隐私治理是一个非常庞大的话题，目前国内的个人信息和隐私保护主要偏重于合规层面的执法行动应对，而缺乏企业层面的治理活动。隐私保护执法工作就像抽盲盒一样，每次被监管处罚的内容都不尽相同，使不少从事隐私保护的安全和法律工作者都在感叹：“何时才能凑齐一套盲盒系列？”

如果企业一直跟着监管跑，那隐私保护工作就是只见树木不见森林，终究没有办法从根源解决隐私保护的问题。纵观中国信息安全发展历程，等级保护工作的发展路径有着不错的参考价值，等保工作一开始是出台《信息安全等级保护管理办法》和相关系列标准，让企业逐渐了解该项合规工作的背景和目的，后续就依靠公安部门的强制力做备案和测评工作。当年企业为了应对等级保护的合规要求，一开始也是哪里有问题补哪里，哪里缺设备就买设备，哪里缺制度就补个文档，过了几年以后，信息安全的提升不是很大。其主要问题是企业没有体系化去落实设备运维运营，制度流程也没有真正落地。近几年，整个安全行业的意识和行动指南基本健全，都明白体系化、实战化、常态化、PDCA和运营有效性监测是做好安全的重要思路，逐渐地，等级保护的标准已经相对弱化成一条“及格线”，大家也不会强调过等保是一个多么优秀的事情，一切都已经顺其自然。

让我们回到隐私保护上，目前国家出台的一系列网安法、数安法、个保法及相关配套标准指南，为的也是“提意识”，App隐私保护执法行动就相当于“等保测评”，App整改就是当年的各种买设备、补文档。难道我们还要重新走一次“等保”老路才懂得如何把隐私保护做好？显然我们应该以史为鉴，吸取教训，让隐私保护的路走得更顺畅。

我们提到的信息安全体系化、实战化、常态化、PDCA和运营有效性监测等切实提升安全水位的实战做法，其实是安全治理的重要工作域，这些思路完全可以重新应用到隐私保护的工作上。安全治理建设的核心思路是借鉴GRC框架（治理、风险和法规合规（Governance，Risk & Compliance，以下简称“GRC”）），其核心是帮助组织实现信息技术与业务目标的结合，同时管理风险并满足法规遵循要求。

隐私治理的内涵是建立一套与业务目标保持一致，形成评估、指导和监督活动，建立有效的组织形式、制度流程和内控内审等管理机制，在信息生命周期中实施和交付具体的控制措施，并进行不断的监控和评价，达到持续改进和提升隐私水平的目标。下面我们来谈谈隐私治理如何在企业中逐步落实。

关于信息安全与隐私如何实现关联和融合，我建议企业应该建立一个隐私保护框架，并识别各类数据隐私合规要求，通过以不变应万变的方式，做好数据合规工作。下面为大家介绍框架搭建思路。

（1）以不变应万变，建设多标准融合的隐私保护框架

有信息安全管理体系规划设计经验的同行应该知道，多标准融合是信息安全管理体系成功落地运行的必然之举，如果一个企业为了满足蜂拥而至的监管合规要求，而“造”出多套管理制度应对，对企业而言无疑是一场灾难。对于个人数据与隐私保护管理体系搭建也一样道理，应该时刻强调体系具备全球地区适配性、多标准融合性与高度互操作性。

一个优秀的安全体系框架是安全管理体系的基石，而合理的框架搭建流程，是保障框架与适应企业环境的关键。个人数据与隐私保护框架的搭建流程，参考《ISACA Journal丨隐私框架甄选和采用指南》的文章，大概可以分为以下几步：

1)识别框架：识别全球知名的隐私保护框架（例如NIST Privacy Framework、ISO 27701、ISO 29100、GAPP等），了解各个框架的侧重点。考虑与网络安全或信息安全框架的融合性与互操作性；

