互联网出海实战指南之DPO系列:KNOCK KNOCK, DPO究竟是干嘛的啦
文/ 王捷 魏彤
点击蓝字关注我们
互联网出海实战指南——数据合规
DPO系列
02
KNOCK KNOCK, DPO究竟是干嘛的啦
紧接着上次的话题,让我们抢在大家忘记DPO是啥之前把他们需要做些什么也说完。
真忘记了的小伙伴,请点击下方链接回顾一下:
出海实战指南之DPO系列:宇宙中又多了一个GDPR科普|今天让我们来聊聊DPO
GDPR第38条规定,“控制者”和“处理者”必须保证“数据保护官”适当且及时的介入所有与个人数据保护的有关事宜。
划重点,所有和个人数据保护有关的事项,DPO都要参与进来,并且要确保及时。
Wp29工作小组从落地角度又把这个“适当且及时”往前推了一把,“从开始阶段就咨询“数据保护官”的意见,可以促进企业的GDPR合规”。
我国涉及到“网络安全负责人“和”个人信息保护负责人“等泛DPO角色等的《网安法》和个人信息安全规范虽然没有明确指明数据保护人员需要在哪分哪秒进行介入,但通读下来我们可以从字缝里感受到,满本都写着两个字是“全流程”。
本着清晰易读的原则,我们这就要顺着这个“从开始阶段”“全流程”来扼要概括一下DPO都需要做些什么。
Step 1:评估前的准备工作——梳理现状(Mapping)
梳理现状,主要是指对企业中数据主体权利的情况进行全面的梳理,数据主体的各项权利是否执行到位,是各国政府合规监管的一个重点。
这是DPO的第一步,也是最为“痛苦”的一步,因为DPO不仅需要把企业各业务场景过程中涉及的隐私数据系统地梳理出来,还需要清楚全面地掌握和了解这些隐私数据在整个业务流程中的流动过程和具体处理方式,而现实却是“骨感”的,大多数互联网企业场景复杂,数据繁多,隐私数据的处理过程涉及到整个数据生命周期,包括数据收集、数据分析/处理、数据传输、数据分享、数据存储、数据销毁等各个环节,每一个环节都有不同的“坑”需要注意,要真正把这些整明白了,确实是一件需要脑力与体力并存的事情。
这同时也对DPO,这个“神圣”的职业提出了更高的要求,如果这个DPO就只知道一些基本的法律要求,而没能把企业内部业务流程与架构以及数据流动的整个周期都理解到位,恐怕也只是“纸上谈兵”了。
Step 2:合规差距分析——对整体数据处理的流程进行合规评估
合规评估,也就是“数据保护影响评估”,是GDPR针对高风险处理行为要求企业采取的重要的合规手段,也是DPO工作内容的一个重要组成部分。数据控制者,也就是企业本人,需要通过以下四个手段和步骤来保证处理过程中的数据合规风险规避。
(1)描述某一数据处理行为(在开始进行个人数据处理之前,项目生命周期的早期进行,并与规划和开发过程同步延续进行);
(2)评估该行为的必要性和合比例性;以及
(3)识别并评估风险,帮助企业管理因处理行为产生的自然人权利和自由的风险,并采取降低风险的措施。
(4)确认并记录结果,将结果整合到行动中
最后,别忘了对上面的内容信息持续的审查哦。
常见的评估形式有隐私影响评估(Privacy Impact Assessment,PIA)、数据保护影响评估(Data Protection Impact Assessments,DPIA)。
以上内容,按照我们给企业做专业系统的培训的话,确实需要很长的时间进行解释,虽然复杂,但实操起来还是很因崔斯汀的,遇到需要数据合规评估的时候大家也可以不要犹豫的拨打我所电话,愿为您分担这份繁琐与负担。不走心的广告打完,我们来尽量用活泼生动的人类语言说一下这个实务中会接触到最多的合规评估——隐私影响评估(PIA)。
我们掰着指头数一下,围绕着被使用的个人数据,它包含什么信息属于什么类型(是不是敏感信息)、如何收集的(是自己收的不还是别人帮忙)、为什么以及为了啥目的收集(不能写“我就是好奇 ,随便收集一下“),以及全程看下来我们的哪些人对它都干什么了(此处要从收集开始算,存储、使用、对外提供直到废弃阶段都不能落下)。最基本的这四条再根据具体情况加上一些比如出不出境(或者是不是外国来的数据)、会如何影响数据主体(我们是不是会给人家打电话弹信息)等等琐碎的问题全部答完,经过影响分析风险评估等玄而又玄的环节,最终给出评估分析和合规建议。
Step 3:形式上达成符合监管
说起来这里其实可以算是整篇下来最为大众所熟悉的一个DPO工作部分了。就相当于一被听说是设计师,立刻会被父老乡亲要求“随手帮我画个logo呗”,一般被发现是数据保护官的那一秒,“正好我app的隐私协议不知道怎么写呢!帮哥个忙回头请你吃饭”。此处吐血.jpg
隐私协议也就是privacy policy,正是广大形式合规文档的代表,注册页面和设置按钮里一键跳转的高调存在。啥叫形式合规,就是落在纸面上白纸黑字,(当然也有黑纸白字的),做的好不好直接展示给每个用户和监管爸爸的那一部分。这些文档写不好,不好意思,你数据中台做的再精致,框架技术做的再完美,不好意思,那些真的没前台的活计显眼。
