核心原則。關方需求與要求流程、系統(tǒng)需求定義流程、架構定義流程和設計定。表2ISO/IEC27550:2019提出的覆蓋系統(tǒng)生命周期的隱私工程流程流程類型（ISO/IEC/IEEE15288）覆蓋系統(tǒng)生命周期的流程（ISO/IEC/IEEE15288）隱私工程事項協(xié)議流程采購流程供應鏈涉及個人信息供應流程組織項目賦能流程人力資源流程隱私工程人力資源管理知識管理流程隱私工程知識管理技術管理流程風險管理流程隱私風險管理技術流程相關方需求與要求流程相關方的隱私期待系統(tǒng)需求定義流程隱私原則執(zhí)行架構定義流程隱私對架構的影響設計定義流程隱私對設計的影響來源：ISO/IEC27550:2019基于歐盟、美國以及ISO/IEC對于隱私工程內容的描述，結合我國個人信息保護的相關要求，本白皮書認為隱私工程主要包含以下內容：表3隱私工程內容組織人員從組織架構、工作職責、意識技能等方面，進行人才資源管理、溝通機制建立、隱私工程技能提升，以此構建讓隱私工程順利推行的組織根基。技術工具以技術工具的方式在產品/服務的數(shù)據(jù)處理活動中落地個人信息保護要求，或在內部管理中使用技術工具識別、管理個人信息保護風險。文檔管理隱私工程落地實施的規(guī)劃、執(zhí)行方案、運行記錄、改進跟蹤均以文檔方式進行記錄并體系化管理。知識管理識別隱私工程知識庫的組成元素、形成可用的隱私工程知識庫并跟蹤分析其使用情況。系統(tǒng)開發(fā)生命周期隱私管理需求、設計、開發(fā)、測試和部署軟件開發(fā)過程中嵌入個人信息保護要求，參考《個人信息安全工程指南》的內容。第三方合作管理在第三方的準入篩選、合同簽訂、跟蹤監(jiān)測、風險評估和退出等方面考慮隱私保護問題并形成全流程的管理機制。個人權利保障針對用戶個人信息權利的授權、個性化、權利請求響應和處理等方面形成體系化的控制策略和流程。隱私安全事件管理制定隱私安全應急預案并定期演練，建立事件的監(jiān)測、處置、報告和通知流程。隱私風險管理建立隱私風險管理體系，對隱私風險的識別、分析、評價、處置和監(jiān)測形成標準化管理機制和運營系統(tǒng)。來源：CCSATC601三、 隱私工程的價值：企業(yè)隱私保護的必經階段隱私保護其實早已成為我國企業(yè)關注的重點，企業(yè)或多或少都在從技術、管理等多角度滿足隱私保護要求，只是通常未形成較為系統(tǒng)和全面的方法論。隨著《個人信息保護法》的出臺和生效，我國的個人信息保護框架基本穩(wěn)固，監(jiān)管活動也逐漸趨于常態(tài)化，監(jiān)管的關注點也越來越細致深入，大部分企業(yè)已具備基礎的個人信息保護能力，開始追求隱私保護的制度化、流程化和體系化，更多從事前考慮并關注如何預防、評估和處置個人信息安全風險。由此可見，隱私工程或將成為下一階段企業(yè)隱私保護的解決方案。(一)監(jiān)管趨勢：隱私保護監(jiān)管趨于精細化常態(tài)化APP監(jiān)管向著標準化、自動化、智能化發(fā)展。自2019年開始，移動互聯(lián)網(wǎng)應用程序（APP）作為企業(yè)收集和處理個人信息的重要媒介，一直是我國隱私保護監(jiān)管的重點。2020年7月，全國APP技術檢測平臺的上線和使用，APP檢測效率大大提高，2022年該平臺已具備每個月能夠檢測18萬款APP的能力11；2023年7月27日，APP開發(fā)管理風險線索報送系統(tǒng)上線，旨在進一步加強對APP全生命周期管理，幫助及時發(fā)現(xiàn)、有效處置APP在代碼設計、更新維護、程序管理中存在的風險漏洞。通過輔以技術檢測，監(jiān)管不僅僅停留在原則性的灰度檢測和過度依賴司法裁判的事后釋法，APP被通報整改和下架已經成為常見的監(jiān)管形態(tài)。11國新辦舉行2021年工業(yè)和信息化發(fā)展情況新聞發(fā)布會圖文實錄/xwfb/gwyxwbgsxwfbh/wqfbh_2284/2022n_2285/2022n01y20rsw/twzb_2344/202208/t20220808_316012.htmlAPP監(jiān)管范圍擴大，覆蓋前端、后端及全流程。目前，APP監(jiān)管范圍已經從APP深入至APP內嵌第三方軟件開發(fā)工具包ftareevlentiKPAPP的基本功能是否合法合規(guī)擴展到個人信息相關權限調用、信息上傳等。20232月，工業(yè)和信息化部發(fā)布《關于進一APP開發(fā)運營者主體要完善內部管理機制，將相關法規(guī)政策要求落實到產品研發(fā)、推廣和運營各環(huán)節(jié)；采取訪問控制、技術加密、去標識化等安全技術措施，加強前端和后端安全防護；主動監(jiān)測發(fā)現(xiàn)個人信息泄露、竊取、篡改、毀損、丟失、非法使用等風險威脅，及時響應處置除了APP監(jiān)管，違反《個人信息保護法》的各類行為也陸續(xù)出現(xiàn)在行政處罰案例中，如未對個人信息采取加密、去標識化等安全技術措施，在存儲和傳輸敏感個人信息時未采取必要的安全技術措施，沒有制定內部管理制度和操作規(guī)程等等；處罰對象也不局限于APP運營者，物業(yè)公司、售樓處、停車場等各行業(yè)、多樣化服務的運營主體也都“榜上有名”。一方面，常態(tài)化的監(jiān)管意味著企業(yè)需要對監(jiān)管要求保持高度敏感，并建立起一套與業(yè)務高度契合的隱私風險識別和處置機制，不僅能夠在發(fā)現(xiàn)問題時及時溯源和處置，還能夠通過定期的評估和監(jiān)測提前發(fā)現(xiàn)隱私安全風險并積極預防。另一方面，精細化的監(jiān)管要求企業(yè)將隱私保護深入到產品以及產品背后的系統(tǒng)、應用，進入真正的工程實現(xiàn)層面，把法律法規(guī)和標準內化形成一種順其自然的默認隱私態(tài)勢，降低隱私保護措施貫徹落實對企業(yè)的業(yè)務影響，做到從容應對立法、執(zhí)法和司法的動態(tài)變化。