百家 | 探索隐私保护数字化解决方案

“百家”，既是“诸子百家”，亦为“百花齐放”。他们是各行各业网络安全专家：有CSO、业界大咖、权威代表，更有奋战在网安一线的实践者、思想者和分享者。安在“百家”，最佳实践，真知灼见，思想火花，期待有你！

胡恺健

Amber Group 

数据安全与隐私保护专家

诸子云广州分会常务理事、广东省等级保护专家、CSA云安全联盟零信任工作组成员、DPOHUB成员。专注于全球互联网金融服务的数据安全与隐私保护工作，在数字政府、互联网金融、互联网电商的网络安全规划设计、信息安全治理与管理、数据安全、隐私保护、安全运营等领域具有丰富的实践经验。持有CISSP\CISA\CISP-DSG\EXIN-DPO\CDPSE\C-CCSK\ISO 27001 IA\CCNA\网络规划设计师等安全与数据隐私认证。

引言

智能科技和大数据的发展为人们的生活体验带来了巨大的便利与提升，但是大数据杀熟、诈骗电话、信息茧房、人肉搜索和过度精准营销却给人们带来了心理上的恐慌。有时候，我们会觉得互联网比我们更了解自己，而且互联网上的我并不会被遗忘。近年来，人们的隐私意识开始逐渐觉醒，开始希望重新掌握自己的“隐私暴露面”。全球的隐私保护和数据合规法律法规争相出台，纷纷从法律层面把个人数据自主决定权还给用户。在法律面前，企业履行相关个人数据保护义务是责无旁贷的，但碍于国内人才、资源、技术、经验有限，企业数据合规难度大增。高额罚金面前，企业人人自危。

数据合规产业是一个全新的赛道，社会从人才转型、资源调配、技术创新、经验积累、监管尺度把控、司法裁量标准都需要长时间沉淀与演进，不可能一蹴而就。因此，借鉴国外先进的隐私管理和成熟落地实践经验，显得尤为必要。本次分享将引入全球领先的隐私科技理念，与大家一起探索隐私科技的数字化解决方案，为数据隐私管理降本增效，促进国内数据合规产业发展。

一、国内外数据合规监管形势

分析

全球数据保护监管机构

的执法案例比较

拥有全球最严隐私保护法之称的GDPR在2018年5月25日生效以来，至今已三周年。从监管机构的执法分析来看，GDPR的执法更侧重于全面的企业数据保护能力与数据主体权利响应义务的评估与审查，主要的处罚案例集中在企业缺乏信息安全技术和组织措施、数据处理法律依据不足、违反数据处理基本原则以及数据主体权利没有充分体现等方面。详情见下图。

图片来源：《GDPR执法案例全景白皮书》

我国网络安全法自从2017年正式施行后，隐私保护的相关监管行动以及社会媒体的舆论监督力度开始逐渐增大，网信办、工信部、国家计算机病毒应急处理中心和App违法违规收集使用个人信息治理工作组等部门开始加大对手机App违法违规收集个人信息的监管处罚力度。国家出台了一系列的App治理文件、标准与实践指南，在强监管作用下，不少知名的App都因数据合规问题被下架处理。违规事由主要集中在违反同意原则、违反必要原则等，详情见下图。

图片来源：《App通报情况汇总：哪些APP合规重点值得企业关注？》

通过对比可以发现，我国截至个人信息保护法出台前，执法主要集中在App前端的个人信息收集过度，隐私政策文本设计、SDK违规收集、权限调用频率等表现，评估范围和深度未及GDPR。一是因为个人信息保护法未正式出台，处罚依据不充分。二是监管机构缺少技术支撑单位的有效支持，通过应用分发平台下载并检测APP个人信息收集、处理行为是最快速有效的方式方法。三是APP是最常用的应用程序，违规处罚影响范围广、威慑力量大、警示作用强。

根据网络安全等级保护测评的发展路径推测，随着个人信息保护法的出台，配套的认证、评估资质逐渐成熟，技术支撑单位的广泛加入，可以预见后续的执法力度将会与GDPR相当，更侧重于企业全面的数据保护能力验证，包括企业信息安全与隐私管理体系建设运营情况、后端服务器的数据真正处理情况、授权同意理机制、权利响应便捷程度等方面都会进一步纳入监管检查的范围。

个人数据与隐私管理灵魂拷问

作为企业安全人员，我们不妨对自己做出灵魂拷问，看看我们在个人数据与隐私管理水平与合规差距有多大？让我们带着这8个问题进入后面的探索之路。

1.企业到底收集了哪些个人数据，底数清晰吗？

2.企业收集的个人数据，目的、用途、处理情况、流转情况、共享情况，说得清楚吗？

3.APP里面有多少SDK和权限申请，心里有数吗？

4.监管机构要求你提供数据主体同意的记录依据，你能提供吗？

5.数据主体什么时候撤回同意的，撤回了哪个数据的同意，你能证明吗？

6.个人数据权利申请，如果只靠邮件，能满足“便”字要求吗？

7.数据删除权行使后，企业后端数据真的删除了吗，经得起查吗？

8.企业内部建立了数据主体权利申请的响应流程机制了吗，十五个工作日内注销账号，三十天内响应，能做到吗？

数据合规诉讼案件中

对于举证责任倒置的思考

与《中华人民共和国个人信息保护法》同时出台的是最高人民检察院下发的《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》。在数据合规诉讼案件中，遵循的是举证责任倒置原则，当个人向企业发起诉讼，需要企业自行举证以自证清白。谁有可能罚你（监管机构）、告你（数据主体）、坑你（供应商）或投诉你（员工），你就要对它进行相应的安全控制，并留存好充分的证据以应对监管和司法诉讼，这是数据合规的基本路线。

二、个人数据与隐私保护框架

搭建思路

要完善企业的个人数据与隐私保护相关证据留存，我们应该建立一个隐私保护框架，并识别各类数据合规要求，通过以不变应万变的方式，做好数据合规工作。下面为大家介绍框架搭建思路。

以不变应万变

建设多标准融合的隐私保护框架

有信息安全管理体系规划设计经验的同行应该知道，多标准融合是信息安全管理体系成功落地运行的必然之举，如果一个企业为了满足蜂拥而至的监管合规要求，而“造”出多套管理制度应对，对企业而言无疑是一场灾难。对于个人数据与隐私保护管理体系搭建也一样道理，应该时刻强调体系具备全球地区适配性、多标准融合性与高度互操作性。

