数据视角下的隐私合规

千呼万唤始出来，犹抱琵琶半遮面

2016年6月，通用数据保护条（GDPR）正式发布，其长臂管辖权对全球企业在隐私合规领域产生了深远的影响，在GDPR 5周年之际，截止2023年3月1日，GDPR累计罚款27.7亿欧元（Numbers and Figures | GDPR Enforcement Tracker Report 2022/2023 (cms.law)）。

2018年6月，美国加州立法机构颁布了CCPA，但颁布之后引发了很多争议，立法机构进行了多次修订，对多种场景进行了豁免。2年之后的2020年11月3日，加州选民绕过了立法机构投票通过了第24号提案，也就是《2020年加州隐私权法》（CPRA），对CCPA做了很多实质性的修订，并创建了一个独立的数据监管机构——加利福尼亚隐私保护局，有效地阻止了加州政府通过未来立法破坏这些变化。

2003年5月，日本通过个人信息保护法（APPI），并于2005年4月全面实施，是亚洲最早制订隐私合规立法的国家，立法者考虑到信息通信技术日新月异的发展，承诺每隔三年对该法进行一次修改，最新一次的大修订（2020年修订案将于2022年4月1日生效），增强了用户权利、加重了数据处理者的义务、扩大域外适用范围、加重了惩罚措施等条款。

截止2021年12月，全球已有137个国家对数据和隐私的保护进行了立法，数据处理活动需严格遵守相关国家的合规要求（Data Protection and Privacy Legislation Worldwide | UNCTAD）。

2021年11月1日，《中华人民共和国个人信息保护法》正式实施，拉开了中国的隐私合规的序幕，也为全球数字治理贡献的中国方案，配套的执行标准也在陆续出台，各行业也在出台行业性的相关标准，包括金融、汽车、医疗、智能终端、政务等（下面仅做部分举例）：

2020年10月1日起实施 GB/T 35273《信息安全技术 个人信息安全规范》

2020年2月13日起实施 JR/T 0171《个人金融信息保护技术规范》

2021年6月1日起实施 GB/T 39335《信息安全技术 个人信息安全影响评估指南》

2021年7月1日起实施 GB/T 39725《信息安全技术 健康医疗数据安全指南》

2022年9月1日起实施 《数据出境安全评估办法》

2023年5月1日起实施 YD/T 41871《信息安全技术 汽车数据处理安全要求》

2023年10月1日起实施 GB/T 42460《信息安全技术 个人信息去标识化效果评估指南》

2023年12月1日实施 GB/T 42574《信息安全技术 个人信息处理中告知和同意的实施指南》

...

但毕竟《中华人民共和国个人信息保护法》正式实施还不到2年，还有很多领域及行业的执行标准还有待细化，相关处罚也还比较少，犹抱琵琶半遮面，还有待时间去揭开他的全部面纱。本文并不从法律视角去解读各个场景的隐私合规要求，而是尝试用技术视角去看隐私合规的数据脉络。

轻拢慢捻抹复挑，初为霓裳后六幺

《中华人民共和国个人信息保护法》在框架层面几乎与国际个人信息保护通用原则全面接轨，差异点主要在每项义务的数据定义、场景认定、合规流程事项及罚则上，从大块来拆分数据处理者主要履行的义务有个人信息影响安全评估，处理活动记录，告知与同意，主体权利响应，个人信息保护，数据留存管理，第三方管理，数据泄漏响应等方面。

个人信息影响安全评估，个保法第55条，GDPR Article 35

处理活动记录，个保法第55条，GDPR Article 30

告知与同意，个保法第14条，GDPR Article 7

主体权利响应，个保法第四章，GDPR Article 15-21

数据留存管理，个保法第47条，GDPR Article 17

第三方管理，个保法第21条，GDPR Article 28

个人信息保护，个保法第51条，GDPR Article 35

数据泄漏响应，个保法第57条，GDPR Article 33-34

每一个主题本身都有非常多的合规点，比如个人信息影响安全评估过程中，可能会引入特殊场景，包括APP合规、数据出境、未成年人保护、自动化决策等，再比如数据留存管理，除了告知同意中的协议规定之外，还需要考虑行业规定综合判断数据留存期限，比如金融领域的反洗钱法规定客户身份资料在业务关系结束后、客户交易信息在交易结束后，应当至少保存五年，医疗领域的医疗机构病历管理规定住院病历，医院保管时间不得少于30年等。