老话说的好,好的隐私协议各有各的好法,稀烂的隐私协议也烂得各有不同。通常来讲,一份用户隐私协议中需要提到的点包括但不限于:收集和存储的数据类型(有没有涉及到敏感信息)、收集目的、获取同意的方法、处理的方式、施加的保护措施(尤其是对敏感个人数据进行了怎么样的措施来进行保护)、是否会转移数据到监管要求以外地区以及用户有哪些数据主体权利和如何行使。结合具体的适用法,如GDPR, CCPA, 个人信息安全规范等等,来进行具体调整。如果产品定位指向不止一个国家和地区,对不同管辖法的协调适用也是不可避免的一步检查工作。
当然说归说,如果不落地到具体产品上,除了以上这些宽泛的概念,讲出花来也说不清DPO写pp到底要关注什么强调什么,所以下期直接插播一篇案例分析,我们拎出来pornhub黑纸白字的隐私政策是怎么把“你的这些个人信息我拿走用一下ho”这件事写清楚的。
说了这么多,希望没有给大家造成“形式部分的数据合规仅局限在隐私政策”的误导,用户政策、个人数据保护策略、隐私影响评估报告、数据转移策略及流程(尤其在涉及跨界的时候)乃至于数据泄露应急预案都是其重要的组成部分。但是鉴于企业是否需要这些部分文档需要具体产品具体分析,甚至具体情境具体分析,我们在此就不细说了。
时间线外的第四步:产品合规
如果说我们前面提到的三条,都是聚焦在出现问题及时响应解决(reactive),下面这个工作内容可以说不太一样,在主动性和广度上,都进行了一定的升华,算是从产品设计的整体角度来做数据合规设计(proactive)。
GDPR的第25条倾情引入这个主动设计的概念,企业要遵循通过产品设计来达到隐私合规(Privacy by Design,PBD),将数据合规融入设计中(Privacy embedded into design),并实现全生命周期的保护(Full lifecycle protection)。
是不是听起来有点抽象,我们来举个例子。数据最小化原则大家是不是更熟悉一点,不管是欧洲美国还是我国的数据保护法律法规,基本原则中都反复强调,企业在采集或处理个人数据时,要分析必要性,尽可能减少个人数据的采集和使用。这个原则的落实就需要我们在产品设计的全流程中分分钟询问内心:我在实现产品功能的路上是不是做到尽量不碰或少碰个人数据来?这个质问自己的痛苦过程,回归到理论上,就是一种Privacy by Design。
更具体一点来说,在产品需求分析、技术方案设计、产品研发、测试以及发布上线,持续的监督和评估等等环节中,落实数据隐私合规的意识需要一直在DPO脑海中浮现,并对不同的环节和情形做出合适的评估,倒是可以说是对DPO这个法律+技术+产品的复合型职位的特征的非常好体现。
给大家放一个DPO大体思路的checklist在这里感受一下大致思路,again,还是要强调具体产品具体分析。
有机会的话,我们可以在另外的文章中和大家分享一下企业中,合规评估,产品合规等等具体是怎么做,评估思路,具体的执行标准,以及产品安全设计的要点等等。
总结下来,如果把整个数据合规看作是一个产品的生命周期,DPO的工作内容可以归纳成:
(1) 梳理企业内数据现状;
(2) 进行PIA, DPA等数据合规评估;
(3) 保证符合监管,尤其落实在用户协议和隐私政策等形式合规上;
(4) 最终目标是变被动响应为主动,搭建产品整体思路上的数据合规设计 。
下期预告
配合这期严肃正经的理论知识,我们下期首次引入案例,从隐私政策角度,开心聊聊pornhub是如何获取撰写新冠病毒数据洞察所需的用户数据的。敬请期待哟。
作者简介
魏彤,知名欧盟企业数据安全官,曾任职出海游戏公司法律合规顾问。熟悉欧美数据隐私保护立法体系,从in-house视角提供出海数据合规整体思路和具体政策条款撰写。
#更多往期出海业务精彩文章#
出海实战指南之DPO系列:宇宙中又多了一个GDPR科普|今天让我们来聊聊DPO
中海油不可抗力声明被拒——再看疫情下的不可抗力,涉外的你不能错过!!!
【首发】美国《人脸识别道德使用法案》全文翻译与评价
【首发】《2019美国国家安全与个人数据保护法案》全文翻译及评价
快说日本个人信息保护法之二:【场景案例—旺酱公司与木川の羁绊】
快说《日本2017个人信息保护法案》之一:你需要知道的所有基本要点内容
漫谈《印度2019个人数据保护法案》之三:新旧法案对比知多D——主要新增变化概述
漫谈《印度2019个人数据保护法案》之二:新法案的核心结构与部分关键内容概述
漫谈《印度2019个人数据保护法案》之一:新法案的“小前传”
【最新案例解读】“被遗忘权”也有地域范围限制——欧洲最高院支持谷歌主张
GDPR治下,德国有律师以不正当竞争为由提出禁令,还获得了支持
【Fintech很火爆,落地有风险】——印度现金贷与P2P业务合规经营分析
你真的读懂社交电商吗?——社交电商生态架构的合规设计(含海外社交电商专题)
转发,是对作者最大的鼓励
在看,是对作者最大的认可
创作不易,请点击一下“在看”↓