千呼万唤始出来,犹抱琵琶半遮面
2016年6月,通用数据保护条(GDPR)正式发布,其长臂管辖权对全球企业在隐私合规领域产生了深远的影响,在GDPR 5周年之际,截止2023年3月1日,GDPR累计罚款27.7亿欧元(Numbers and Figures | GDPR Enforcement Tracker Report 2022/2023 (cms.law))。
2018年6月,美国加州立法机构颁布了CCPA,但颁布之后引发了很多争议,立法机构进行了多次修订,对多种场景进行了豁免。2年之后的2020年11月3日,加州选民绕过了立法机构投票通过了第24号提案,也就是《2020年加州隐私权法》(CPRA),对CCPA做了很多实质性的修订,并创建了一个独立的数据监管机构——加利福尼亚隐私保护局,有效地阻止了加州政府通过未来立法破坏这些变化。
2003年5月,日本通过个人信息保护法(APPI),并于2005年4月全面实施,是亚洲最早制订隐私合规立法的国家,立法者考虑到信息通信技术日新月异的发展,承诺每隔三年对该法进行一次修改,最新一次的大修订(2020年修订案将于2022年4月1日生效),增强了用户权利、加重了数据处理者的义务、扩大域外适用范围、加重了惩罚措施等条款。
截止2021年12月,全球已有137个国家对数据和隐私的保护进行了立法,数据处理活动需严格遵守相关国家的合规要求(Data Protection and Privacy Legislation Worldwide | UNCTAD)。
2021年11月1日,《中华人民共和国个人信息保护法》正式实施,拉开了中国的隐私合规的序幕,也为全球数字治理贡献的中国方案,配套的执行标准也在陆续出台,各行业也在出台行业性的相关标准,包括金融、汽车、医疗、智能终端、政务等(下面仅做部分举例):
2020年10月1日起实施 GB/T 35273《信息安全技术 个人信息安全规范》
2020年2月13日起实施 JR/T 0171《个人金融信息保护技术规范》
2021年6月1日起实施 GB/T 39335《信息安全技术 个人信息安全影响评估指南》
2021年7月1日起实施 GB/T 39725《信息安全技术 健康医疗数据安全指南》
2022年9月1日起实施 《数据出境安全评估办法》
2023年5月1日起实施 YD/T 41871《信息安全技术 汽车数据处理安全要求》
2023年10月1日起实施 GB/T 42460《信息安全技术 个人信息去标识化效果评估指南》
2023年12月1日实施 GB/T 42574《信息安全技术 个人信息处理中告知和同意的实施指南》
...
但毕竟《中华人民共和国个人信息保护法》正式实施还不到2年,还有很多领域及行业的执行标准还有待细化,相关处罚也还比较少,犹抱琵琶半遮面,还有待时间去揭开他的全部面纱。本文并不从法律视角去解读各个场景的隐私合规要求,而是尝试用技术视角去看隐私合规的数据脉络。
轻拢慢捻抹复挑,初为霓裳后六幺
《中华人民共和国个人信息保护法》在框架层面几乎与国际个人信息保护通用原则全面接轨,差异点主要在每项义务的数据定义、场景认定、合规流程事项及罚则上,从大块来拆分数据处理者主要履行的义务有个人信息影响安全评估,处理活动记录,告知与同意,主体权利响应,个人信息保护,数据留存管理,第三方管理,数据泄漏响应等方面。
个人信息影响安全评估,个保法第55条,GDPR Article 35
处理活动记录,个保法第55条,GDPR Article 30
告知与同意,个保法第14条,GDPR Article 7
主体权利响应,个保法第四章,GDPR Article 15-21
数据留存管理,个保法第47条,GDPR Article 17
第三方管理,个保法第21条,GDPR Article 28
个人信息保护,个保法第51条,GDPR Article 35
