數(shù)據(jù)合規(guī)管理探索與實踐

蔣圣姍產(chǎn)品負(fù)責(zé)人(數(shù)據(jù)合規(guī)專家)●曾在大型跨國集團負(fù)責(zé)終端全球營銷服隱私保護和合規(guī)運營工作，先后負(fù)責(zé)/參與個保法落地實施、歐洲區(qū)域Cookies整改、汽車營銷數(shù)據(jù)合規(guī)、數(shù)據(jù)跨境治理、數(shù)據(jù)合規(guī)管理平臺建設(shè)、全球合規(guī)運營管理、零售領(lǐng)域數(shù)據(jù)合規(guī)、線上商城運營合規(guī)等項目。目目錄企業(yè)數(shù)據(jù)合規(guī)管理的本質(zhì)數(shù)據(jù)合規(guī)管理體系大數(shù)據(jù)應(yīng)用帶來的合規(guī)挑戰(zhàn)企業(yè)數(shù)據(jù)合規(guī)管理的本質(zhì)1企業(yè)為什么要做數(shù)據(jù)合規(guī)管理?企業(yè)為什么要做數(shù)據(jù)合規(guī)管理?立法執(zhí)法趨嚴(yán)，社會各界的關(guān)切越來越多信息安全管理和數(shù)據(jù)充分利用的需要√數(shù)據(jù)合規(guī)的目的不是限制數(shù)據(jù)的使用，而是引導(dǎo)數(shù)據(jù)合法合規(guī)地實現(xiàn)價值挖掘和變現(xiàn)，使數(shù)字化轉(zhuǎn)型落到實處?！倘绾问箶?shù)據(jù)資產(chǎn)價值實現(xiàn)和數(shù)據(jù)合規(guī)達(dá)到一種動態(tài)的可持續(xù)性的平衡狀態(tài)?超過90%國家/地區(qū)已完成數(shù)據(jù)合規(guī)立法數(shù)據(jù)合規(guī)領(lǐng)域法律環(huán)境分析3月30日：國務(wù)院將數(shù)據(jù)作為關(guān)鍵生成要素。7月3日：《數(shù)據(jù)安全法》征求意3月30日：國務(wù)院將數(shù)據(jù)作為關(guān)鍵生成要素。7月3日：《數(shù)據(jù)安全法》征求意見(第一次)7月24日：工信部開展縱深推進APP侵害用戶權(quán)益專項整治行動(164號)10月21日：《個人信息保護法》征求意見(第一次)7月7日：《數(shù)據(jù)出境安全評估辦法》發(fā)布8月31日：《數(shù)據(jù)出境安全評估申報指南》發(fā)布第二屆互聯(lián)網(wǎng)大會：習(xí)近平在第二屆世界互聯(lián)網(wǎng)大會開幕式上提第二屆互聯(lián)網(wǎng)大會：習(xí)近平在第二屆世界互聯(lián)網(wǎng)大會開幕式上提出推進互聯(lián)網(wǎng)全球治理體系變革的四項基本原則，“網(wǎng)絡(luò)主權(quán)”被放在首位6月1日：《網(wǎng)絡(luò)安全法》生效9月12日：征求《網(wǎng)絡(luò)安全法》修6月1日：《網(wǎng)絡(luò)安全法》生效201420162015201710月31日：工信部開展APP侵害10月31日：工信部開展APP侵害用戶權(quán)益專項整治工作(337號)11月7日：《網(wǎng)絡(luò)安全法》發(fā)布首屆互聯(lián)網(wǎng)大會：中國國家主席習(xí)近平在致首屆世界互聯(lián)網(wǎng)大會的賀詞中首次提及網(wǎng)絡(luò)主權(quán)4月29日：《數(shù)據(jù)安全法》征求意見(第二次)6月10日：《個人信息保護法》發(fā)布8月20日：《個人信息保護法》發(fā)布9月1日：《數(shù)據(jù)安全法》生效11月1日：《個人信息保護法》生效12月31日：《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》發(fā)布“數(shù)據(jù)二十條”:數(shù)據(jù)安全合規(guī)是基礎(chǔ)底線完善數(shù)據(jù)全流程合規(guī)與監(jiān)管規(guī)則體系。