2)综合考量：由合适的角色（安全、法务、合规、风控、业务、人力）共同对个人数据与隐私保护框架进行现状、业务影响、效益和全球合规遵从的综合考量，得出甄选框架的原则和需求。

3)甄选评估：了解企业需遵从的合规要求、企业业务目标、利益相关方要求、企业希望通过的隐私认证。同时，根据企业目前的网络安全或信息安全框架情况，选择具备安全-隐私高互操作性的框架。最后，应根据企业业务服务范围内各司法管辖区相关法律、标准来调整框架内容。

4)框架集成：个人数据与隐私保护框架应与网络安全/信息安全/数据安全框架进行有效集成，使他们之间具备互操作性。例如组织已通过ISO 27001，那就应该在ISO 27001的基础上完成隐私内容的集成，制定需优化和补充的体系文件，按项目管理方式去推动落实和优化。

（2）数据安全与隐私保护框架分享

下面分享一下笔者在数据安全与隐私保护框架搭建的实践，如何将隐私治理在企业中进行构建。数据安全与隐私保护框架根据NIST Privacy Framework、SOC 2、ISO 27701、ISO 29151、ISO 27550、DSMM、个人信息安全规范等国内外知名的标准框架，通过融标操作构建了数据安全与隐私保护框架。

为什么数据安全与隐私保护框架要进行集成呢？数据安全与隐私保护对企业合规来讲，是相互依存，互相成就的关系。数据安全是基础保障工程，隐私保护是品牌价值体现。品牌价值体现的典型案例就是苹果公司，苹果公司在一则苹果手机宣传广告中突出表现了用户可以随时关闭各类应用程序对手机的跟踪，这种做法表明苹果公司已经把隐私作为品牌的一个核心竞争要素了。如果没有数据安全，即使企业隐私做到再漂亮，也是于事无补的。无休止的数据泄露，企业更快的自动化数据主体权利响应，带来的只会是无休止的数据删除权和数据可携权的行权，只会加速企业个人数据流失，最终面临倒闭的局面。没有隐私保护的数据安全，就相当于内在价值没有得到充分的展现，而且将面临严峻的合规挑战和司法诉讼。

笔者的数据安全与隐私保护框架，分为5个模块，分别是识别、治理、保护、交互与内控。

1)识别模块：是整个框架运行的开端，通过对法律法规、业务状况、数据状况、商业环境、生态合作和安全风险进行持续的识别，充分了解企业的各类底数台账，是做好数据安全与隐私保护的第一步。

2)治理模块：治理模块是框架的底座，也是任何体系的基础。第一是做好组织建设，将组织数据隐私职责进行明确定义，通过高层给予隐私承诺，以数据与隐私接口人（Business Champion）机制落实相关制度流程，保持组织内部流畅的沟通渠道。第二是数据安全与隐私保护法规融合，搭建管理体系的四层制度文件体系，为管理合规留存执行记录证据。第三是建立数据安全与隐私保护的风险管理计划、通过风险评估识别风险、定义组织风险承受能力和风险偏好，同时应该与企业的风险管理框架进行合理衔接。第四是落实数据安全的运营管理职责，执行数据安全策略运营、监控预警、应急处置和账密管控。最后是建立高层级的监视审查机制，通过数据隐私监审程序为内控模块的各项措施执行提供上层政策依据，对异常数据接收、数据主体权利响应和环境因素变化等主要环节进行持续监视。

3)保护模块：保护模块融合了传统网络安全和信息安全的身份管理和访问控制、通用安全控制。在数据安全方面，则从企业的生产环境和办公环境分别搭建安全控制措施，生产环境依据DSMM的数据安全生命周期建设控制点，办公环境则根据实际情况落实从对应的安全管控措施，最终达到生产和办公环境数据安全的协同管控。在隐私保护方面，最重要是将基于默认和设计的隐私（Privacy by Design）嵌入到企业的产品研发流程中，可以是敏捷的DevSecOps，也可以是偏传统的SDL。关于如何实施Privacy by Design，有兴趣的读者可以阅读笔者的诸子项目文章《诸子项目-Privacy By Design最佳实践调研分析报告》进一步了解。