一个优秀的安全体系框架是安全管理体系的基石，而合理的框架搭建流程，是保障框架与适应企业环境的关键。个人数据与隐私保护框架的搭建流程，参考《ISACA Journal丨隐私框架甄选和采用指南》的文章，大概可以分为以下几步：

1.识别框架：识别全球知名的隐私保护框架（例如NIST Privacy Framework、ISO 27701、ISO 29100、GAPP等），了解各个框架的侧重点。考虑与网络安全或信息安全框架的融合性与互操作性；

2.综合考量：由合适的角色（安全、法务、合规、风控、业务、人力）共同对个人数据与隐私保护框架进行现状、业务影响、效益和全球合规遵从的综合考量，得出甄选框架的原则和需求。

3.甄选评估：了解企业需遵从的合规要求、企业业务目标、利益相关方要求、企业希望通过的隐私认证。同时，根据企业目前的网络安全或信息安全框架情况，选择具备安全-隐私高互操作性的框架。最后，应根据企业业务服务范围内各司法管辖区相关法律、标准来调整框架内容。

4.框架集成：个人数据与隐私保护框架应与网络安全/信息安全/数据安全框架进行有效集成，使他们之间具备互操作性。例如组织已通过ISO 27001，那就应该在ISO 27001的基础上完成隐私内容的集成，制定需优化和补充的体系文件，按项目管理方式去推动落实和优化。

数据安全与隐私保护框架分享

下面分享一下笔者在数据安全与隐私保护框架搭建的实践，数据安全与隐私保护框架根据NIST Privacy Framework、ISO 27701、ISO 29151、ISO 27550、DSMM、个人信息安全规范等国内外知名的标准框架，通过融标操作构建了数据安全与隐私保护框架。

为什么数据安全与隐私保护框架要进行集成呢？数据安全与隐私保护对企业合规来讲，是相互依存，互相成就的关系。数据安全是基础保障工程，隐私保护是品牌价值体现。品牌价值体现的典型案例就是苹果公司，苹果公司在一则苹果手机宣传广告中突出表现了用户可以随时关闭各类应用程序对手机的跟踪，这种做法表明苹果公司已经把隐私作为品牌的一个核心竞争要素了。如果没有数据安全，即使企业隐私做到再漂亮，也是于事无补的。无休止的数据泄露，企业更快的自动化数据主体权利响应，带来的只会是无休止的数据删除权和数据可携权的行权，只会加速企业个人数据流失，最终面临倒闭的局面。没有隐私保护的数据安全，就相当于内在价值没有得到充分的展现，而且将面临严峻的合规挑战和司法诉讼。

数据安全与隐私保护框架，分为5个模块，分别是识别、治理、保护、交互与内控。

1.识别模块：是整个框架运行的开端，通过对法律法规、业务状况、数据状况、商业环境、生态合作和安全风险进行持续的识别，充分了解企业的各类底数台账，是做好数据安全与隐私保护的第一步。

2.治理模块：治理模块是框架的底座，也是任何体系的基础。第一是做好组织建设，将组织数据隐私职责进行明确定义，通过高层给予隐私承诺，以数据与隐私接口人（Business Partner）机制落实相关制度流程，保持组织内部流畅的沟通渠道。第二是数据安全与隐私保护法规融合，搭建管理体系的四层制度文件体系，为管理合规留存执行记录证据。第三是建立数据安全与隐私保护的风险管理计划、通过风险评估识别风险、定义组织风险承受能力和风险偏好，同时应该与企业的风险管理框架进行合理衔接。第四是落实数据安全的运营管理职责，执行数据安全策略运营、监控预警、应急处置和账密管控。最后是建立高层级的监视审查机制，通过数据隐私监审程序为内控模块的各项措施执行提供上层政策依据，对异常数据接收、数据主体权利响应和环境因素变化等主要环节进行持续监视。

3.保护模块：保护模块融合了传统网络安全和信息安全的身份管理和访问控制、通用安全控制。在数据安全方面，则从企业的生产环境和办公环境分别搭建安全控制措施，生产环境依据DSMM的数据安全生命周期建设控制点，办公环境则根据实际情况落实从对应的安全管控措施。在隐私保护方面，最重要是将基于默认和设计的隐私嵌入到企业的产品研发流程中，可以是敏捷的DevSecOps，也可以是偏传统的SDL。

4.交互模块：该模块是隐私保护所特有的交互特性，前面提到会罚你、告你、坑你和投诉你的各类相关方，都应建立安全控制机制。监管机构方面，应保持双向的顺畅沟通，跨境传输做好相应的审批，数据泄露做到通知义务，定期向监管披露隐私情况报告，增强企业责任感。客户（数据主体）方面，应完善隐私的通知、告知、投诉与沟通渠道，做好客户同意管理和主体权利响应管理，提升客户体验。供应商（数据处理者）方面，则应该落实尽职调查、界定双方责任义务、做到定期审计稽核，保持数据事件应急响应联动机制的有效性，做好SDK和API的相关资产管理，并保持良好的沟通。员工方面，应明确职责，做好入离职管理、培训宣贯、奖惩管理、沟通管理、协议管理。最重要的是设置好DPO机制，为数据主体和监管机构搭建一个专业有效的沟通联络点。

5.内控模块：内控是管理体系PDCA戴明环里面的Check与Action。主要是对管理体系运行效果进行评估、检查、验证、审计，获取外部机构认可和专业资质认证，通过持续的预防措施和整改纠正行动来持续改进。内控模块应与网络安全或信息安全管理体系进行有效融合和衔接。

完成数据安全与隐私保护框架搭建后，要建立可落地执行的管理体系文件。根据ISO 27701的最佳实践，应该将隐私要求嵌入信息安全要求内，将原ISO 27001信息安全管理体系，变成“信息安全与隐私管理体系”。即数据安全与隐私管理体系文件应该与已搭建好的信息安全管理体系进行深度融合，具备互操作性，将数据安全与隐私控制要求加入原有体系中，然后根据各司法管辖区的法律（各国隐私保护法案）和标准要求进行制度、规范、程序的扩充。最后，记录清单宜通过自动化平台进行证据留存。

