我国隐私工程体系建设架构参考

1. 蚂蚁：技术驱动的i-ABC隐私工程体系

“i-ABC”是基于满足监管要求、提升用户隐私安全感、助力业务持续发展等诉求提出的隐私工程数字化的管理体系，将融合了法规影响、监管影响、用户影响的隐私专家经验直接投射于产品设计、代码研发、应用部署、数据链路调用、信息存储、算法推荐，在系统层面构建隐私影响评估、风险监测识别、风险快速处置、隐私管控策略动态调整的体系化能力，和结合行业态势发展、新技术应用的快速洞察分析能力。

来源：蚂蚁科技集团股份有限公司

图 1 技术驱动的i-ABC隐私工程体系

如图1所示为技术驱动的i-ABC隐私工程体系，由4个域组成，以实现对个人信息全生命周期与企业运营全流程的整体管控。其中，“i”指隐私水位洞察（Privacy Level Insight）、“A”指隐私影响评估（Privacy Impact Assessment）、“B”指个人信息处理数字化记录（Personal Information Book）、“C”是指隐私风险监测（Privacy Risk Control）。

隐私水位洞察的核心是隐私合规基线的数字化，通过对于内外部的数据和信息进行分析，制定相关业务或产品的隐私合规基线，在此基础上对实际管控水位和管控效果进行跟踪和分析。隐私合规基线的设置可综合考量风险维度、业务表现、用户感受、行业水位四个维度。设置合适的隐私合规基线应当做到对监管立法执法、行业动态进行及时感知和分析，通过用户分析、投诉等信息构建用户隐私感模型，以及对企业内各业务风险域的隐私水位进行标准量化管理及数据化分析。

隐私影响评估包括事前评估和实际链路管控，将传统意义上的专家隐私风险评估与生产系统的实际落地结合起来，保证评估的内容能够切实地落地和执行。其中，事前评估旨在针对某一种数据处理活动的需要，结合业务场景、业务性质、获取范围和处理目的，就数据处理活动对自然人的权利和自由产生风险的可能性进行事前的准入评估。实际链路管控是指企业在依据隐私合规基线进行隐私影响评估后，形成系统链路可执行的策略，理清相关数据处理活动涉及的所有业务场景和生产链路，明确具体的管控卡点，即策略可以生效的系统节点。

个人信息处理活动记录包括个人信息档案（业务事实）和个人信息保护措施档案（隐私管控记录）。个人信息档案将应用系统、数据链路中等各处涉及个人信息授权、使用、共享的相关的记录进行索引聚合，通过业务视图的转义，还原为业务事实档案。个人信息保护措施档案则记录了企业日常隐私管控的相关动作，如PIA记录、风险发现处置记录等。个人信息处理活动记录的核心职责是在个人信息去标识化的基础上，将个人信息在企业全业务流程中的流动、评估、管控记录完整还原，形成个人信息账本，做到个人信息使用“有依据、有记录、可追溯”，以满足监管检查和诉讼应对的自证、内外部审计和风险管理的需要。

隐私风险监测是指对个人信息风险进行全面的预警和治理，做到“早发现、早治理”。其核心逻辑是通过对比业务事实行为与结构化后的合法依据发现隐私风险。隐私风险监测包括建立外部情报与隐私风险排查联动的响应和处置机制，根据业务和行业水位的变化快速部署隐私风险监测规则，主动进行风险巡检并对隐私工作提供后督能力支撑。

2. 阿里：隐私保护与业务效益正和的隐私工程框架

隐私和数据保护需求应该从用户数据被采集开始就嵌入到系统和业务设计中，并扩展至个人信息处理活动的全生命周期。为提供数据采集、生产、存储、传输、使用、共享、删除全程的个人隐私保护，阿里设计了隐私保护与业务效益正和的隐私工程框架。

来源：阿里巴巴（中国）有限公司

图 2 阿里巴巴隐私工程框架

如图2所示，为保护个人隐私权益、符合监管要求，企业需要同时采用管理手段和技术手段。阿里基于法律法规、制度流程指导隐私设计，同时使用技术和工程能力将隐私合规保护原则和策略进行具象化的系统实现。

在进行隐私合规管理时，首先要对法律法规和监管政策进行研究解读，并结合企业实际需要，制定符合业务的企业制度规范和贴合业务场景的合规原则。其次，通过组织建设将相关隐私合规权责分配到特定团队和个人，并设计相应到的流程和场景合规方案，将制度规范原则具象化。在建立好相应制度、规范、流程、工具能力后，进行教育宣导和员工培训，建设企业隐私文化。