(二)用戶需求：個人信息主體權利保護成為隱私保護重點保護個人信息主體相關權利成為法定要求。《個人信息保護法》生效后，企業(yè)需要對個人信息權利提供更多的保障，包括知情權、決定權、拒絕權、查閱復制權、更正補充權、請求轉移權、刪除權、解釋說明權等等。無法及時滿足用戶的權利行使請求會帶來行政處罰和訴訟風險。廣東省高級人民法院2023年1月發(fā)布的個人信息保護典型案例中，就包括平臺拒絕用戶對其個人信息的查閱復制請求而導致的訴訟案件。個人信息權利管理逐漸成為提升用戶體驗的重要模塊。隨著我國個人信息保護立法逐漸完善，公眾對于個人信息主體權利的保障意識不斷提高。如果說企業(yè)重視保障個人信息主體的相關權利起初是為了回應監(jiān)管要求，那么現(xiàn)階段更多企業(yè)投入精力和成本提供便捷和人性化的個人信息管理功能，則是希望通過更好地維護用戶的個人信息主體權利來提升產品用戶體驗，進而增強產品的競爭力。起初，用戶行使相關權利通常需要通過意見反饋留言、發(fā)送郵件、撥打客服電話等實現(xiàn)，耗費時間長、反饋不及時；現(xiàn)在，越來越多的產品傾向于在產品的隱私設置中增加多樣化的個人信息權利管理功能，讓用戶可以更加便利地行使相關權利，如查看和獲取個人信息收集清單、授權和撤回授權、個性化管理等等。為此，企業(yè)不僅需要設置相應的產品功能，還需要全方位動態(tài)梳理個人信息資產，掌握其收集和使用的個人信息類型、數(shù)量、使用目的、授權情況等，對個人信息在內部的流轉進行全鏈路的追蹤和監(jiān)測，以便在個人用戶提出權利行使要求時能夠準確高效地定位到相關個人信息，并配合進行相應處理。在產品需求和設計階段考慮個人信息主體的權利保障，正是隱私設計理念“尊重用戶隱私，以用戶為中心”的體現(xiàn)，也與隱私工程主張將隱私保護要求嵌入產品和系統(tǒng)開發(fā)流程中的基本要求不謀而合。具備良好隱私保護實踐的產品和服務不僅能減少隱私數(shù)據(jù)泄漏對個人權益的影響，也更加符合用戶的隱私期待。(三)企業(yè)發(fā)展：隱私保護助力企業(yè)合規(guī)高效發(fā)展隱私工程可以大大減少隱私保護對業(yè)務的影響。為了滿足監(jiān)管合規(guī)要求、保護個人信息權益，企業(yè)在建立個人信息保護制度的過程中，需要承擔一些隱私合規(guī)的成本，如建設隱私合規(guī)能力和體系的培訓、評估以及技術和維護成本等。隱私保護策略的實施通常也會影響個人信息價值的開發(fā)利用，企業(yè)很難實現(xiàn)隱私保護和業(yè)務價值的雙贏。而隱私工程通過結合企業(yè)自身具體業(yè)務場景和合規(guī)要求，主動將隱私和數(shù)據(jù)保護需求嵌入到業(yè)務運營及系統(tǒng)服務的設計中，讓隱私保護成為企業(yè)商業(yè)實踐和系統(tǒng)運行的默認規(guī)則，成為業(yè)務和系統(tǒng)的核心組成部分，減少因為事后整改而導致前期產研投入的浪費。隱私工程有利于企業(yè)可持續(xù)發(fā)展。環(huán)境、社會和公司治理（nirentl,oia,oeraneG）作為一種關注企業(yè)環(huán)境、社會、公司治理績效而非傳統(tǒng)財務績效的企業(yè)評價標準，近年來越發(fā)獲得投資者和企業(yè)的關注。在香港聯(lián)交所的《環(huán)境、社會及行及監(jiān)察方法”屬于強制披露內容。國際主流評級機構MSCI私和數(shù)據(jù)安全議題列為評級關鍵指標之一，尤其是針對信息與通信技術行業(yè)的企業(yè)的評估，該類指標所占權重很高。隱私工程作為能ESG相關ESG中的隱私安全與數(shù)據(jù)保護提供強有力的支撐，幫助企業(yè)建立良好的社會聲譽，助力企業(yè)可持續(xù)發(fā)展。四、 隱私工程的實踐：我國隱私工程實踐探索雖然隱私工程主要強調如何將隱私嵌入產品和系統(tǒng)的開發(fā)流程中，但要實現(xiàn)這種融合，還需要在組織建設、人員管理、技術選擇、制度流程等方面進行配合，對內涉及企業(yè)多部門多方面參與，對外還要關注用戶、合作方、監(jiān)管部門等多個關聯(lián)方的安全隱私需求。本章結合我國企業(yè)的隱私工程實踐經驗，提供了可參考的隱私工程體系建設流程、架構及建議，拋磚引玉，企業(yè)可結合自身需求選取和應用。(一)隱私工程體系建設流程參考隱私工程體系建設可分為計劃階段、構建階段、集成階段、驗證階段和運營階段，各個階段與網(wǎng)絡安全主流的DevSecOps的框架相適應，以便能夠通過最小有效的方式將隱私保護嵌入已經較為完善的企業(yè)研發(fā)流程框架之中，減少隱私保護工作實施過程中的阻力。在實踐中，企業(yè)可根據(jù)自身情況判斷隱私保護現(xiàn)狀及差距，從適當?shù)牧鞒倘胧种鸩酵晟齐[私工程體系的建設。隱私工程計劃階段計劃階段主要是通過組織架構、人員職責、制度流程、技術工具和知識管理等方面進行規(guī)劃設計，是隱私工程的基礎性工作。組織架構與人員職責。從企業(yè)層面設立專門的隱私保護組織，明確組織構成以及各方職責分工，統(tǒng)籌規(guī)劃并推進個人信息保護整體工作。具體包括制定個人信息保護目標，建立運營機制和問責機制，通過持續(xù)完善運營機制和專項活動推動隱私保護目標達成，包括不限于推動標準化流程的建立及完善、定期考核目標達成情況、通過組織培訓活動提升員工隱私保護意識等。實踐案例|AmberGroup：職責清晰的安全隱私治理組織架構AmberGroup的信息安全與隱私組織架構（5）借鑒和參考了COBIT5.0、ISO27001ISO27701IT治理和安全隱私標準的組織架構設計指引，通過合理的層級設置和職責劃分，建立決策、管理、執(zhí)行和監(jiān)督四個層級的運作機制，具備分工合理、職責明確、相互制衡、報告關系清晰的特點，充分體現(xiàn)了治理框架的全面性、合規(guī)性、先進性、可操作性和審計獨立性。