完善數(shù)據(jù)全流程合規(guī)與監(jiān)管規(guī)則體系。構(gòu)建數(shù)據(jù)安全合規(guī)有序跨境流通機制。確權(quán)授權(quán)機制。企業(yè)如何做好數(shù)據(jù)合規(guī)?風(fēng)險閉環(huán)方案評審風(fēng)險處置風(fēng)險場景立法執(zhí)法立法執(zhí)法向圖地緣政治業(yè)務(wù)場景動態(tài)風(fēng)險管理：基于風(fēng)險進行資源的合理調(diào)配動態(tài)風(fēng)險管理：基于風(fēng)險進行資源的合理調(diào)配合規(guī)指南：參照ISO標(biāo)準(zhǔn)體系不斷保障數(shù)據(jù)合規(guī)背景目的影響ISO/IEC27701在信息安全管理體系的基礎(chǔ)上擴展至整個隱私安全管理體系，首次提出PIMS。增強各組織保護隱私信息的力度對于各國構(gòu)建完善的隱私保護體系提供思路。減輕企業(yè)合規(guī)負(fù)擔(dān)。歐盟通用數(shù)據(jù)保護法D數(shù)據(jù)保護信息安全管理體系規(guī)范AA額外要求BB27002額外要求信息安全控制實用規(guī)則EC隱私保護框架云隱私保護云隱私保護ISO個人身份信息29151保護實踐指南供風(fēng)險處置具體的控制目標(biāo)和措施。ISO27002在隱私方面的擴展。ISO29151與ISO27701互為補充。D.ISO27001幫助企業(yè)建立ISMS,從數(shù)據(jù)安全方面滿足GDPRE.ISO27701更全面地覆蓋了GDPR的要求，與GDPR進行了條數(shù)據(jù)合規(guī)管理體系數(shù)據(jù)合規(guī)管理體系是企業(yè)管理體系的一部分并集成在其中，該體系要滿足外部監(jiān)管要求和企業(yè)的管理訴求!數(shù)據(jù)合規(guī)管理體系要與業(yè)務(wù)管理體系融合體系風(fēng)險管理合規(guī)管理戰(zhàn)略組織流程IT圍繞風(fēng)險管理的數(shù)據(jù)合規(guī)管理體系框架數(shù)據(jù)合規(guī)風(fēng)險管理組織&運作組織&運作考核&問責(zé)政策&流程基調(diào)&政策持續(xù)改進持續(xù)改進檢查&審計舉報&調(diào)查咨詢&求助宣傳&培訓(xùn)宣傳平臺&支撐平臺&支撐戰(zhàn)略流程IT戰(zhàn)略第三十四條除本法第二十一條的規(guī)定外，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者還應(yīng)當(dāng)履行下列安全保護義務(wù)：(一)設(shè)置專門安全管理機構(gòu)和安全管理負(fù)責(zé)人，并對該負(fù)責(zé)人和關(guān)鍵崗位的人員進行安全背景審查；——《網(wǎng)絡(luò)安全法》第五十二條處理個人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者應(yīng)當(dāng)指定個人信息保護負(fù)責(zé)人，負(fù)責(zé)對個人信息處理活動以及采取的保護措施等進行監(jiān)督。第五十三條本法第三條第二款規(guī)定的中華人民共和國境外的個人信息處理者，應(yīng)當(dāng)在中華人民共和國境內(nèi)設(shè)立專門機構(gòu)或者指定代表，負(fù)責(zé)處理個人信息保護相關(guān)事務(wù)，并將有關(guān)機構(gòu)的名稱或者代表的姓名、聯(lián)系方式等報送履行個人信息保護職責(zé)的部門。