三、保护数字化解决方案

探索

自从欧盟议会在2016年通过GDPR法案，国外不少安全厂商已经开始陆续发布隐私科技产品工具，旨在帮助企业更好地应对诸如GDPR、CCPA等数据合规要求。包括OneTrust、TrustArc和BigID等隐私管理平台已经获得全球VC的强烈关注和跟投，发展势头强劲。但截至目前，国内安全厂商尚未见有隐私管理平台相关产品和解决方案的踪影，该隐私科技细分领域存在一定程度的缺失。《中华人民共和国个人信息保护法》里，5次提到了“便”字，方便和便捷的数据主体权益体验是立法的初衷，但大部分互联网平台的数据主体权利申请依然靠邮件，这种“土办法”已经无法与企业数字化转型的趋势相匹配，亟需发力提升。

本文为大家详细介绍全球领先的隐私管理平台，也希望引起国内对这个细分领域的关注，打造自主可控的隐私管理平台，以满足《中华人民共和国个人信息保护法》及其配套标准的技术落地。

个人数据与隐私管理数字化

解决方案整体视图

本文所介绍的数字化解决方案主要用于解决个人数据与隐私管理的主要核心部分，也是监管机构、数据主体和企业最为关心问题。个人数据与隐私管理解决方案的整体视图如下图所示，下面通过整体构建步骤予以描述。

整个数字化解决方案分为三个部分，分别是规划设计阶段、实施构建阶段和持续运营阶段，这是解决方案从建设到运营的整体思路，承接了数据安全与隐私保护框架中的相关安全控制要求，从PDCA的角度去实践技术落地方案，同时为灵魂拷问的8个问题作出回应。

1.规划设计阶段：是解决方案构建的基础工作，主要是识别企业内部各类资产清单、数据清单和法律实体清单，理清底数台账。通过数据映射为企业理清各司法管辖区隐私法案所关切的数据处理目的、范围、方式和法律基础依据等重点核心问题。通过数据保护影响评估对可能给数据主体权利和自由带来高风险的数据处理活动进行风险和影响分析，满足尽责评估的要求。最后将前面梳理的基础清单，形成企业产品或服务隐私政策。

2.实施构建阶段：是整个隐私保护数字化解决方案的核心，也是使企业彰显隐私品牌价值和体现尊重用户隐私的重点。这里会涉及基于默认和设计的隐私、数据主体同意管理、移动应用合规管理、Cookies合规、数据主体访问请求、事件响应管理等内容。

3.持续运营阶段：是隐私保护数字化解决方案构建完成后，所需要持续运营的工作内容。主要在于对各类相关环境、资产的持续识别，以及维护好可能罚你（监管机构）、告你（数据主体）、坑你（供应商&数据处理者）和投诉你（员工）的各个主体交互点，降低隐私的合规风险。

规划设计阶段

个人数据与隐私保护的体系化工作，前期应该完成体系的规划设计。作为体系建设的基础，企业需要识别与理清几张清单，理顺各类清单之间的逻辑关系，这是构建一系列隐私保护解决方案的前提条件。夯实基础，方能远行。

1.资产清单识别梳理

资产清单是与个人数据生命周期有关联的所有信息系统，需识别和建立的清单分别是应用系统清单、移动App清单、数据库清单、API接口清单、数据仓库清单、SDK清单、Cookies清单和App权限清单。要尽可能清晰和齐全地识别和建立清单，需依靠数字化工具以及配套的管理活动支撑，单靠其中一样都会存在疏漏，导致识别不全。

（1）应用系统、APP、数据库和数据仓库清单

一个企业的应用系统、App、数据库和数据仓库清单，最全的识别方案是由 “CMDB+HIDS+资产暴露面管理”的方式组成，再通过配套的系统资产梳理服务进行辅助，达到全面的应用系统清单交付目标。通过CMDB录入资产业务属性信息，HIDS的Agent获取技术和安全属性信息，最后通过资产暴露面管理系统定期扫描，发现绕过上线流程违规上线的资产和长期没有管理的“幽灵资产”，可达到持续识别资产的效果。

但这种过于理想的解决方案，在大多企业都是不可能完全具备的。我们作为信息安全与隐私相关部门，CMDB一般不由我们建设，而是由运维部门承接，要推动建设CMDB需要不少的时间。因此退而求其次，可以先从信息安全与隐私部门能掌控的HIDS+资产暴露面管理系统入手，配套相应服务来识别应用系统清单。如果安全建设也一片荒芜，那纯人工服务也不失为一种最后手段。

（2）API接口清单

在现有的IT架构中，API已经充当了一个非常重要的系统交互通道角色，API存在数量众多难以管控、伪数据脱敏、敏感数据未加密、未鉴权、签名验签机制缺失、接口数据遍历、接口调用频率高、接口安全风控措施缺失等一系列的数据滥用、数据篡改、数据泄露的安全风险问题，详情见下图。要做好个人数据与隐私保护，API接口清单必须理清。

目前API接口的梳理与风险发现，可以借助API安全监测工具，通过对内外部传输的API接口进行统计分析，一方面可以清楚明确API接口底数台账，另一方面可以有效梳理各类API违规使用风险问题。

（3）SDK与APP权限清单

SDK与APP权限清单的违法违规监控是中国近年来的执法工作重点，因此理清一个APP里面的SDK和权限情况，是至关重要的合规基础。经过几年的发展，国内已经有不少优秀的APP合规扫描工具，原理是获取未安全加固的安卓apk和苹果ipa安装包，放入检测沙箱中运行，对SDK和权限进行动态和静态的扫描检测。工具可对《个人信息保护法》及其相关配套规定、指南的合规要求进行扫描，再配合人工服务完成所有合规检测内容。

APP合规扫描内容主要包括：

SDK数量统计与分类，获得各SDK名称、第三方开发厂商，对SDK功能进行分类，对SDK获取个人数据事件监控与分析；

图片来源：OneTrust APP SDK扫描

权限方面，主要对APP各类手机权限申请时机、频率进行合规检查，以及分析个人数据处理行为。

图片来源：OneTrust APP权限扫描

（4）Cookies清单

Cookies在《GB/T 35273-2020 信息安全技术 个人信息安全规范》中的分类是网站浏览记录（属个人信息）/网页浏览记录（属个人敏感信息），都属于个人信息范畴，应当按个人信息的管理方式进行相应管理。但中国在过往几年的司法案件中，个人主张企业收集Cookies信息侵犯个人隐私时，都以败诉告终，经典案例如“朱某诉百度案”、“陈某诉阿里妈妈案”。随着《民法典》和《个人信息保护法》的相继出台，笔者预测往后对于Cookies案件的判决结果将会有所不同，我们可以拭目以待。