信息安全與隱私組織架構建立了安全委員會、信息安全與隱私保護管理組、信息安全與隱私保護執(zhí)行組（信息安全與隱私部門、數(shù)據(jù)所有者、數(shù)據(jù)消費者、信息安全與隱私接口人、數(shù)據(jù)保護官、信息安全與隱私監(jiān)管組等組織，建立了清晰的職責矩陣和RACI矩陣，能夠對每個隱私工作領域所需要負責（esponsbe、批準（Accounabe、咨詢（onsued、通知（Infored）的角色進行明確定義，確保隱私工作有效地落實責任。來源：AmberGroup圖5AmberGroup信息安全與隱私組織架構實踐案例|OPPO：安全與隱私管理“三道防線”建立完善的安全與個人信息保護組織，各司其職，分工協(xié)作，是隱私工程體系運行的基礎和驅動力。為此，OPPO成立了安全與合規(guī)委員會，負責制定安全與合規(guī)總體戰(zhàn)略規(guī)劃，統(tǒng)籌推進個人信息保護整體工作。安全與合規(guī)委員會下設安全與隱私管理（6第一道防線，由業(yè)務部門安全與隱私合規(guī)代表或安全系統(tǒng)工程師構成，主要向業(yè)務負責人及安全與合規(guī)委員會匯報，負責產品安全隱私策略的具體落地應用、自查自糾等。第二道防線，由專職的安全隱私部門構成，主要向安全與合規(guī)委員會匯報，負責安全隱私能力的建設與支持、推動產品安全隱私策略的落地。第三道防線，由審計部門擔任，主要向安全與合規(guī)委員會匯報，負責產品安全隱私策略落地的審計，發(fā)現(xiàn)風險，推動業(yè)務整改。OPPOOPPO同時建立清晰的問責機制，督促各級部門履行自己的職責，在發(fā)生違規(guī)情形時，將由公司進行對應的問責處置。來源：OPPO6OPPO安全隱私保護組織架構實踐案例|AmberGroup：信息安全與隱私管理體系文件融合架構AmberGroup在隱私工程上的制度、流程和規(guī)范包括個人數(shù)據(jù)收集與處理程序、個實踐案例|AmberGroup：信息安全與隱私管理體系文件融合架構AmberGroup在隱私工程上的制度、流程和規(guī)范包括個人數(shù)據(jù)收集與處理程序、個人數(shù)據(jù)留存及銷毀程序、數(shù)據(jù)主體同意管理規(guī)范、數(shù)據(jù)主體權利響應程序、數(shù)據(jù)處理記錄規(guī)范、個人數(shù)據(jù)泄漏響應程序、數(shù)據(jù)跨境傳輸程序、數(shù)據(jù)安全與隱私保護技術規(guī)Checklist、個人數(shù)據(jù)與隱私合規(guī)評估準則、IA&DIA報告及模板等主要內容（如圖7。這些文件共同為隱私工程的構建階段提供規(guī)范化文檔指引，也是知識管理中需要持續(xù)維護的內容。來源：AmberGroup圖7AmberGroup信息安全與隱私管理體系文件融合架構實踐案例|螞蟻集團：數(shù)字化的隱私合規(guī)基線-ACriacyevelnshtI如圖）的核心是隱私合規(guī)基線的數(shù)字化，通過對于內外部的數(shù)據(jù)和信息進行分析，制定相關業(yè)務或產品的隱私合規(guī)基線，在此基礎上對實際管控水位和管控效果進行跟蹤和分析。隱私合規(guī)基線的設置可綜合考量風險維度、業(yè)務表現(xiàn)、用戶感受、行業(yè)水位四個維度。設置合適的隱私合規(guī)基線應當做到對監(jiān)管立法執(zhí)法、行業(yè)動態(tài)進行及時感知和分析，通過用戶分析、投訴等信息構建用戶隱私感模型，以及對企業(yè)內各業(yè)務風險域的隱私水位進行標準量化管理及數(shù)據(jù)化分析。來源：螞蟻科技集團股份有限公司圖8螞蟻i-ABC隱私工程體系隱私水位洞察域架構技術工具。隱私工程在實踐中需要同時采用管理措施和技術手段來控制個人隱私合規(guī)風險。企業(yè)基于法律法規(guī)制定的制度流程等管理措施為管控個人隱私風險提供了原則和規(guī)范，而訪問控制、密碼算法、隱私增強計算技術等技術工具可以對隱私合規(guī)要求進行具象化的產品或系統(tǒng)實現(xiàn)。但隱私和數(shù)據(jù)安全領域與傳統(tǒng)信息安全領域有所不同，其風險項以原則性描述居多。同時，隱私保護及數(shù)據(jù)安全與實際業(yè)務耦合性較強，在控制隱私風險時，對業(yè)務模式和邏輯的侵入性也更強，較難建立統(tǒng)一認可的通用威脅模型和防護手段。因此，企業(yè)應結合自己業(yè)務的實際情況，對業(yè)務場景進行梳理，建立通用場景的隱私合規(guī)威脅模型和風險庫，并設計相應的隱私保護策略及解決方案，設置隱私合規(guī)基線，開展隱私影響自評估，在產品和服務上線前進行安全測試驗證。實踐案例|實踐案例|i-ABC隱私工程體系：專家經驗策略化與大模型緊密結合i-ABC隱私工程體系是技術驅動的隱私工程，核心是解決隱私保護傳統(tǒng)模式中依賴專家經驗判斷的效率問題和對個人信息識別的準確度問題。專家經驗策略化是指將專家的知識和經驗轉化為一種可以被機器理解和執(zhí)行的策略或者規(guī)則。這種策略或者規(guī)則可以幫助專家在判斷個人信息處理活動合法性的時候，將傳統(tǒng)隱私保護活動中的事前審核方式，從人工逐個判斷，轉化為由機器批量處理，指數(shù)級提升事前管控審核的效率。與大模型緊密結合，是指在處理數(shù)據(jù)時，充分利用大數(shù)據(jù)和機器學習等技術。這些技術可以幫助更好地理解數(shù)據(jù)，發(fā)現(xiàn)數(shù)據(jù)中的模式和規(guī)律，以及提供使用者更自由、更高效的人機交互模式。例如，對個人信息活動中涉及的個人信息的進行提取，對個人信息類型進行判斷，或通過智能助手的形式輔助隱私保護業(yè)務運營人員進行法規(guī)影響、業(yè)務風險、產品隱私體驗等專家判斷。