4)交互模块：该模块是隐私保护所特有的交互特性，会罚你（监管）、告你（员工）、坑你（供应商）和投诉你（用户）的各类相关方，都应建立安全控制机制。监管机构方面，应保持双向的顺畅沟通，跨境传输做好相应的审批，数据泄露做到通知义务，定期向监管披露隐私情况报告，增强企业责任感。客户（数据主体）方面，应完善隐私的通知、告知、投诉与沟通渠道，做好客户同意管理和主体权利响应管理，提升客户体验。供应商（数据处理者）方面，则应该落实尽职调查、界定双方责任义务、做到定期审计稽核，保持数据事件应急响应联动机制的有效性，做好SDK和API的相关资产管理，并保持良好的沟通。员工方面，应明确职责，做好入离职管理、培训宣贯、奖惩管理、沟通管理、协议管理。最重要的是设置好DPO机制，为数据主体和监管机构搭建一个专业有效的沟通联络点。

5)内控模块：内控是管理体系PDCA戴明环里面的Check与Action。主要是对管理体系运行效果进行评估、检查、验证、审计，获取外部机构认可和专业资质认证，通过持续的预防措施和整改纠正行动来持续改进。内控模块应与网络安全或信息安全管理体系进行有效融合和衔接。

完成数据安全与隐私保护框架搭建后，要建立可落地执行的管理体系文件。根据ISO 27701的最佳实践，应该将隐私要求嵌入信息安全要求内，将原ISO 27001信息安全管理体系，变成“信息安全与隐私管理体系”。即数据安全与隐私管理体系文件应该与已搭建好的信息安全管理体系进行深度融合，具备互操作性，将数据安全与隐私控制要求加入原有体系中，然后根据各司法管辖区的法律（各国隐私保护法案）和标准要求进行制度、规范、程序的扩充。最后，记录清单宜通过自动化平台进行证据留存。

在企业中，如何将隐私管理流程嵌入到企业已有流程中，我从供应链管理的全链路隐私嵌入方面为大家分享一个例子。

在企业供应链安全管理过程中，通常会存在立项评审、供应商尽职调查、产品服务采购、合同签订、供应商绩效评价、合同结束等管理节点，隐私保护可以在每一个节点实现管控流程的嵌入。

（1）立项评审

项目、产品或服务在企业中研发或采购，大多数情况下会有立项流程，以讨论项目的可行性、必要性（含是否存在重复建设）、安全风险、合规风险和成本效益。通常在信息安全管理中，会参与到立项评审过程中，以判断项目或者产品服务供应商是否存在安全风险，以及提供一定安全管控措施后，残余风险是否能接受。在这个环节中，隐私保护的数据合规评审项可以嵌入到立项评审流程中。在正式进入立项评审环节前，我们要求项目团队或采购申请部门按照技术评审方案模板编制一份立项申请书，并要求提交到企业OA流程中，隐私负责人应该具备一个审批节点，对立项申请书内容进行确认或质疑。

立项申请书涉及数据隐私方面的主要内容基本与一次隐私影响评估（PIA）或数据保护影响评估（DPIA）较为相似，有条件的企业可以在此做深度整合，没有条件的企业可以先做简版的评审，立项申请书的主要内容建议包含以下方面：