——《個人信息保護法》第二十七條開展數(shù)據(jù)處理活動應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定，建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動，應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，履行上述數(shù)據(jù)安全保護義務(wù)。重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機構(gòu)，落實數(shù)據(jù)安全保護責(zé)任。——《數(shù)據(jù)安全法》數(shù)據(jù)合規(guī)責(zé)任體系數(shù)據(jù)合規(guī)管理部業(yè)務(wù)主管數(shù)據(jù)合規(guī)BP(XX數(shù)據(jù)合規(guī)管理部業(yè)務(wù)主管數(shù)據(jù)合規(guī)BP(XX數(shù)據(jù)合規(guī)管理部)體系法律技術(shù)業(yè)務(wù)戰(zhàn)略組織流程流程法律法規(guī)要求轉(zhuǎn)化為合規(guī)管理政策融入到業(yè)務(wù)流程●數(shù)據(jù)合規(guī)風(fēng)險可能造成全局性影響，需制定統(tǒng)一的政策、風(fēng)險管控標(biāo)準(zhǔn)?！駭?shù)據(jù)合規(guī)風(fēng)險與業(yè)務(wù)緊密結(jié)合，相關(guān)要求須在業(yè)務(wù)業(yè)務(wù)流程業(yè)務(wù)流程營銷流程銷售流程交付流程服務(wù)流程研發(fā)流程采購流程戰(zhàn)略組織序號類別1政策個人信息保護政策2數(shù)據(jù)安全事件問責(zé)管理規(guī)定3業(yè)務(wù)合規(guī)評審管理規(guī)定45PIA操作指導(dǎo)6數(shù)據(jù)主體請求(DSR)處理流程7數(shù)據(jù)合規(guī)事件處理流程8數(shù)據(jù)分類分級操作指導(dǎo)9戰(zhàn)略組織流程IT業(yè)務(wù)合規(guī)評審管理規(guī)定：明確數(shù)據(jù)合規(guī)的核心控制點在業(yè)務(wù)管理過程中明確數(shù)據(jù)合規(guī)評審點●新增或變更業(yè)務(wù)流程/管理制度(新業(yè)務(wù)產(chǎn)品/IT方案上線)●數(shù)據(jù)轉(zhuǎn)移和披露場景發(fā)生變化(合作協(xié)議等變化審視)●分層分級開展數(shù)據(jù)合規(guī)方案評審●成熟場景(由數(shù)據(jù)合規(guī)管理部按照清單進行管理)由數(shù)據(jù)合規(guī)BP評審?！裥庐a(chǎn)品、新場景由數(shù)據(jù)合規(guī)評審團隊評審●數(shù)據(jù)合規(guī)BP無法判斷的場景，升級至數(shù)據(jù)合規(guī)評審團隊.流程流程數(shù)據(jù)合規(guī)要求落地研發(fā)流程錄入格改黑求業(yè)第力軍實業(yè)第力軍實不通過結(jié)束i不通過結(jié)束通過數(shù)據(jù)合理數(shù)據(jù)合理不洲過不洲過通過數(shù)證合規(guī)評審評中—道過—淋秘文化腦評審評中—道過—淋秘文化腦不通過法律+科技，建設(shè)數(shù)據(jù)合規(guī)智能管理平臺流程●數(shù)據(jù)合規(guī)要求嵌入業(yè)務(wù)系統(tǒng)，從源頭規(guī)避合規(guī)風(fēng)險。