隐私合规是数据安全中的一个重要部分,除了需要满足企业内部的数据安全要求之外,还需要满足所有适用的法律法规要求。对于隐私的定义,是指自然人享有的其个人事务、关系不被他人知悉的权利,以及免于被打扰或监视的权利。
通常我们这里所指的隐私主要是网络世界的隐私,这些隐私以数据为载体,所以也将其称为个人信息或个人数据。个人数据是已经识别出来的或者可以识别出来的跟自然人有关的任何数据。
已经识别出来的数据,是指可以唯一确定某个自然人的数据,如姓名、知名的网络ID、身份证号等。
可以识别出来的数据,是指不包含可直接确定某个自然人的数据,但通过已有的信息,经过分析或推理可以确定某个自然人的数据。
二、合规法律遵从目前已有N个国家和地区制定了隐私保护相关的法律,但我们并不是都需要去遵从的,对于这些法律法规而言:
首先,只有我们在相应的国家开展业务时,他们的法律法规才对我们生效,这对于国内很多公司来说,只需要关注极少数法律法规就可以了满足了。需要注意的是,如果提供的是网络服务,比如网站涉及不特定用户的注册访问,这可能就会涉及处理当地居民的个人数据。
第二,各国隐私保护相关法律法规的要求也在互相借鉴,所以大多数条款是相似或重复的,因此我们只需要按照相对严格的一部法规执行即可满足大多数合规要求,少量不一致的地方仅需所涉及的业务单个处理即可。
三、外规转内规外规转内规的第一步,需要将业务适用的最主要的外部法律法规、最佳实践框架进行分解重组,在分解重组时,将这些条款按领域拆分,然后归纳重组,去除重复项。例如,将所有角色定义类归为一组,所有数据生命周期类归为一组等等。这其实相当于一个整合所有法规的过程。
分解重组后,形成企业内部的合规基准,然后一切内部工作都基于这个合规基准开展。
接下来,需要将这些合规基准作为制定内部文件体系的输入,将合规基准中的要求,在内部文件体系中一一归位,例如将其归位到政策总纲、管理规定、内部标准、技术规范等。这其实相当于一个整合到内部文档的过程。
这个模式,在很大程度上避免了外部的强制要求没有内部的文件对应的风险。业务在合规改进的过程中,只需要找到自己领域对应的少量几份政策文件即可开展工作,提高了业务部门的效率。
同时,这个中间的桥梁需要根据外部的变化,如新的立法、新的实践、新的风险等,进行定期更新,作为其他一切隐私保护工作的输入。其实不仅仅是文件体系,整个隐私保护体系的工作开展,都可以基于这样的分解重组成果。
四、参考资料对于隐私保护的落地实施,可以参考博主的【隐私合规】专栏。