實踐案例|OPPO：可靠、可信、智能化的數(shù)據(jù)安全防御體系OPO以六層防御系統(tǒng)為基礎，打造數(shù)據(jù)安全防御體系（如圖9。運用AI、大數(shù)據(jù)等新技術，實現(xiàn)智能化云安全防護能力，并將安全與隱私活動貫穿產品全生命周期。同時，OPPO在安全隱私檢測技術上取得了一系列突破，通過安全與隱私合規(guī)檢測推動合規(guī)要求的切實執(zhí)行，為用戶建立穩(wěn)固的安全防線。除了專注于提高隱私合規(guī)檢測能力，OPPO也積極探索隱私保護技術的產品應用。例如，在產品的部分場景中使用了本地差分隱私技術，實現(xiàn)了數(shù)據(jù)的匿名化處理，為用戶提供先進的隱私保護能力，回應用戶的隱私保護期待。來源：OPPO圖9OPPO數(shù)據(jù)安全技術防御體系知識管理和培訓。隱私保護是一個跨學科、跨領域的專業(yè)，要求在業(yè)務、研發(fā)、產品、安全、隱私、法務、公關、人力資源等不同部門之間做到密切有效的配合，相關知識經驗的傳遞和沉淀是必不可少的。企業(yè)可參考ISO/IEC27550:2019開展隱私保護的人力資源管理以及知識管理。人力資源管理流程可以理解為隱私工程能力發(fā)展項目，主要以識別隱私工程能力以及對應資源的投入，包括培訓及教育、培訓材料的創(chuàng)建和維護，以及監(jiān)控該能力的變化。知識管理流程主要是將隱私工程實踐中所積累的知識形成專業(yè)的知識庫，運用于實踐指導。企業(yè)可安排隱私保護組織制定年度培訓目標與計劃，并根據(jù)近期監(jiān)管動向、合規(guī)趨勢、處罰案例、行業(yè)熱點等情況定制適合企業(yè)實際情況的培訓主題。實踐案例|星紀魅族：產品定制的隱私工程知識庫星紀魅族集團在隱私工程落實中重視人力資源管理和知識管理，由個人信息保護部門牽頭，聯(lián)合產品、設計、研發(fā)、測試多個不同部門制定了一套適用于本公司的個人信息保護知識庫以及培訓材料，并保證其在產品內統(tǒng)一、持續(xù)地推行。星紀魅族集團以產品實踐為樣本來錘煉知識庫，強調實踐出真知，在每個終端產品類型的合規(guī)落地中積累知識與經驗。個人信息保護部門提出應當滿足個人信息保護法律要求以及符合行業(yè)實踐的個人信息保護功能需求，產品和設計部門會結合公司的終端產品特性、交互設計規(guī)范等形成標準的統(tǒng)一產品方案，研發(fā)部門以代碼方式實現(xiàn)統(tǒng)一產品方案，繼而形成個人信息保護功能實現(xiàn)的標準化工具，測試部門則基于個人信息保護部門提供的測試用例形成標準化的測試方案、自動化測試工具。整套閉環(huán)的合規(guī)需求、產品設計方案、標準工具和測試方案經過一款產品落地的打磨后會進入到隱私工程知識庫，成為未來開發(fā)新功能的重要輸入。在隱私工程知識庫形成后，星紀魅族集團啟動了針對產品設計、研發(fā)及算法工程師的隱私工程培訓，且完成隱私工程的培訓與考核是試用期通過的前提條件之一，以使相關崗位人員具備隱私工程的必備技能，實現(xiàn)知識庫內容的融會貫通，在開發(fā)新產品、新功能時自然導入個人信息保護要求。比如，產品及設計的隱私工程必修課包括PbD理念、通用設計指南與設計用例（如告知同意的設計、基礎模式的設計等、常見的欺騙性隱私設計等等。以此確保隱私工程能力成為該崗位員工的必備技能。隱私工程構建階段隱私工程構建階段包括產品需求定義和產品設計定義。需求定義要分析產品需求中哪些內容可能涉及個人信息處理，并根據(jù)相關要求進行隱私影響評估并記錄，最終根據(jù)隱私影響評估結果判斷是否可以正式進入產品隱私的設計階段。如果經評估判斷存在高風險，則需要進一步根據(jù)實際情況選擇是否采取減緩措施或選擇放棄該數(shù)據(jù)處理活動。實踐案例|i-ABC隱私工程體系：隱私影響評估域DevOps工作流程中，與研發(fā)集成、數(shù)據(jù)實踐案例|i-ABC隱私工程體系：隱私影響評估域DevOps工作流程中，與研發(fā)集成、數(shù)據(jù)安全等多個部門緊密合作，在追求隱私合規(guī)性和數(shù)據(jù)可用性的同時保障開發(fā)和運維的如圖0（1）PIA技術組件，通過低代碼接入的方式針對不同的業(yè)務場景快速搭PIA評估流程，以高效支撐復雜業(yè)務的開展。明確全鏈路統(tǒng)一的產品/場景信息標準，各環(huán)節(jié)審核與業(yè)務需求評估打通，盡量做到一個產品或業(yè)務全鏈路只審一次；（2）平PIA的評估模型和策略模型，構建基于隱私各業(yè)務領域特征的檢測、策略審核的平臺能力。來源：螞蟻科技集團股份有限公司圖10隱私影響評估域架構如圖1：定基線。依據(jù)法律法規(guī)的規(guī)定、監(jiān)管指導意見、行業(yè)標準，結合企業(yè)具體的業(yè)務場景和產品特性，制定契合企業(yè)業(yè)務流程的隱私合規(guī)基線，針對數(shù)據(jù)全流程中可能涉及到的收集、使用、存儲、共享的場景提前設定好隱私管理的標準和要求。建卡點。從個人信息全生命周期分析，結合企業(yè)實際的產品研發(fā)運營的活動，PIA事前管控的關鍵鏈路，以建立與生產或研發(fā)流程相融合的正向個人信息影響評估體系。在關鍵鏈路基礎上，針對領域對象進行建模和抽象，進一步產出可復用的隱私組件和模板，從而快速完成管控鏈路收口。布策略。過程管控中通過策略布控和運行來保證隱私評審的結果能夠在實際鏈路中生效。可構建隱私策略平臺作為隱私管控策略集中布控和運營的中心，與業(yè)務相關生產應用系統(tǒng)進行鏈路打通。評效果。通過前面三個步驟的實施，完成了事前評估和鏈路管控，通過應用、鏈路中提前預設切面等采集方式，對鏈路中發(fā)生的數(shù)據(jù)實際處理情況進行收集和反饋，做到實時地監(jiān)控，從而對業(yè)務實際效果進行反饋評價。