但无论如何，如果我们是一个全球化的企业，Cookies的合规却是必不可少的，因为欧盟、欧洲各国、美国对Cookies纳入个人数据范畴是毋容置疑的。特别是欧盟多个国家已经对Cookies提出了各类的相关指南，也提供了Cookies合规的要素，有兴趣的可以查阅以下资料：

作为全球化的企业，我们应该全面梳理Cookies清单，并对Cookies进行分类标记，为Cookies合规打好基础。在国外的隐私管理工具中，通常会集成Cookies合规扫描工具，通过输入网站域名后，便能自动爬取该域名下网站的Cookies、Beacon或其他网页浏览记录文件，并对其进行功能分类，例如分成绝对必要类、性能分析类、功能类、定向跟踪类和未知类。

图片来源：OneTrust Cookies合规功能

2.数据清单识别梳理

既然是做个人数据与隐私保护管理，那数据清单就是必不可少的基础了。数据清单可以从数据结构类别入手，分为结构化个人数据和非结构化个人数据。这两类结构的数据在识别梳理的工具、技术和优先级上有所不同。结构化个人数据所占数量巨大，在生产环境中整齐划一，是我们应该优先识别梳理出来的。而非结构化个人数据，散落在生产环境和办公环境，结构凌乱，数据类型相对单一，可以做次优先级的识别梳理。

（1）结构化个人数据的收集渠道有以下几种：

• 数据主体在web表单主动填写提交

• 自动化数据采集（数据埋点、手机权限自动采集（如GPS位置数据））

• 第三方渠道采集（包括API采集、库表交换）

• 离线录入（包括Excel或CSV文件）

上述几种个人数据收集渠道不同，但殊途同归，都会存储于结构化的关系型数据库中。我们可以利用数据发现与扫描工具进行数据库扫描，通过自定义个人数据规则，正则表达式、数据特征、关键字，对数据库进行扫描，发现数据，同时完成数据分类分级标记工作。

很多同行会认为数据分类分级是一个大事情，很难落地，然后谈虎色变，望而却步。没错，数据分类分级是一块难啃的骨头，企业积累多年的数据，散落在不同的地方，希望一下子识别出来，继而按照各种业务类别，整齐划一的，又能与各部门达成一致的分类分级方法，可能是非常理想而又难以落地的美好愿望。不过，我们应该抓住主要矛盾的主要方面，做不做数据分类分级是主要矛盾，而先做哪一部分是主要方面。我们既然关心个人数据与隐私管理，那完全可以从个人数据的分类分级做起。个人数据对比业务数据，类别更少，存放位置更集中，识别规则更成熟，行业目前已具备相当的条件进行完整的识别。

（2）非结构化个人数据的收集渠道有以下几种：

• 数据主体主动提交的图片、附件资料

• 自动化数据采集（录音、视频等）

• 第三方渠道采集（Office文档、PDF、图片等）

非结构化的个人数据，主要存放在生产环境的OBS、OSS等对象存储或文件管理系统中，以及办公环境终端电脑中，业内已经有深度内容识别、OCR识别、指纹识别、关键字匹配等技术进行非结构化的内容识能力。对于办公环境的终端电脑，则可以利用业界较为成熟的DLP系统，其中资产管理模块可以对存放在终端的文件进行扫描识别。

如果目前缺少相应的数字化工具支撑，也可以使用人工方式来识别梳理。因为一般系统的非结构化数据文件类型是可以枚举穷尽的，而个人数据与隐私管理只关心收集了哪个类型，并且这个类型的数据基于什么处理目的，其实并没有想象中那么复杂。

3.法律实体识别梳理

法律实体是指数据控制者、数据处理者、联合控制者、接收方、销售接收方和供应商。有服务合同关系的，企业应将其同时归入供应商类别，以便对供应商数据处理协议和安全风险进行额外控制。有数据销售合同关系的，企业应将其同时归入销售接收方，满足CCPA法案要求。法律实体主要用于识别数据提供、数据接收、数据处理等相关方，与数据处理活动形成关联。

法律实体的识别与梳理，可以借助隐私管理平台的数据映射管理工具（Data Mapping），联合公司的相关团队，尤其是法务团队做好法律实体识别。

4.数据处理活动识别梳理与数据映射

数据处理活动（个人信息处理活动）是各司法管辖区隐私法案中最常见的词汇。企业数据处理活动识别与建立强依赖于前面的资产清单、数据清单和法律实体清单的输入，通过关联数据处理活动关键要素以完成数据处理活动的识别。

数据处理活动的关键要素包括数据主体地区、数据主体数量、数据处理目的、法律基础依据、数据来源、数据采集方式（来源地）、数据传输方式（目的地）、访问/使用数据相关方（内外部法律实体以及部门）、访问/使用数据相关方（内外部法律实体以及部门）、数据保留期限、跨境传输依据等相关内容。

目前国外较先进的隐私管理平台，其数据映射管理工具可以将三张清单与数据处理活动关键要素进行自动关联，并且自动根据录入内容，按个人数据生命周期绘制数据流转图，也提供对数据流转图编辑修改等能力。企业可以轻松地根据数据处理活动实际情况，交付数据处理活动清单，作为数据合规的重要证据进行留存。

图片来源：OneTrust数据处理活动录入系统

图片来源：OneTrust数据流转图自动绘制

5.数据保护影响评估

中国个人信息保护法与GDPR都遵从 “基于风险路径”的规制方式。在这种规制方式下，数据保护影响评估（数据保护影响评估、隐私影响评估与个人信息安全影响评估，本文统称数据保护影响评估）并非每个数据处理活动都需要实施。GDPR场景下，只有对数据主体的权利和自由产生高风险时，才需要做数据保护影响评估，但如果数据控制者不能确定是否需要做时，GDPR建议实施。在中国个人信息保护法框架下，已发布《GB/T 39335-2020 信息安全技术 个人信息安全影响评估指南》，里面也介绍了需要实施数据保护影响评估的相关触发场景。