●數(shù)據(jù)合規(guī)文檔模板提數(shù)據(jù)合規(guī)智能管理平臺升業(yè)務(wù)工作質(zhì)量和效率。●●自動檢測、智能預(yù)警數(shù)據(jù)合規(guī)風(fēng)險。●數(shù)字化運營，支撐多維度管理訴求。協(xié)議管理數(shù)據(jù)合規(guī)門戶數(shù)據(jù)主體請求數(shù)據(jù)合規(guī)風(fēng)險評估文檔管理數(shù)據(jù)流向圖數(shù)據(jù)合規(guī)智能檢測合規(guī)知識庫·大數(shù)據(jù)應(yīng)用帶來的合規(guī)挑戰(zhàn)3最小必要23最小必要2公開透明4準(zhǔn)確性4準(zhǔn)確性可歸責(zé)大數(shù)據(jù)應(yīng)用場景分析特點●特點●數(shù)據(jù)量大(Volume)應(yīng)用范圍廣●個人定制服務(wù)(航空公司、金融機構(gòu))●個性化廣告/商品推薦(互聯(lián)網(wǎng)、電商)●商品陳列展示優(yōu)化(零售行業(yè))●導(dǎo)航線路規(guī)劃●疾病預(yù)防、病源追蹤●安全預(yù)警疑息息濫用數(shù)據(jù)來源范圍廣，個人信息處理的透明性易被質(zhì)疑案例簡介：2020.06,法國行政法最高法院已駁回谷歌去年因未向其用戶說明如何處理個人信息而必須支付5700萬美元罰款的申訴。谷歌并未向安卓用戶提供“足夠清晰”的信息提醒，這就意味著，谷歌沒有獲得將用戶數(shù)據(jù)用于目標(biāo)廣告的合法性同意。實踐建議：1.數(shù)據(jù)采集或數(shù)據(jù)引入前進行合規(guī)評審，評審結(jié)果歸檔到系統(tǒng)。2.數(shù)據(jù)使用前審視是否超歷史評審范圍，超范圍要增加告知用戶，提供用戶拒絕的途徑。3.披露數(shù)據(jù)給其他主體時，合同約定相關(guān)的數(shù)據(jù)處理場景并告知用戶。大數(shù)據(jù)的威力——部委出行規(guī)律國土資源部：加班“最狠”3國土資源?&公安部：24小時無休Xb3123(時)公安部大數(shù)據(jù)價值挖掘過程中，易導(dǎo)致超目的處理個人信息案例簡介：2022.02人臉識別初創(chuàng)公司ClearviewAl在軟件中收集圖像加工并應(yīng)用于人臉識別系統(tǒng)，提供給執(zhí)法當(dāng)局用以識別罪犯或受害者，并還為此建立了以人的物理特性(主要是人臉)的模版，意大利的數(shù)據(jù)保護機構(gòu)因違反目的限制原則等行為對ClearviewAl處以2000萬歐元罰款。實踐建議：1.數(shù)據(jù)匯聚分析處理時，需要確保在合理的目的范圍內(nèi)。2.數(shù)據(jù)使用和數(shù)據(jù)分享涉及個人信息均需要經(jīng)過法務(wù)或數(shù)據(jù)合規(guī)部門評估。不同類型的數(shù)據(jù)留存標(biāo)準(zhǔn)不一，導(dǎo)致個人信息超期留存2019年5月，出租車公司“Taxa4X35”在合法保留客戶的姓名和地址兩年后將其予以刪除，但隨后在長達(dá)三年的時間里違法保留了900多萬名客戶的電話號碼。對此，Taxa認(rèn)為，客戶的電話號碼是該企業(yè)IT數(shù)據(jù)庫的重要組成部分，因此不能在同一時間段內(nèi)刪除。丹麥數(shù)據(jù)保護機構(gòu)因違反數(shù)據(jù)最小化對Taxa處以約16萬歐元的罰金。實踐建議：1.同一目的下相同數(shù)據(jù)對象中個人信息刪除機制應(yīng)該保持一致。2.數(shù)據(jù)保存期限根據(jù)業(yè)務(wù)必要性和法律要求確定。信息泄露，引發(fā)個人信息濫用2018年9