來源：螞蟻科技集團股份有限公司圖11隱私影響評估策略管控實踐案例|星紀魅族：基于硬件終端產品軟件開發(fā)生命周期建立隱私工程手機、眼鏡和智能汽車均是硬件制造行業(yè)，一般會按照瀑布式開發(fā)流程來進行推進，以減少項目風險，保障交付。而基于硬件的軟件產品，包括操作系統(tǒng)、操作系統(tǒng)上運行的應用，更多還是采取迭代式軟件開發(fā)周期?；谔厥獾拈_發(fā)流程，星際魅族設計的隱私工程流程是遵循整個硬件的開發(fā)周期，但會限定于在軟件開發(fā)的范圍內增加隱私工程的流程，并結合軟件開發(fā)周期的迭代特性，貫穿終端硬件的整個生命周期。如表4：表4星紀魅族隱私工程流程需求階段輸入業(yè)務部門提供終端硬件的基本需求，如銷售國家或區(qū)域、車機系統(tǒng)是否配置車內攝像頭、手機系統(tǒng)的操作系統(tǒng)版本等?；顒觽€人信息保護部門根據(jù)終端硬件的基本需求、所適用的法律規(guī)定等規(guī)范性文件、標準、行業(yè)最佳實踐、平臺規(guī)則等制定個人信息保護合規(guī)要求清單，并據(jù)此制定個人信息保護通用設計指南，如是否需要提供“雙清單”、座艙數(shù)據(jù)的處理原則、賬號注銷的設計方案等。輸出個人信息保護合規(guī)要求清單，個人信息保護通用設計指南和設計用例。設計階段輸入業(yè)務部門提供所涉產品軟件功能需求，用戶界面設計等，已經采取的安全措施，擬引入的第三方?；顒觽€人信息保護部門將根據(jù)個人信息保護合規(guī)要求清單以及業(yè)務部門提供的輸入進行個人信息保護影響評估。若評估后存在對用戶造成潛在風險，則應當與業(yè)務部門進行溝通、調整產品功能需求和用戶界面。輸出個人信息保護影響評估報告（初步，確認后的個人信息保護功能需求以及用戶界面。開發(fā)階段輸入經確認的個人信息保護功能需求以及用戶界面，通用個人信息保護功能的標準工具庫?；顒友邪l(fā)部門基于個人信息保護部門提供的個人信息保護通用指南和設計用例，提供標準工具庫，供開發(fā)各功能時的研發(fā)人員快速集成使用。研發(fā)部門同時針對該功能所確認的個人信息保護功能需求以及用戶界面進行代碼實現(xiàn)。在每個版本合入代碼時自動觸發(fā)相關的安全測試，如權限、敏感函數(shù)調用等。個人信息保護部門將結合開發(fā)階段產生的技術設計文檔、代碼、安全測試報告、數(shù)據(jù)庫表設計等，進一步完成個人信息保護影響評估，并完成數(shù)據(jù)處理活動記錄。輸出技術設計文檔及代碼版本，每個版本合入的測試報告，個人信息保護影響評估報告，數(shù)據(jù)處理活動。測試階段輸入經確認的個人信息保護功能需求以及用戶界面，技術設計文檔及代碼版本，個人信息保護影響評估報告，個人信息保護要求清單活動個人信息保護部門結合個人信息保護評估報告以及個人信息保護要求清單，輸出測試用例，明確前提、測試步驟、預期結果。測試部門根據(jù)個人信息保護測試用例，結合經確認的個人信息保護功能以及用戶界面、技術設計文檔及代碼版本，進行個人信息保護測試，確保符合預期，并逐步實現(xiàn)自動化測試用例，納入開發(fā)階段的自測工具中。輸出個人信息保護測試用例，個人信息保護測試報告。發(fā)布輸入個人信息保護測試報告，個人信息保護影響評估階段個人信息保護部門根據(jù)個人信息保護測試報告，確認是否已經按照個人信息保護影響評估完成了風險治理，是否有殘余風險，若無則活動正式簽發(fā)并歸檔個人信息保護影響評估報告。研發(fā)部門按照默認配置以及安全部署規(guī)則完成新產品或新功能的部署、上線，并與個人信息保護部門制定安全應急預案。輸出個人信息保護影響評估（歸檔版，個人信息安全應急預案，默認配置規(guī)則。來源：湖北星紀魅族集團有限公司隱私工程集成階段來源：湖北星紀魅族集團有限公司實踐案例|星紀魅族：隱私設計組件化合規(guī)設計指南與用例。（實踐案例|星紀魅族：隱私設計組件化合規(guī)設計指南與用例。（App）收集個人信息基本要a.應用首次運行時，通過彈窗形式主動展示個人信息保護政策、涉及的權限調用等核心內容；b個人信息保護政策文本鏈接有效且文本可以正常展示；c.個人信息保護政策不會造成閱讀困難；d個人信息保護政策單獨成文；e.4次的點擊可查看；f.不得默認勾選；g由用戶主動選擇同意或不同意（包括設置退出、上一步、關閉、取消的按鈕等方式）的選項；h不得采取誤導、欺詐、脅迫等方式影響用戶同意；i選擇同意與不同意的途徑和方式應該同樣方便；j個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，會重新取得用戶同意；k同意之前不得收集任何個人信息，也不得申請任何可收集個人信息的權限；l.應當提供便捷的撤回同意路徑。產品設計方案。提供標準的產品交互設計指南，包括應用首次打開的彈窗樣式與隱私設置。統(tǒng)一設計彈窗樣式、文案內容（包括必要權限和可選權限、選項名稱和顏色、字號，作為標準的產品設計方案，提供給產品和設計部門參考使用。隱私政策文本明確要求字號、行距、邊距、加粗格式，保障用戶可以清楚閱讀和理解個人信息保護政策內容。在產品設計方案中規(guī)定隱私設置、隱私政策、個人信息收集清單、第三方信息共享清單的入口名稱、訪問路徑等。研發(fā)標準化工具。研發(fā)部門設計開發(fā)統(tǒng)一的工具包（SDKAPI兩種接入方式，可以提供標準彈窗樣式、隱私設置的界面、讀取隱私政策的最新內容、隱私政策更新時重新同意的彈窗。同時，為了統(tǒng)一管理隱私政策版本，公司內部使用了隱私政策編輯和發(fā)布平臺，確保隱私政策與數(shù)據(jù)處理活動保持一致。實踐案例|AmberGroup：隱私工程的集成與實施要點隱私通知與交互界面開發(fā)。AmberGroup在隱私通知與交互界面分層設計層面會與產品經理進行深入的溝通，在業(yè)務便利性和隱私保護中間取得良好的平衡，以滿足PbD的“正和非零和”原則。