a)业务逻辑架构：描述该项目、产品或服务的业务架构，业务模块和连接关系，标识数据流转情况；

b)技术架构：提供系统架构图，描述项目、产品或服务的技术栈和框架，基础设施构成情况，数据库和存储技术；

c)数据使用情况：数据类型

1)数据处理活动描述；

2)可能涉及的个人数据字段；

3)与公司数仓、大数据平台、数据库等的数据关系（数据生产、消费、共享等关系）；

4)是否涉及对外数据共享交换；

5)数据共享方式（如API、数据库读库、Kafka推送、文件共享等）；

6)是否涉及数据跨境传输；

7)数据接收方基本信息，如企业所在地理位置/国家/地区；

8)是否涉及人工智能或机器学习等的自动化决策程序算法，描述大致的业务与算法逻辑。

d)网络安全保障措施：描述本产品/服务将具备的安全控制措施，可以从意向供应商（可能是三家以上的供应商）的安全认证证书（SOC 2报告、ISO 27001、NIST CSF报告等）、身份认证（是否与本企业IAM集成）、访问控制（权限最小化、权限职责分离）、防病毒、防入侵（云基础设施的网络安全措施）、研发安全生命周期（SDL）、数据隐私保护、数据加密（存储加密、传输加密）、数据脱敏、数据水印、文件下载/导出控制、安全审计、第三方供应商安全管理、应急响应等方面进行安全架构描述。

（2）供应商尽职调查

不少管理体系较为完善的企业都会在供应商管理和采购管理流程中要求对供应商实施尽职调查工作，尽职调查一般涉及基本的供应商企业实体信息、企业运营情况、财务状况、声誉风险、制裁情况、安全风险、质量管理等相关内容。在全球对数据隐私合规要求越来越强的当下，数据隐私的相关尽调项也应该同步加入到尽调清单里面，确保尽调的完整性。

隐私尽调项建议如下：

a)数据处理活动描述；

b)需处理的个人数据字段列表；

c)信息安全与隐私认证证书或SOC 2报告；

d)隐私制度流程（可以具体根据ISO 27701进行提问，重点关注隐私政策、数据泄露与响应，数据保留与销毁，个人数据权利响应，BCP/DRP，备份恢复，应用安全流程，市场营销隐私措施）；

e)隐私技术管控措施（包括数据分类分级情况、存储&传输的加密措施，身份管理、DLP、数据销毁技术、脱敏等等）

（3）产品服务采购

在产品服务正式采购环节，重点项目一般会举行招投标活动，我们可以将安全与隐私的答辩环节写紧企业的采购制度中，安全或法务部门参加涉及较高安全隐私风险的采购答辩会议，对供应商发起现场提问，对于答辩过程中存在的安全隐私风险，应当场提出并列入合作备忘录中，要求供应商作出书面的明确答复。

（4）合同签订

企业一般已经建立合同的OA流程，一般法务部门都会对合同进行审查。在这个流程中，我们应该将签订数据处理协议（DPA）的节点进行嵌入。我们可以在合同流程中加入一个选项，“该合同/协议是否涉及个人数据处理”，如果涉及，则应该由隐私责任部门进行DPA的起草和协商，并且该节点为不可跳过的节点。随着我国对数据跨境的合规要求逐渐增强，新增的涉及数据跨境的合作项目，如果达到合规触发条件时，也应该完成数据跨境的备案工作。

数据处理协议（DPA）能够快速地在合同签署环节进行签订的前提是企业已经具备符合各司法管辖区的DPA模板，例如符合中国个保法的DPA，符合欧盟GDPR的DPA等等，我们应该根据实际的数据处理活动对DPA进行修改，以符合当地的法律法规。

（5）供应商绩效评价

供应商绩效评价是供应商管理的重要环节，应当定期或项目结束时对供应商的交付情况进行评审。隐私方面的评审主要聚焦在供应商是否已按照数据处理协议（DPA）和合同要求（含SLA满足情况）对个人数据进行了充足的保护。

