第三节　数据合规工作面面观：政策研究、合规评估、管理体系、技术措施

白晓萌萌在充分理解个人信息的定义以及需要从个人信息的全数据生命周期进行保护的理念后，又犯愁了：数据合规工作到底是干什么的？怎么与相关部门合作推进数据合规工作呢？

1.数据合规工作的方方面面

根据《个人信息保护法》的规定，企业在个人信息处理上应承担包括但不限于如下义务：

1）根据法律相关规定，对个人信息处理活动事前进行个人信息保护评估并对处理情况进行记录。

2）制定内部管理制度和操作规程，实施个人信息分类管理。

3）采取加密、去标识化等安全技术措施。

4）合理确定个人信息处理权限，并定期对从业人员进行安全教育和培训。

5）合规审计。

6）制定并实施个人信息安全事件应急预案，在发生个人信息安全事件时采取补救措施，通知履行个人信息保护职责的部门和个人。

上述义务充分覆盖了政策研究、合规评估、管理体系和技术措施等方面，它们均应纳入数据合规工作中。

（1）政策研究

个人信息保护法律体系包括多部法律、部门规章等规范性文件，如《刑法》《民法典》《个人信息保护法》《数据安全法》《网络安全法》《移动互联网应用程序个人信息保护管理暂行规定》《儿童个人信息网络保护规定》；同时也包括相关行业的规范性文件中涉及个人信息保护的条款，如《电子商务法》《网络交易监督管理办法》《征信业管理条例》。

个人信息保护领域在国家标准和行业标准方面也有规范，在个人信息保护法律规定较为概括时，可以作为推荐性实践进行补充。如《信息安全技术　个人信息安全规范》、《信息安全技术　个人信息安全影响评估指南》（GB/T 39335—2020）等。

数据合规工作首先需要进行政策研究，将上述法律规定和标准要求，按照公司所处行业以及相关运作流程，拆解为公司内的合规要求，作为合规评估、审计等的依据。

（2）个人信息保护影响评估

个人信息保护影响评估是数据合规工作中最为重要的一种工具或方法。法律等规范性文件规定了应当进行合规风险评估的数据处理活动，包括[1]：

1）处理敏感个人信息；

2）利用个人信息进行自动化决策；

3）委托处理个人信息、向他人提供个人信息、公开个人信息；

4）向境外提供个人信息；

5）其他对个人有重大影响的个人信息处理活动。

此外，从合规工作来说，个人信息保护影响评估是最佳的了解企业数据处理活动情况以及相应风险程度的方式。

个人信息保护影响评估应按以下步骤进行：首先对待评估对象进行数据映射分析，形成数据清单以及数据流图；然后梳理待评估的个人信息处理活动，作为基础事实；最后根据合规要求，从个人信息的处理目的、处理方式等是否合法、正当、必要，对个人权益的影响及安全风险，所采取的措施是否合法、有效以及与风险程度是否相适应等多个方面，提出相应的改进建议，形成评估报告。

（3）管理体系

法律规定要求企业按照所处理活动的风险等提供相应、适当、必要的组织措施和技术措施。组织措施则需要依靠管理体系来加以运转，如图1-3所示[2]，简单来说包括个人信息保护的机构组织保障、对相关从业人员的培训与考核，以及相应的制度保障（将合规要求落实到公司内不同层级的规范文件中）、安全事件应急响应以及安全审计。

图1-3　个人信息保护管理体系示意图

（4）技术措施

适当必要的措施除了组织措施，还应当包括相应的技术措施。个人信息保护的技术措施范围比较广泛，既包括加密、脱敏等安全技术措施，也包括落实个人信息保护要求的产品设计技术措施。安全技术措施，如图1-4所示[3]，包括数据识别、个人信息保护、接口安全管理、数据防泄露以及操作审计。关于落实个人信息保护要求的产品设计技术措施，根据各产品类型的差异，基于产品本身带来的风险而相应设计的合规控制措施包括差分隐私、联邦计算等。比如，阅读平台建议开启好友关系，可以互相分享读书记录和心得，而该功能对于部分希望读书是私密的用户来说是超出预期的，所以产品合规设计应为默认不开启。