一個隱私通知的有效傳達，可以采取隱私通知組合來達到用戶界面的最優(yōu)解。具體包括從靜態(tài)隱私通知文本、增強告知、即時提示、單獨同意、隱私圖標和符號，以及隱私政策更新的通知。產品、數(shù)據(jù)庫開發(fā)與隱私管理平臺配置。在產品與數(shù)據(jù)庫開發(fā)過程中，主要是配合開發(fā)人員和DBA進行實際開發(fā)實施。隱私技術團隊主要完成以下工作：、App和小程序的同意記錄收集技術，可以選擇Javascript、SDKAPI進行同意記錄的推送，做到同意記錄的有效留存。SDKSDK集成，App彈窗和隱私偏好中心的界面、文本、顏色、Logo，并配置好地理位置規(guī)則、GDPR、等SDK后，交由開發(fā)人員App中。數(shù)據(jù)主體權利響應實施集成。數(shù)據(jù)主體權利響應需要在隱私管理平臺上進行地理位置規(guī)則配置、數(shù)據(jù)主體身份認證配置、響應流程指引話術、企業(yè)內部響應工作流等相關配置。最終呈現(xiàn)的數(shù)據(jù)主體權利響應頁面交由開發(fā)人員集成到產品首頁的底部，并以超鏈接的方式嵌入隱私政策的“聯(lián)系方式”章節(jié)。數(shù)據(jù)表設計。通過建立用戶中心數(shù)據(jù)表，作為用戶數(shù)據(jù)的集中數(shù)據(jù)庫，通過唯一標識符作為多個數(shù)據(jù)庫表之間的外鍵，用于連接其他應用系統(tǒng)和模塊，降低敏感個人數(shù)據(jù)分散存儲在多個數(shù)據(jù)庫表中的風險，也降低隱私數(shù)據(jù)管理難度。個人數(shù)據(jù)時間戳標記。根據(jù)數(shù)據(jù)分類分級情況，金融交易類數(shù)據(jù)一般會采用UID+交易數(shù)據(jù)的方式存儲，有較為獨立的庫表結構，可以方便數(shù)據(jù)歸類進行處置。時間戳方面，應從該條交易數(shù)據(jù)產生時就打上時間戳標記，定期對數(shù)據(jù)庫表的時間戳進行輪詢，產生數(shù)據(jù)刪除或匿名化的任務待后續(xù)處理。數(shù)據(jù)庫字段加密。識別需要實施數(shù)據(jù)庫字段加密的個人數(shù)據(jù)字段，并采用云SDKKMS完成數(shù)據(jù)字段加密工作。數(shù)據(jù)展示脫敏。根據(jù)企業(yè)脫敏標準完成產品前端的敏感個人數(shù)據(jù)展示脫敏，以及后端日志數(shù)據(jù)的脫敏。隱私工程驗證階段隱私工程驗證階段，主要是對設計和開發(fā)的具體實現(xiàn)和符合性進行驗證，檢查隱私需求是否得到滿足。主要工作包括WebCookies掃描、App與SDK數(shù)據(jù)收集和權限掃描、隱私功能用戶驗收測試。隱私工程的驗證通常由不同的團隊執(zhí)行。軟件測試團隊負責功能測試，對隱私界面、隱私功能是否與需求和設計文檔保持一致進行驗證。提出需求的隱私團隊則需要確保系統(tǒng)的隱私功能與后端的隱私管理平臺或通用組件之間集成的正確性，包括后端平臺是否能夠正確收到用戶同意記錄、數(shù)據(jù)主體權利請求流程是否通暢、隱私政策文本正確性、隱私政策鏈接跳轉是否有效、WebCookies是否與政策保持一致等等。此外還可以引入外部第三方隱私合規(guī)檢測機構，通過模擬用戶遍歷產品功能、代碼審查、動態(tài)監(jiān)測、隱私政策內容提取分析等手段，從產品交互界面隱私設計，產品自身及第三方SDK獲取用戶數(shù)據(jù)的時間節(jié)點、頻次、具體種類，獲取系統(tǒng)權限的時間節(jié)點、頻次，隱私政策披露用戶數(shù)據(jù)收集和使用的真實、準確、完整性等多個維度對產品用戶數(shù)據(jù)處理和隱私設計狀況進行全面掃描，并在此基礎上驗證其是否符合合規(guī)基線。隱私工程運營階段隱私工程的運營階段，主要是持續(xù)進行規(guī)范跟蹤、過程管理、風險管控，對隱私工程措施和流程實現(xiàn)維護和優(yōu)化。規(guī)范跟蹤。跟蹤隱私相關的法律法規(guī)、行業(yè)標準和最佳實踐，確保組織的隱私措施符合最新的合規(guī)要求。定期評估和更新隱私政策、用戶協(xié)議和其他隱私相關的文件，以及企業(yè)已經制定的隱私保護要求和業(yè)務流程，以確保其與最新的法律要求和企業(yè)隱私策略一致。過程管理。各部門相關人員需要在企業(yè)隱私管理制度、業(yè)務流程以及隱私工程框架下的指導下完成各角色的工作任務，因此需要確保規(guī)范中要求的動作得以恰當履行，臺賬、審計以及檢查等工作實踐案例|i-ABC實踐案例|i-ABC隱私工程體系：隱私風險監(jiān)測域隱私風險監(jiān)測域（如圖12）對涉及個人信息處理的業(yè)務活動持續(xù)開展隱私風險識別、評估、處置等治理活動，通過隱私監(jiān)測規(guī)則的集中管理和布控，實現(xiàn)隱私風險的監(jiān)測、識別和評估處置的全鏈路管控，支撐業(yè)務部門方便快捷地布控隱私監(jiān)測規(guī)則，并對規(guī)則篩選出的對象進行集中治理。企業(yè)可基于業(yè)務隱私風險的垂直領域分析，抽象出企業(yè)重點關注的垂直風險領域，SDK、小程序開放生態(tài)、算法及個性化推薦、生物識別等等。每一個風險域，都對應特定的風險監(jiān)測對象，基于風險監(jiān)測對象和風險分類，從底層平臺提供相應的隱私風險的監(jiān)測能力。來源：螞蟻科技集團股份有限公司來源：螞蟻科技集團股份有限公司圖12隱私風險監(jiān)測域架構(二)隱私工程體系建設架構參考目前，我國部分企業(yè)已結合隱私工程的理論方法和自身實踐，探索出了各具特色、各有側重的隱私工程體系架構。本節(jié)分享了螞蟻、阿里、OPPO、AmberGroup四家企業(yè)的隱私工程體系架構全景圖，以便更加直觀地展示隱私工程體系架構和運行原理。