既然数据保护影响评估不是每次必须做，而又可以根据不同场景、不同司法管辖区要求来做不同的评估，那就应该制定不同的评估内容进行应对，而不是每次实施都按一个大而全的评估模板来做。目前国外先进的数据保护影响评估工具，已经为不同场景下的数据保护影响评估定制了模板。例如欧盟、美国、中国数据跨境传输影响评估，以及欧盟、美国、巴西的数据保护影响评估。

应用相关评估模板，通过回答问题、上传合规证据（截图、文件资料）的方式完成数据保护影响评估，最后生成报告，提交给对应的监管机构，也可以将评估报告摘要公开披露。

图片来源：OneTrust美国联邦机构隐私影响评估样例

图片来源：OneTrust数据跨境转移评估库

图片来源：OneTrust数据保护影响评估库

数据保护影响评估完成后，为了满足隐私的公平性和透明性，做得比较好的网站会公开数据保护影响评估的摘要结果和主要评估要素，以证明企业数据保护满足数据合规要求。例如下图为微软官网公布的数据保护影响评估情况摘要。

图片来源：微软公司官网数据保护影响评估

图片来源：微软公司官网数据保护影响评估元素矩阵

6.隐私政策文本设计

隐私政策，是企业在个人数据与隐私保护的“门面”。隐私保护从业人员经过长期的锻炼，能够通过隐私政策在几分钟内判断一个企业的隐私合规的大体情况。这也是监管机构和相关技术支撑单位近年来对企业进行大规模筛查形成的直觉和能力。因此，隐私政策写不好，企业可是很容易被盯上的！

隐私政策的草拟通常由企业的法务团队负责，作为安全与隐私团队，我们可以做的是为法务团队提供技术支撑。请看下图“隐私政策文本设计”，是不是发现隐私政策所需要的各种关键清单和数据处理活动要素，其实我们在前面的梳理中已经全部交付了。法务团队拿着我们的交付物，就可以轻松地根据各司法管辖区的相关要求完成隐私政策的制定了。

我们再来看看国内外隐私政策在制定的时候是怎么利用这些清单的。例如支付宝的隐私政策中，明确列出了基于什么目的和业务需要收集个人数据，收集了哪些个人数据做出了明确的列述，可以关注到隐私政策中没有使用“等”、“例如”等模糊不清的字眼。这得益于个人数据清单识别的准确性。

图片来源：支付宝官网隐私政策

列出涉及收集用户信息的第三方SDK列表，数据来源涉及SDK清单，此前已交付。

图片来源：支付宝官网隐私政策

列出APP会调用手机的权限列表，数据来源会涉及APP权限清单，此前已交付。

图片来源：京东官网隐私政策

我们再看看国外的隐私政策，也会把数据处理目的和数据处理法律基础依据列出，这会关联到我们数据处理活动清单和数据映射的结果，也在前面进行梳理交付。

图片来源：Coinbase官网隐私政策

国外一般会有单独的Cookie政策，列出Cookies的名称、放置目的和保留时间，满足欧盟和欧洲各国相关的Cookies指南要求。

图片来源：Coinbase官网Cookies政策

实施构建阶段

规划设计阶段完成后，我们进入隐私保护数字化解决方案的实施构建阶段。本阶段是企业全面构建自动化处理、自动化响应能力，对外提供优秀隐私用户体验的阶段。下面对逐个模块进行详细讲解。

1.基于默认和设计的隐私（PbDD）

隐私设计（Privacy by Design）的理念最早由加拿大安大略省信息与隐私委员会前主席安卡沃基安（Ann Cavoukian）博士提出，提出了7个基本原则，这些基本原则指导着目前全球隐私工程设计的落地实践，是我们值得借鉴和参考的，有兴趣可以翻阅安博士的文章。基本原则的简介如下：

1.积极预防，而非被动救济：隐私应该尽早地被考虑，而不是等出事件再考虑；

2.隐私默认保护：目的说明、目的限制、数据最小化和数据使用/保留等要求应该默认嵌入组织、流程和系统中；

3.将隐私嵌入设计之中：隐私必须以整体，整合和创新的方式嵌入技术，运营和信息架构中。建立框架和原则、进行隐私影响和风险评估，做好安全控制，降低隐私影响。例如将隐私设计嵌入DevSecOps或SDL的应用安全实践中；

4.功能完整--正和而非零和：强调隐私和业务功能不应该冲突，而是相辅相成，相当益彰的关系，隐私应作为产品的核心价值体现。可以参考苹果公司的隐私品牌价值嵌入和宣传方式;

5.端到端安全--全生命周期的保护：从终端到生产，从收集到销毁，建立全面的安全控制保护;

6.可见性和透明性：应建立问责制以落实隐私保护责任，向用户公开企业隐私政策和策略以供检验，建立举报投诉渠道以接纳用户声音;

7.尊重用户隐私：应该以便捷的方式响应用户的数据主体权利，防止企业滥用、误用个人数据。

欧洲联盟网络和信息安全局在2014年12月发布的《通过设计保护隐私与数据 - 从政策到工程》报告中，强调了隐私加强技术使用的重要性，隐私加强技术通常包括加密、匿名化等技术措施。在我国，全国信息安全标准化技术委员会也在2019年8月就《个人信息安全工程指南》征求意见，为产品的隐私设计提供指引。该指南很好地指导产品隐私设计的细节。

隐私设计的一个良好实践是将隐私设计要素，嵌入到组织的应用安全实践内，例如DevSecOps或者SDL。并在以下不同阶段做好安全控制工作：

• 在需求设计阶段做好隐私培训、需求设计评审、隐私Checklist

• 在验证阶段完成隐私合规测试、APP合规扫描

• 在预发布阶段完成应用隐私配置和隐私管理平台的配置

• 在发布阶段完成APP安全加固

• 在防护阶段完成数据加密、脱敏、访问控制等数据安全基础工作

• 在检测阶段完成数据异常行为检测（UEBA）、SDK调用异常监测、API接口敏感数据外传检测等

• 在响应阶段，完成个人数据泄露事件的响应和通知工作

具体的落地实践，基于不同企业可能有所不同，但应该强调的是应该建立一条产品开发流水线，降低安全与隐私控制被绕过的可能性。产品需求设计平台、应用安全提测平台、应用安全与隐私自动测试平台和应用发布平台，如果可以做合理集成，那基于默认和设计的隐私嵌入产品研发流程将会如鱼得水。