数据泄漏响应,个保法第57条,GDPR Article 33-34
每一个主题本身都有非常多的合规点,比如个人信息影响安全评估过程中,可能会引入特殊场景,包括APP合规、数据出境、未成年人保护、自动化决策等,再比如数据留存管理,除了告知同意中的协议规定之外,还需要考虑行业规定综合判断数据留存期限,比如金融领域的反洗钱法规定客户身份资料在业务关系结束后、客户交易信息在交易结束后,应当至少保存五年,医疗领域的医疗机构病历管理规定住院病历,医院保管时间不得少于30年等。
隐私合规犹如一个三维象限,x是专题(如PIA、RoPA、Consent等),y是各国法规(如个保法、GDPR等),z是行业(如金融、汽车、医疗等),犹如一个魔方,拆来开每块积木,都有丰富的内涵,先挖个坑,未来再来专题讨论。
嘈嘈切切错杂弹,大珠小珠落玉盘
我们抛开每个专题的细节,探究各个主题的关联性。个人信息影响安全评估、处理活动记录、告知与同意、主体权利响应、个人权利保护、数据留存管理、第三方管理、数据泄漏响应这8个专题看似独立,他们犹如一个一个珠子独自散落,但内在有一根线将他们串联在一起,而这根线就是“数据”。
PIA&RoPA
PIA与RoPA有非常强的关联性,尤其在个保法第55,56条中,将两者放在一起规定,常规的实践中,我们会把RoPA作为PIA的前置步骤,也就是先梳理数据流转再来做PIA评估(RoPA->PIA)。但在国内实践PbD的过程中,有些企业会在RoPA之前加入一个“评估前的评估”,我们暂且把他称之为“前置评估”,它的出现主要有两个原因,第一不是所有的业务上线都需要进行RoPA记录,比如不涉及到个人数据的业务场景,轻量的“前置评估”,可以很好对业务分类,在PdD的前提下加快业务开展的同时减轻合规压力。第二RoPA的数据全生命周期梳理本身是比较耗时的,轻量的“前置评估”可以重点关注在采集和传输上,由业务来主导,完整的RoPA由合规来主导,能很好的平衡业务和合规压力。在这种实践的思路下,流程就变成“前置评估”->RoPA->PIA。无论采用哪种方式,都要结合企业实际的业务情况和管理水平来看,选择最优的方式,两种方式的落地,用九智汇的平台都能很好的支持。
前面谈到了PIA&RoPA的关联与落地,那来看看PIA&RoPA与其他合规事项的关系,PIA&RoPA都是在业务开展之前执行的,与后续的合规事项产生联动。
To 告知与同意,基于RoPA的变动及时联动告知的协议,及时变更。
To 主体权利响应,基于RoPA的存储信息及传输信息,制定权利响应的数据收集流程。
To 第三方管理,基于RoPA的引入(采集或传输)的第三方,管理第三方。
To 数据泄露响应,基于RoPA的存储信息及传输信息,评估可能的泄漏点及泄漏影响范围。
告知与同意
To 主体权利响应,取消同意也是主体权利响应的场景之一,基于撤回同意的协议,完成对对应数据的处置(删除/匿名化/停止使用)。
To 数据留存管理,基于适用法律法规要求及相关协议中约定的留存期限,来设置相关数据的留存策略。
To 个人信息保护,基于同意的记录,在访问控制层面,做到专数专用,匹配协议中采集的目的及同意的人群。
隐私合规完美的形态可能是打开任意一个数据,你都能知道他关联了哪个RoPA,场景,方式,目的,关联了哪个PIA,关联了哪个隐私协议,关联了哪些同意记录,关联了哪些实际使用场景,关联了哪些留存策略,关联了哪个数据主体,从而满足主体权利响应,第三方管理,数据留存管理,个人信息保护,数据泄漏响应的合规要求。
东船西舫悄无言,唯见江心秋月白
之前有位客户问了我们一个问题,隐私合规为什么要做数据治理?这篇文章是我们的一些思路,但是从落地角度是否一定要做,答案是不一定,每个企业的业务复杂度、合规压力、系统复杂度都不同,举个例子,比如工业企业的隐私合规,采集的个人信息以供应商及员工的个人信息为主,PIA和DSAR都可以轻量化的方式实现,以性价比最高的方式落地隐私合规义务。