企業(yè)可充分結合隱私工程的理論體系和實踐案例探索建立適合自己的隱私工程體系。i-ABC隱私工程體系“i-ABC”是基于滿足監(jiān)管要求、提升用戶隱私安全感、助力業(yè)務持續(xù)發(fā)展等訴求提出的隱私工程數(shù)字化的管理體系，將融合了法規(guī)影響、監(jiān)管影響、用戶影響的隱私專家經驗直接投射于產品設計、代碼研發(fā)、應用部署、數(shù)據(jù)鏈路調用、信息存儲、算法推薦，在系統(tǒng)層面構建隱私影響評估、風險監(jiān)測識別、風險快速處置、隱私管控策略動態(tài)調整的體系化能力，和結合行業(yè)態(tài)勢發(fā)展、新技術應用的快速洞察分析能力。來源：螞蟻科技集團股份有限公司圖13技術驅動的i-ABC隱私工程體系13所示為技術驅動的i-ABC4”指隱私水位洞察（riayevelIngt、“”指隱私影響評估（PrivacyImpactAssessment、“B指個人信息處理數(shù)字化記錄（eroalInfratinok、“”是指隱私風險監(jiān)測（riacyskoro。隱私水位洞察的核心是隱私合規(guī)基線的數(shù)字化，通過對于內外部的數(shù)據(jù)和信息進行分析，制定相關業(yè)務或產品的隱私合規(guī)基線，在此基礎上對實際管控水位和管控效果進行跟蹤和分析。隱私合規(guī)基線的設置可綜合考量風險維度、業(yè)務表現(xiàn)、用戶感受、行業(yè)水位四個維度。設置合適的隱私合規(guī)基線應當做到對監(jiān)管立法執(zhí)法、行業(yè)動態(tài)進行及時感知和分析，通過用戶分析、投訴等信息構建用戶隱私感模型，以及對企業(yè)內各業(yè)務風險域的隱私水位進行標準量化隱私影響評估包括事前評估和實際鏈路管控，將傳統(tǒng)意義上的專家隱私風險評估與生產系統(tǒng)的實際落地結合起來，保證評估的內容能夠切實地落地和執(zhí)行。其中，事前評估旨在針對某一種數(shù)據(jù)處理活動的需要，結合業(yè)務場景、業(yè)務性質、獲取范圍和處理目的，就數(shù)據(jù)處理活動對自然人的權利和自由產生風險的可能性進行事前的準入評估。實際鏈路管控是指企業(yè)在依據(jù)隱私合規(guī)基線進行隱私影響評估后，形成系統(tǒng)鏈路可執(zhí)行的策略，理清相關數(shù)據(jù)處理活動涉及的所有業(yè)務場景和生產鏈路，明確具體的管控卡點，即策略可個人信息處理活動記錄包括個人信息檔案（業(yè)務事實）和個人信息保護措施檔案（隱私管控記錄。個人信息檔案將應用系統(tǒng)、數(shù)據(jù)鏈路中等各處涉及個人信息授權、使用、共享的相關的記錄進行索引聚合，通過業(yè)務視圖的轉義，還原為業(yè)務事實檔案。個人信息PIA風險發(fā)現(xiàn)處置記錄等。個人信息處理活動記錄的核心職責是在個人信息去標識化的基礎上，將個人信息在企業(yè)全業(yè)務流程中的流動、評估、管控記錄完整還原，形成個人信息賬本，做到個人信息使用“有依據(jù)、有記錄、可追溯”，以滿足監(jiān)管檢查和訴訟應對的自證、隱私風險監(jiān)測是指對個人信息風險進行全面的預警和治理，做到“早發(fā)現(xiàn)、早治理”。其核心邏輯是通過對比業(yè)務事實行為與結構化后的合法依據(jù)發(fā)現(xiàn)隱私風險。隱私風險監(jiān)測包括建立外部情報與隱私風險排查聯(lián)動的響應和處置機制，根據(jù)業(yè)務和行業(yè)水位的變化快速部署隱私風險監(jiān)測規(guī)則，主動進行風險巡檢并對隱私工作提供后督能力支撐。阿里：隱私保護與業(yè)務效益正和的隱私工程框架隱私和數(shù)據(jù)保護需求應該從用戶數(shù)據(jù)被采集開始就嵌入到系統(tǒng)和業(yè)務設計中，并擴展至個人信息處理活動的全生命周期。為提供數(shù)據(jù)采集、生產、存儲、傳輸、使用、共享、刪除全程的個人隱私保護，阿里設計了隱私保護與業(yè)務效益正和的隱私工程框架。來源：阿里巴巴（中國）有限公司圖14阿里巴巴隱私工程框架14所示，為保護個人隱私權益、符合監(jiān)管要求，企業(yè)需要同時采用管理手段和技術手段。阿里基于法律法規(guī)、制度流程指導隱私設計，同時使用技術和工程能力將隱私合規(guī)保護原則和策略進行具象化的系統(tǒng)實現(xiàn)。在進行隱私合規(guī)管理時，首先要對法律法規(guī)和監(jiān)管政策進行研究解讀，并結合企業(yè)實際需要，制定符合業(yè)務的企業(yè)制度規(guī)范和貼合業(yè)務場景的合規(guī)原則。其次，通過組織建設將相關隱私合規(guī)權責分配到特定團隊和個人，并設計相應到的流程和場景合規(guī)方案，將制度規(guī)范原則具象化。在建立好相應制度、規(guī)范、流程、工具能力后，進行教育宣導和員工培訓，建設企業(yè)隱私文化。在隱私合規(guī)具象化的過程中，需要通過技術和工程能力將合規(guī)流程和方案進行系統(tǒng)化。阿里通過研究開發(fā)數(shù)據(jù)分類分級識別、數(shù)據(jù)血緣追蹤、流通規(guī)則引擎、可信數(shù)據(jù)空間等數(shù)據(jù)合規(guī)審控工具，以及差分隱私、聯(lián)合分析、安全多方計算等隱私計算技術，實現(xiàn)了14中個人信息處理活動各環(huán)節(jié)的合規(guī)管控策略，以支持個人隱私以上隱私合規(guī)工程框架的落地，在保障個人信息權益、履行企業(yè)責任義務的同時，還實現(xiàn)了風險精細化管控，降低了隱私合規(guī)成本，如隱私合規(guī)專家進行隱私影響評估和場景合規(guī)評估的人力和時間成本、不合適的隱私合規(guī)策略或解決方案導致的數(shù)據(jù)可用性損耗等。