（6）合同结束

在合同结束时，应该按照数据处理协议（DPA）的要求，除当地法律法规必要保留的数据外，应对个人数据进行返还、删除或销毁，并要求供应商提供相关证据。

如果我们要让企业理解隐私的价值，首先我们要明白隐私到底是什么。最简明扼要的定义在中国民法典是这么表述的：“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。其次，我们要明白企业当中的业务（服务或产品），是如何对用户的隐私进行侵犯的，要理解这个过程，我们可以借助隐私影响评估（PIA）来分析和推导，得出企业的业务（产品服务）如何侵害用户隐私的结论。继而，我们将这个结论通过多个维度进行分析，阐述清楚这些侵害用户隐私行为会对企业带来如何的影响，包括企业生产经营、声誉、商誉、App下架、经济损失、客户流失、监管处罚等等，如果可以通过经济指标进行量化分析就更为充分了。最后，我们可以从正面价值进行分析，通过举例子、引权威、列数据等方法来体现隐私价值。例如，倘若我们企业隐私做好了，我们是否可以得到更多的客户青睐，是否可以将隐私这个核心卖点作为品牌的一个核心价值，是否可以实现更进一步的营收增加，这个步骤可以用举例子的方式来描述，例如Apple、Google、Amazon等世界巨头企业，抑或国内的华为、OPPO、小米、字节跳动等隐私倡导者都通过重视隐私保护的行动已经获得不错的品牌效应。引用权威数据也同样值得我们思考，例如每年“南都个人信息保护课题组”都会为我们提供中国个人信息保护的相关统计数据，我们可以适当引用权威机构数据作为重要的隐私价值支撑。我们更可以进一步分析这些隐私倡导者是如何在市场上进行隐私保护理念推广宣传从而获得这样的品牌效应从而促进企业发展的。通过上面这几个步骤向企业管理层展示汇报隐私重要性，相信应该可以与管理层看问题的角度达到同频共振的效果，从而事半功倍。

通过这几个步骤的分析，我们可以将隐私的来龙去脉，以及对企业的影响和收益讲得比较清楚了。至于管理层是否愿意在这里面进行投入，我认为与具体的行业和产品形态有莫大关系，需要具体情况具体分析了。

痛点2：安全部门在企业的影响力不高

有不少同行指出，不少企业目前连信息安全都做不到强影响力，更不要谈隐私保护了。这可能与信息安全部门、法务合规部门本身在企业中的所在地位和职权有关，特别是成立时间较长的企业，可能一下子无法从根本扭转局面。不过，无论信息安全还是隐私保护工作，他们都是需要企业在组织建设上形成一定高度和层次才能做好的工作，部门所处层级偏低，的确会给信息安全与隐私带来很多推动上的不便。企业安全负责人可以先考虑将隐私价值做汇报，使企业管理层了解到隐私保护重要性，并应该期望能成立一个信息安全与隐私保护的相关虚拟组织，这可以是委员会、专班、小组等组织形式。正所谓人多力量大，这个虚拟组织应该将涉及隐私保护的相关职能部门都囊括在内，包括法务部门、合规部门、风控部门、内审部门、信息安全部门、人力资源部门、业务部门、数据部门、研发部门等等，并建立安全隐私接口人机制（又叫Security and Privacy Champion），争取通过该虚拟组织对隐私保护的价值、方法论、合规要求、落地实践进行宣贯落实，并在有监督的情况下持续运营。如果本身企业已经在信息安全管理体系上有类似组织，隐私保护应该充分复用该类组织，将隐私保护的额外职责、规范、流程融入到信息安全管理体系当中。

04

总结

本文通过从等级保护发展经验推演隐私保护的发展，并介绍了隐私治理的内涵、框架与具体落地实践，也为各位CSO、CPO和隐私从业者提供了一些如何在企业中彰显隐私价值和影响力的通用方法。但每个企业的具体业务情况、风险偏好与管理模式都不尽相同，笔者仅向各位分享自己的经验，希望读者可以从中找到一定的参考点，不当之处敬请批评斧正。其他详细和具体的隐私治理和隐私设计落地实践方法，建议大家可以阅读笔者之前发布的文章《百家 | 探索隐私保护数字化解决方案》以及最近发布的诸子项目《诸子项目-Privacy By Design最佳实践调研分析报告》。