图1-4　个人信息保护技术措施示意图

2.数据合规工作的利益相关方

如上所述，数据合规工作涉及多个方面，包括政策研究、合规评估、管理体系以及技术措施等，在企业内分工明晰的情况下，这些工作应由各自相关部门承担。本书对利益相关方的部门阐释是基于一般理解，而各个公司的组织架构各有不同，本部分仅作为参考。

（1）功能开发相关的利益相关方

以软件开发为例来阐释利益相关方，如图1-5所示[4]，涉及数据合规的利益相关方如下。

图1-5　软件功能开发中个人信息保护利益相关方示意图

销售与市场部门处在接触用户的第一线，负责创设市场新需求以及推动新功能开发。销售与市场部门应当理解软件如何保护用户的个人信息以及相应的产品技术机制。同时也会将用户和市场关于个人信息保护方面的功能诉求反馈给需求工程师。

需求工程师部门承担将利益相关方的需求汇聚、融合，再呈现给设计部门的重要角色，在多数国内公司，该职责也由产品经理部门承担。需求工程师部门也会将个人信息保护相关的需求以及合规评估后的合规处置需求纳入需求管理中。

产品经理部门负责将需求转化为产品设计。产品经理应当确保与个人信息保护相关的需求，如匿名化、账号注销设置、个人信息保护政策的同意机制等。

研发部门负责将产品设计研发成软件产品，包括设计架构、开发代码等。研发工程师应当确保个人信息保护相关的设计都被实现到软件产品中。

测试部门负责测试验证软件产品与设计需求是否一致等。测试工程师应当确保个人信息保护相关研发与设计一致。

在软件开发过程中，数据合规工作需要与需求工程师、产品经理、研发工程师、销售与市场人员以个人信息保护为连接点，大家在各自岗位职责范围内进行沟通，落实个人信息保护。

（2）数据开发的利益相关方

在大数据时代，除了传统的软件开发，涉及更多的是数据利用，包括数据分析、数据挖掘、深度学习、算法推荐、用户画像等。数据开发的利益相关方涉及如下两类。

1）数据科学家部门，包括算法工程师、数据工程师，其主要职责是通过数据实现业务的需求。例如，在网约车服务中构建算法模型匹配用户和司机，完成最高效的派单，减少用户等待时间。完成这样的需求，需要大范围地分析包括个人信息在内的数据，包括用户集中打车地点、时间以及打车习惯等，构建相应的算法模型。数据科学家部门对数据的需求会比软件开发相关部门更强烈，但是因为深度学习等原因，很难解释个人信息和实现目的之间的关系。因此，数据合规人员需要与数据科学家密切合作，在保障个人信息保护的同时促进数据价值的发挥。

2）大数据平台部门，其主要职责是构建大数据平台，包括数据存储架构、元数据、数据分析引擎等基础技术架构。大数据平台可以在数据平台侧实现个人信息保护要求，比如数据发现和数据流图，为个人信息保护提供评估的基础材料，同时观察合规实施效果。

（3）管理体系和技术措施的利益相关方

如前所述，我们需要建立管理体系和安全技术措施来保障个人信息。信息安全管理体系和安全攻防等部门在个人信息保护工作出现前已经很成熟了，通常被称为信息安全部。数据合规工作应当与信息安全部充分合作，在信息安全管理体系上增加个人信息保护，迭代为个人信息安全管理体系，同时持续落实和巩固安全技术措施，包括漏洞管理、数据防泄露等。

[1] 《个人信息保护法》第55条。

[2] 安永EY：《一图读懂｜数据安全合规性评估要点》，载自微信公众号“安永EY”，2021年5月1日，见https://mp.weixin.qq.com/s/-TM-1lr6x9M5fJPciof43w。

[3] 安永EY：《一图读懂｜数据安全合规性评估要点》，载自微信公众号“安永EY”，2021年5月1日，见https://mp.weixin.qq.com/s/-TM-1lr6x9M5fJPciof43w。

[4] Travis D. Breaux, An Introduction to Privacy for Technology Professionals, 2020。