以內部數(shù)據(jù)流通場景為例，阿里設計并實現(xiàn)了基于數(shù)據(jù)識別及分類分級、合規(guī)規(guī)則引擎、風險審計和平臺合作協(xié)議的數(shù)據(jù)流通風險管控系統(tǒng)（如圖5，對企業(yè)內部流通個人信息時的隱私風險進來源：阿里巴巴（中國）有限公司圖15數(shù)據(jù)流通隱私合規(guī)風險精細化管控系統(tǒng)數(shù)據(jù)識別系統(tǒng)可以自動化識別個人信息并對其進行分類分級，以便在內部數(shù)據(jù)流通過程中高效識別刻畫個人信息，并基于其敏感等級進行分層保護?；诰S度屬性設計的數(shù)據(jù)分類及分類對應的數(shù)據(jù)風險等級，不僅能對敏感個人信息進行單獨分類和標記，還做到了貼合實際業(yè)務場景。此外，阿里還設計了數(shù)據(jù)升降級模型，解析數(shù)據(jù)處理邏輯及數(shù)據(jù)血緣，對個人信息的等級進行動態(tài)識別校準。數(shù)據(jù)分類分級識別的結果將作為數(shù)據(jù)內容的屬性輸入到合規(guī)規(guī)則引擎中。合規(guī)規(guī)則引擎對企業(yè)內部的數(shù)據(jù)流通行為或場景進行結構化的描述，而隱私合規(guī)專家可以基于結構化語言描述數(shù)據(jù)流通過程中的合規(guī)規(guī)則，定義數(shù)據(jù)合規(guī)流通策略及支持其流通的合規(guī)依據(jù)。當數(shù)據(jù)在企業(yè)內部流轉時，阿里將調用合規(guī)規(guī)則引擎中預先定義的合規(guī)規(guī)則，對預置的有合規(guī)依據(jù)且隱私安全風險可控的個人信息內部流通行為自動放行，對無合規(guī)依據(jù)、有隱私合規(guī)風險的個人信息共享行為進行自動阻斷，從而減少需要隱私合規(guī)專家人工介入評估的工作量，以提高流通效率。當合規(guī)規(guī)則引擎反饋需要人工介入評估或管理風險時，隱私合規(guī)專家將介入進行隱私影響評估，并設計相應的合規(guī)解決方案，如簽署相應的協(xié)議以作為本次數(shù)據(jù)流通或共享的合規(guī)依據(jù)，或設計相應的數(shù)據(jù)共享技術方案或隱私合規(guī)管控策略保障個人信息權益。此外，隱私合規(guī)專家還可以通過合規(guī)審計看板進行隱私合規(guī)風險排查和追溯，合規(guī)審計看板還將作為企業(yè)履行個人信息權益保障義務的自證工具。通過數(shù)據(jù)識別及合規(guī)規(guī)則的預定義，以上方案提供了系統(tǒng)化的隱私影響評估能力，減少了大量的人工評估工作量。同時，還可以讓隱私合規(guī)專家對高風險的個人隱私數(shù)據(jù)共享行為進行針對性識別和管控，以快速發(fā)現(xiàn)數(shù)據(jù)流通中的隱私合規(guī)風險，保障個人信息權益。OPPO：將隱私設計要求落實到產品全生命周期中OPPO作為手機廠商及互聯(lián)網(wǎng)應用平臺方，結合自身業(yè)務特點逐步建立了一套隱私工程的實踐（如圖6。在體系建設過程中，OPPO關注消費者、業(yè)務部門、三方合作方、監(jiān)管部門等幾個關聯(lián)方的安全隱私需求。通過行業(yè)洞察與消費者調研掌握行業(yè)動態(tài)及消費者需求，通過培訓與宣傳提升人員的安全能力與意識，通過產品安全隱私特性打造來提升產品的安全隱私體驗，提升產品的安全隱私競爭力。最后，OPPO還建立了檢測與評價機制，對安全體系進行及時評測，發(fā)現(xiàn)問題及時糾正和改進，最終建立一套自證合規(guī)的體系。16OPPO

來源：OPPO在組織建設方面，OPPO建立安全隱私“三道防線”，協(xié)同推進安全隱私工作落地。第一道防線，由業(yè)務部門安全與隱私合規(guī)代表或安全系統(tǒng)工程師構成，主要向業(yè)務負責人及安全與合規(guī)委員會匯報，負責產品安全隱私策略的具體落地應用、自查自糾等。第二道防線，由專職的安全隱私部門構成，主要向安全與合規(guī)委員會匯報，負責安全隱私能力的建設與支持、推動產品安全隱私策略的落地。第三道防線，由審計部門擔任，主要向安全與合規(guī)委員會匯報，負責產品安全隱私策略落地的審計，發(fā)現(xiàn)風險，推動業(yè)務整改。OPPO同時建立清晰的問責機制，督促各級部門履行自己的職責，在發(fā)生違規(guī)情形時，將由公司進行對應的問責處置。在流程制度方面，OPPO堅持將隱私保護落實到產品需求、設計、開發(fā)、運營的整個生命周期中，實踐PbD要求。在產品需求設計階段，所有新增或變更個人信息處理活動都需要完成安全與隱私合規(guī)評審。只有通過安全與隱私合規(guī)評審的需求設計方案才能進入開發(fā)流程。在產品開發(fā)過程中，開發(fā)人員應遵循企業(yè)內部的開發(fā)編碼規(guī)范和安全算法使用規(guī)范。在產品上線之前，涉及個人信息處理的產品需額外通過專項合規(guī)測試和復核，確保產品實現(xiàn)滿足最新的個人信息保護合規(guī)要求。在整個過程中，安全隱私專業(yè)團隊負責把控關鍵節(jié)點，并持續(xù)推動合規(guī)標準更新和落實。為了確保公司從管理層到普通員工均熟知OPPO對用戶數(shù)據(jù)保護的承諾及具體要求，OPPO定期組織全公司范圍的課程學習、測驗，由安全隱私專業(yè)團隊進行專業(yè)培訓，并將測試通過情況納入考核指標。在技術工具方面，OPPO創(chuàng)建了可靠、可信、智能化的數(shù)據(jù)安全防御體系，運用AI、大數(shù)據(jù)等新技術，實現(xiàn)智能化云安全防護能力，并將安全與隱私活動貫穿產品全生命周期。同時，OPPO在安全隱私檢測技術上取得了一系列突破，通過安全與隱私合規(guī)檢測推動