隐私合规犹如一个三维象限，x是专题（如PIA、RoPA、Consent等），y是各国法规（如个保法、GDPR等），z是行业（如金融、汽车、医疗等），犹如一个魔方，拆来开每块积木，都有丰富的内涵，先挖个坑，未来再来专题讨论。

嘈嘈切切错杂弹，大珠小珠落玉盘

我们抛开每个专题的细节，探究各个主题的关联性。个人信息影响安全评估、处理活动记录、告知与同意、主体权利响应、个人权利保护、数据留存管理、第三方管理、数据泄漏响应这8个专题看似独立，他们犹如一个一个珠子独自散落，但内在有一根线将他们串联在一起，而这根线就是“数据”。

PIA&RoPA

PIA与RoPA有非常强的关联性，尤其在个保法第55，56条中，将两者放在一起规定，常规的实践中，我们会把RoPA作为PIA的前置步骤，也就是先梳理数据流转再来做PIA评估（RoPA->PIA）。但在国内实践PbD的过程中，有些企业会在RoPA之前加入一个“评估前的评估”，我们暂且把他称之为“前置评估”，它的出现主要有两个原因，第一不是所有的业务上线都需要进行RoPA记录，比如不涉及到个人数据的业务场景，轻量的“前置评估”，可以很好对业务分类，在PdD的前提下加快业务开展的同时减轻合规压力。第二RoPA的数据全生命周期梳理本身是比较耗时的，轻量的“前置评估”可以重点关注在采集和传输上，由业务来主导，完整的RoPA由合规来主导，能很好的平衡业务和合规压力。在这种实践的思路下，流程就变成“前置评估”->RoPA->PIA。无论采用哪种方式，都要结合企业实际的业务情况和管理水平来看，选择最优的方式，两种方式的落地，用九智汇的平台都能很好的支持。

前面谈到了PIA&RoPA的关联与落地，那来看看PIA&RoPA与其他合规事项的关系，PIA&RoPA都是在业务开展之前执行的，与后续的合规事项产生联动。

To 告知与同意，基于RoPA的变动及时联动告知的协议，及时变更。

To 主体权利响应，基于RoPA的存储信息及传输信息，制定权利响应的数据收集流程。

To 第三方管理，基于RoPA的引入（采集或传输）的第三方，管理第三方。

To 数据泄露响应，基于RoPA的存储信息及传输信息，评估可能的泄漏点及泄漏影响范围。

告知与同意

To 主体权利响应，取消同意也是主体权利响应的场景之一，基于撤回同意的协议，完成对对应数据的处置（删除/匿名化/停止使用）。

To 数据留存管理，基于适用法律法规要求及相关协议中约定的留存期限，来设置相关数据的留存策略。

To 个人信息保护，基于同意的记录，在访问控制层面，做到专数专用，匹配协议中采集的目的及同意的人群。

隐私合规完美的形态可能是打开任意一个数据，你都能知道他关联了哪个RoPA，场景，方式，目的，关联了哪个PIA，关联了哪个隐私协议，关联了哪些同意记录，关联了哪些实际使用场景，关联了哪些留存策略，关联了哪个数据主体，从而满足主体权利响应，第三方管理，数据留存管理，个人信息保护，数据泄漏响应的合规要求。

东船西舫悄无言，唯见江心秋月白

之前有位客户问了我们一个问题，隐私合规为什么要做数据治理？这篇文章是我们的一些思路，但是从落地角度是否一定要做，答案是不一定，每个企业的业务复杂度、合规压力、系统复杂度都不同，举个例子，比如工业企业的隐私合规，采集的个人信息以供应商及员工的个人信息为主，PIA和DSAR都可以轻量化的方式实现，以性价比最高的方式落地隐私合规义务。