2.数据主体同意管理

（Consent Management）

为充分尊重数据主体的隐私权利，数据主体的授权同意几乎是最常见的个人数据收集与处理的法律基础。还记得灵魂拷问的问题吗？我们再来回顾一下：

• 监管机构要求你提供数据主体同意的记录依据，你能提供吗？

• 数据主体什么时候撤回同意的，撤回了哪个数据的同意，你能证明吗？

笔者斗胆地对企业隐私成熟度从同意管理设计上进行了分级，不同企业的表现如下：

成熟度较低的企业：数据主体打开应用程序，弹出隐私政策，点击同意，流程结束。这种方式先不说一揽子的隐私政策同意饱受诟病，连最基础的同意证据都没有保存。当监管机构和司法机构要求出示证据的时候，企业是完全拿不出来的。

成熟度中等的企业：数据主体打开应用程序，弹出隐私政策，点击同意，同意记录会录入数据库中，并且当隐私政策有相关更新的时候，依然会再次获取同意。做得更好的，会在收集敏感数据的时候进行单独的同意弹窗。这种情况是目前国内做得稍好的企业，可以向监管机构和司法机构提供数据库内存储的同意记录证据。但当用户希望做针对性的撤回同意时，几乎无法对同意的内容做有效区分，实际用户体验一般。举个例子，一个电商一般会在提供海淘服务时才会额外收集身份证号码，作为一个消费者，是否可以单独撤回身份证信息的授权同意呢？

成熟度较高的企业：目前已经建立了细化的数据收集清单，并且收集清单每一个数据收集点都可以与同意记录进行关联，并且已录入数据库中。企业可以提供友好的用户隐私偏好中心，为用户提供各类已收集数据的同意或撤回同意选项。更进一步，同意记录数据库再借助数据保全云的区块链存证技术，使同意记录上链，那同意记录的相关证据可谓是无懈可击了。

目前国外先进的隐私管理平台，可以为通过不同渠道获取的数据建立数据收集点。并且为不同的数据收集点建立按业务流程和主题划分的数据处理目的，两者进行关联后，展示在用户隐私偏好中心，给数据主体体验良好的同意和撤回同意的选择权。

下面介绍各部分组成：

（1）数据收集点：是指通过Web表单、API收集、批量导入、SDK采集的相关个人数据建立一个数据收集记录。隐私管理平台也可以为隐私政策和Cookie政策点击同意的URL放入一个数据收集点。举个例子，通常我们在应用程序Web表单录入我们的姓名、电话、邮箱、身份证等字段信息，那我们便可以通过JavaScript SDK为每个字段建立一个数据收集点。其他API收集、批量导入和SDK采集也是同样道理；

图片来源：OneTrust建立数据收集点的类型

（2）建立数据处理目的主题：数据处理目的是同意管理的关键组成部分，是建立收集点和用户隐私偏好中心所必需的。一个人的同意总是根据收集或处理其数据的既定目的而存储。我们可以创建不同的数据处理目的来帮助数据主体了解企业为什么要处理他们的个人数据。

（3）设置数据收集主题：主题是一种更好地表达企业基于什么数据处理目的而收集用户个人数据的方式。例如我们需要对客户履行反洗钱的KYC认证时，“KYC认证”就是一个主题，履行这个义务时就需要收集较多的用户个人数据。假设KYC认证的数据字段有20个，那么当客户同意KYC认证时，代表他同意企业收集这20个数据字段。这可以大大地降低用户在行使数据权利时的选择困难症，不需要逐个字段进行同意。

（4）首选项设置：可以给用户更多选择空间，而不单单是同意或者不同意。企业可以用首选项设置提供诸如个人数据收集频率的选项。举个例子，用户可以选择每天/每周/每月接收一封广告营销电子邮件。或者用户可以选择让GPS地理位置数据收集模块1秒/1分钟/1小时收集一次信息。这些权利，我们都可以通过设置进行提供，充分尊重用户的选择权。当然了，要提供那么细化的首选项设置，企业产品的后端业务流程和算法逻辑，也是需要同步调整的，因为首选项设置只是提供一个单选框或者多选框，并做相应记录留存而已。

（5）用户隐私偏好中心：是一个可以跨设备、跨平台的Web页面，可以自动适配电脑或者手机屏幕。主要功能是为数据主体提供每一个数据收集点基于数据处理目的和主题的同意/撤回同意，或者其他首选项功能的选择能力。通常，这个用户隐私偏好中心会内嵌到我们隐私政策内的一条URL链接，或者放在我们App隐私设置功能内。

3.移动应用合规管理

（Mobile Application Compliance）

移动应用合规，是一种先进的移动一体化合规管理工具。除了在资产清单识别梳理过程中启用SDK扫描和APP权限扫描外，移动应用合规可以提供一个合规SDK，与企业的APP集成。它可以具备以下能力：

（1）SDK收集行为查询：如果我们在数据主体同意管理模块设置了SDK的数据收集点。那么该功能可以允许第三方SDK向这个合规SDK查询它有没有得到用户同意收集个人数据。合规SDK会向第三方SDK响应“是”或“否”；

（2）SDK收集数据事件监听与阻断：合规SDK可以监听第三方SDK收集数据行为事件，如果发现未经用户授权同意的数据收集行为，可以进行实时阻断；

（3）地理位置规则：可以通过合规SDK识别手机所处的地理位置，自动识别当地司法管辖区的同意模型。同意模型一般分为仅通知、选择退出（OPT-OUT）、选择加入（OPT-IN）、默许（Implied Consent）或自定义；欧盟基本遵循选择加入（OPT-IN）同意模型，而美国CCPA等法案是遵循选择退出（OPT-OUT）的，因此识别不同地理位置作出不同的同意方式，显得尤为重要；

（4）用户隐私偏好中心：这跟数据主体同意的用户隐私偏好中心是一样的，只是这个位置可以根据企业的产品品牌设计的Logo、风格、颜色搭配进行自定义设置，使其更符合企业产品的风格。这个风格设置可以交给产品团队的UI同学进行设计。

图片来源：OneTrust移动应用合规管理

4.Cookies合规（Cookies Compliance）

如果大家浏览国外网站，都会发现网页底部会有一个明显的Cookies横幅，让各位去选择是否接受Cookies的跟踪。这是欧盟GDPR以及欧洲各国的Cookies指南中的最佳实践方式。

Cookies合规同样是隐私管理平台的功能之一，除了可以在资产清单识别梳理环节帮我们理清Cookies信息外，也可以提供地理位置的同意模型选择，并帮助用户Cookies横幅和Cookies偏好中心嵌入网站中。这个Cookies偏好中心，同样可以跟数据主体同意管理以及移动应用合规管理的用户隐私偏好中心进行集成，以一致的风格对外展示。

不少外国企业将Cookies清单通过分类的方法放置于Cookies的用户隐私偏好中心里面，为用户提供至少4种Cookies类型的选择。分别是严格必要的Cookies（根据欧盟有关规定，可以默认同意，不能选择。这些Cookies一般是基于维持服务器Session或安全性而使用）、分析类Cookies、功能Cookies和定位Cookies。数据主体可以对每一个Cookie进行同意/拒绝。

图片来源：OneTrust Cookies合规

图片来源：OneTrust Cookies偏好中心

5.数据主体访问请求（DSAR）

在刚刚发布的《中华人民共和国个人信息保护法》中，提到“便”字有5次，便捷、便于和方便是法律带给数据主体权利响应体验的主旋律。

目前不少网站采取“应付了事”的方式去应对合规要求，未来一定是监管的重点打击对象。大家可以自检一下企业是否存在以下问题：

• 隐私政策提供了一个错误的Email地址，发邮件过去，显示邮件被退回；
  

• 邮件发送过去，两三个月都没有回复，完全不满足中国《个人信息安全规范》要求的注销账户十五个工作日响应，数据权利三十日响应，以及欧盟GDPR 30天响应、CCPA 45天响应的要求；
  

• 要求提交各种资料以证明“我是我”，例如手持身份证等，收集幅度大于注册时提供的资料，导致对个人数据造成更大风险；

• 企业内部没有固定的数据权利响应流程，收到邮件请求后手忙脚乱，企业各部门互相踢皮球，最终不了了之；

• 回复客户的邮件每次都是临时编纂的，回复术语不专业，申请响应流程方法模糊不清，让用户难以行使数据权利。

为了解决上述种种乱象，需要一个体系化的数据主体访问请求平台协助企业更好地完成这项工作。下面为大家介绍一下全球领先数据主体访问请求平台的架构设计要点，无论企业打算外采产品或者自研产品，都可以作为一个重要参考。

数据主体访问请求平台包含以下主要模块：

（1）数据主体权利申请Web表单自定义

可以为用户提供一个Web页面，用户可以在表单中填写自己的角色、所在国家、希望行使的数据权利、请求细节。Web表单可以提供网页验证码以及上传必要的附件证明材料。

（2）数据主体身份认证

可以为用户短信、邮件、OTP等认证手段，确保提交数据访问请求申请的是用户本人。

（3）建立企业内部请求响应工作流

可以在企业内部建立数据主体访问请求响应的工作流程和子任务，当收到数据主体访问请求后，可以根据组织职责，分配各自的工作内容，包括客服挽留、业务审批、法务符合性审批、隐私团队审批和DBA实际数据操作等。

（4）响应邮件/响应话术标准模板

可以提供标准的响应邮件和响应话术的模板，使邮件通知时的用语都是通过法务审核的标准用语和话术，确保不会发生模糊不清，引起歧义。邮件响应可以作为子任务自动触发，当向用户发送邮件时，即调用邮件模板内容，并动态填充用户姓名或其他必要的称呼内容。

引用一个国外知名金融服务网站的邮件响应例子，见下图。在整个数据权利访问求情过程中，一共收到了三封邮件。

• 第一封表示我的数据请求已收到，并将响应时间要求以及企业隐私政策、FAQ等URL链接附上，帮助用户更好地了解企业隐私政策；

• 第二封邮件表示企业可能无法在30天内响应数据权利请求，按当地隐私法案要求，会在不超过90天的时间内进行响应；

• 第三封邮件是表示响应数据已经准备好，我们可以点击安全链接进行数据访问，并且该链接有效期为10天。

图片来源：Coinbase的数据权利访问请求邮件回复模板

（5）响应时间及时提醒

还记得灵魂拷问的数据权利响应时间要求吗？通过提醒功能，可以在内部工作流程中设置多次的邮件提醒，确保企业相关团队不会忘记自己应尽的审批和回复义务。

（6）根据地理位置识别数据主体拥有的权利

通过设置，我们可以启用地理位置规则，动态地为处于不同司法管辖区的数据主体提供当地可行使的数据权利。例如GDPR语境下叫被遗忘权，中国语境则叫数据删除权，每个地区都会有一定的差异。

（7）独立为数据主体提供数据安全保障的隐私门户站点（Protal页面）

可以为数据主体提供安全的访问门户，该门户可提供数据主体访问请求进度查询、通过加密通道下载自己请求的个人数据（如知情权、查阅权、复制权、可携权等，都需要下载数据），也可以提交个人身份证明材料，更可以与企业内部团队进行IM即时通信沟通，以便相互了解诉求。这个隐私门户的特点是安全，便捷，交互性强，代替了通过邮件方式申请和响应数据权利的方式。

（8）安全网关

安全网关可提供数据主体认证、企业内部管理人员认证，为隐私管理平台和数据主体隐私门户建立安全的加密通道。

（9）企业数据库

企业数据库是指存放个人数据的相关生产业务数据库，或者数据仓库，可以是云上数据库，也可以是本地数据中心、机房里面的数据库。在做数据清单识别梳理时，已经对其进行识别。

数据主体访问请求的整体架构可以参加上图，下面介绍整个流程：

• 提交申请：数据主体进入企业隐私政策，找到“您的个人数据权利申请”章节，并点击“您的个人数据权利申请”按钮，跳转到Web表单，填写完相关信息后。企业隐私管理平台会收到对应的请求。

• 响应请求：收到请求后，隐私管理平台启动内部预设好的工作流程，由不同的团队进行响应。并向数据主体发送标准的响应邮件，表示数据主体的请求已经接收到。

• 处理请求：可以分两种，一种是自动化数据处理，一种是人工响应处理。

• 数据准备就绪：收集完所需的个人数据后，流程引擎触发一封邮件，将登录隐私门户的安全链接附在邮件中。企业可以调整打开链接次数，链接有效期的安全性设置。

• 用户获取数据：用户收到邮件后，点击安全链接，将要求提供OTP的验证码登录数据主体隐私门户。用户登录数据主体隐私门户即可发现数据已就绪，点击下载按钮时，隐私管理平台通过安全网关将个人数据传输到数据主体隐私门户，再通过加密传输通道下载到用户本地电脑。至此，一个完整的数据主体访问请求与响应就完成了。

• 数据环境清理：为了响应数据主体请求，上传到隐私管理平台中的个人数据，虽然有列级数据加密和脱敏保护，但也应该做好定期清理。特别当这个隐私管理平台是一个SaaS化的服务时。

6.事件响应管理（Incident Management）

个人数据泄露事件是各司法管辖区隐私法案所强调的重点内容之一，要求企业内部要建立良好的个人数据泄露事件计划（应急预案），并进行定期演练。在真的发生相关事件时，应启动计划，做好调查、抑制、处理、溯源、取证和通知工作。最重要的是根据事件严重程度判断是否对数据主体的权利、自由和其他权益造成高风险，从而判断是否通知数据主体。

隐私管理平台在事件响应管理中提供了建立事件响应组织、事件类型自定义、事件调查（评估）问卷、事件发生情况记录、事件处理内部工作流、事件报告生成和事件通知内容设置等相关功能，可协助企业更好地完成整个事件的生命周期管理。

持续运营阶段

实施构建阶段完成后，我们企业已经具备个人数据与隐私管理的基础框架了，接下来更重要是做好体系化的运营工作，确保每一个环节能够顺畅运作。持续运营，关注持续变化识别，以及各个相关方的交互。

1.持续的变化识别

根据前面提到的数据安全与隐私保护框架的识别模块要求，我们应该持续对法律合规、业务状况、数据状况、商业环境、生态合作和安全风险进行持续的识别，发现变更后，应该及时更新隐私管理的各项清单内容。

法律法规持续跟踪：法律法规的变化监控，有监控及时性低、法律有效解读慢、条款专业性强的特点，如果单靠企业的隐私团队和法务团队完成监控，效率低也不准确。目前国外较先进的实践是通过聚集数据合规法律顾问专家，共同监控全球最新的数据法律法规最新动向，并提供快速、准确的法律法规解读和翻译服务，使企业隐私团队和法务团队能够第一时间知悉世界上的数据合规动态。

图片来源：OneTrust DataGuidance

系统资产持续监控：应在企业内部建立系统资产更新维护的程序，利用好CMDB、HIDS和资产暴露面管理系统，定期输出更新清单。

数据资产持续监控：企业应定期进行数据分类分级的运营服务，定期对数据资产的变更进行增量扫描，持续识别企业新增的个人数据，并形成清单。

2.数据主体交互

数据主体的交互，主要是做好隐私通知、权利响应，维护好权利响应和投诉举报渠道。另外，对企业客服人员做好相应的培训也是至关重要的，他们是企业对外的窗口，专业的用语，统一的话术，没有歧义的指引都会让用户拥有宾至如归的感觉。

尊重用户的隐私，为用户披露更多企业的隐私实践（例如数据保护影响评估报告、SOC 2报告、ISO认证），可以大大增强用户对于企业的隐私信心。

可以在企业官网做一些安全与隐私的宣传教育，使用户在使用企业产品的时候，知道怎么设置好账号的安全性，防范警惕电信诈骗等。另外，定期改密短信以及2FA绑定提醒，都是有效的交互方式。

3.监管机构交互

监管机构的良好交互是确保我们不会收到巨额罚单的重要前提。企业应该维护好沟通联络渠道，企业要获得业务开展范围内各司法管辖区的监管机构联系方式，设法取得联系。企业应能及时获悉监管最新动向，按要求做好隐私认证、测评工作。企业的DPO应该在隐私政策中公布联系方式，让监管机构能找到对应负责人。同样，可以在隐私政策中披露更多企业的隐私实践（例如数据保护影响评估报告、SOC 2报告、ISO认证）。

在企业不能确定隐私实践是否合规时，应该向监管机构事先咨询，征得明确的回复后，再进行相应的数据处理活动。

数据跨境传输时，应按当地司法管辖区隐私法案要求，做好监管机构的审批工作。

数据泄露事件发生时，应按数据泄露响应计划，通知到监管机构。

4.供应商（数据处理者）交互

企业应建立良好的供应商安全管理流程，在引入供应商的时候做好尽职调查，对供应商的资质和能力做好充分的评估。签署合同前，要做好数据处理协议的签署，明确双方的责任义务，确立数据权利响应的分工，提出应急演练协同和定期供应商审计的要求。特别要关注的是SDK/API收集数据的实际情况，建立良好的合作方式，共同解决问题。

5.员工交互

员工交互应该把握几个关键点，包括明确责任、建立DPO机制、入职离职、安全培训宣贯、奖惩管理、协议管理、沟通管理等方面。这些工作机制，大部分应该与企业的人力资源部门做好沟通，将对员工安全的管理措施融入到企业的员工管理制度中。

在企业内部建立安全与隐私文化氛围是各项工作推动落地的重要基础工作，企业可以建立信息安全培训体系，通过不同的载体、以不同的形式、把不同的培训内容呈现给不同岗位的员工，建立内容管理、讲师管理、需求管理等体系管理工作，持续不断输出培训宣贯内容，潜移默化地提高员工的安全与隐私意识、技能。有兴趣的朋友可以阅读笔者编写的《唯品会信息安全培训体系》和《信息安全宣传动画制作的艺术》两篇文章，为提升企业信息安全与隐私水平提供参考。

写在最后

中国个人信息保护法出台时间虽然较晚，但好处在于全球已经有不少的优秀解决方案供我们学习参考，我们在前人的基础上可以更快、更好地建立企业的个人数据与隐私保护体系。本文向各位介绍了全球领先的隐私科技产品架构和实现思路，为企业做好隐私保护提供借鉴与参考。相信未来随着国内更多的安全人才和安全厂商转换赛道到隐私保护领域后，国内的隐私科技产品能走出一条具备中国特色的创新道路，为企业提供更好的个人数据和隐私保护能力，也能为数据主体提供更人性化的隐私体验。隐私保护，未来可期！

齐心抗疫 与你同在