在隐私合规具象化的过程中，需要通过技术和工程能力将合规流程和方案进行系统化。阿里通过研究开发数据分类分级识别、数据血缘追踪、流通规则引擎、可信数据空间等数据合规审控工具，以及差分隐私、联合分析、安全多方计算等隐私计算技术，实现了图2中个人信息处理活动各环节的合规管控策略，以支持个人隐私风险的识别、分析、预警、审计和治理。

以上隐私合规工程框架的落地，在保障个人信息权益、履行企业责任义务的同时，还实现了风险精细化管控，降低了隐私合规成本，如隐私合规专家进行隐私影响评估和场景合规评估的人力和时间成本、不合适的隐私合规策略或解决方案导致的数据可用性损耗等。以内部数据流通场景为例，阿里设计并实现了基于数据识别及分类分级、合规规则引擎、风险审计和平台合作协议的数据流通风险管控系统（如图3），对企业内部流通个人信息时的隐私风险进行针对性的风险管控。

来源：阿里巴巴（中国）有限公司

图 3 数据流通隐私合规风险精细化管控系统

数据识别系统可以自动化识别个人信息并对其进行分类分级，以便在内部数据流通过程中高效识别刻画个人信息，并基于其敏感等级进行分层保护。基于维度属性设计的数据分类及分类对应的数据风险等级，不仅能对敏感个人信息进行单独分类和标记，还做到了贴合实际业务场景。此外，阿里还设计了数据升降级模型，解析数据处理逻辑及数据血缘，对个人信息的等级进行动态识别校准。

数据分类分级识别的结果将作为数据内容的属性输入到合规规则引擎中。合规规则引擎对企业内部的数据流通行为或场景进行结构化的描述，而隐私合规专家可以基于结构化语言描述数据流通过程中的合规规则，定义数据合规流通策略及支持其流通的合规依据。当数据在企业内部流转时，阿里将调用合规规则引擎中预先定义的合规规则，对预置的有合规依据且隐私安全风险可控的个人信息内部流通行为自动放行，对无合规依据、有隐私合规风险的个人信息共享行为进行自动阻断，从而减少需要隐私合规专家人工介入评估的工作量，以提高流通效率。

当合规规则引擎反馈需要人工介入评估或管理风险时，隐私合规专家将介入进行隐私影响评估，并设计相应的合规解决方案，如签署相应的协议以作为本次数据流通或共享的合规依据，或设计相应的数据共享技术方案或隐私合规管控策略保障个人信息权益。此外，隐私合规专家还可以通过合规审计看板进行隐私合规风险排查和追溯，合规审计看板还将作为企业履行个人信息权益保障义务的自证工具。

通过数据识别及合规规则的预定义，以上方案提供了系统化的隐私影响评估能力，减少了大量的人工评估工作量。同时，还可以让隐私合规专家对高风险的个人隐私数据共享行为进行针对性识别和管控，以快速发现数据流通中的隐私合规风险，保障个人信息权益。

3. OPPO：将隐私设计要求落实到产品全生命周期中

OPPO作为手机厂商及互联网应用平台方，结合自身业务特点逐步建立了一套隐私工程的实践（如图4）。在体系建设过程中，OPPO关注消费者、业务部门、三方合作方、监管部门等几个关联方的安全隐私需求。通过行业洞察与消费者调研掌握行业动态及消费者需求，通过培训与宣传提升人员的安全能力与意识，通过产品安全隐私特性打造来提升产品的安全隐私体验，提升产品的安全隐私竞争力。最后，OPPO还建立了检测与评价机制，对安全体系进行及时评测，发现问题及时纠正和改进，最终建立一套自证合规的体系。

来源：OPPO

图 4 OPPO隐私工程实践框架

在组织建设方面，OPPO建立安全隐私“三道防线”，协同推进安全隐私工作落地。第一道防线，由业务部门安全与隐私合规代表或安全系统工程师构成，主要向业务负责人及安全与合规委员会汇报，负责产品安全隐私策略的具体落地应用、自查自纠等。第二道防线，由专职的安全隐私部门构成，主要向安全与合规委员会汇报，负责安全隐私能力的建设与支持、推动产品安全隐私策略的落地。第三道防线，由审计部门担任，主要向安全与合规委员会汇报，负责产品安全隐私策略落地的审计，发现风险，推动业务整改。OPPO同时建立清晰的问责机制，督促各级部门履行自己的职责，在发生违规情形时，将由公司进行对应的问责处置。

在流程制度方面，OPPO坚持将隐私保护落实到产品需求、设计、开发、运营的整个生命周期中，实践PbD要求。在产品需求设计阶段，所有新增或变更个人信息处理活动都需要完成安全与隐私合规评审。只有通过安全与隐私合规评审的需求设计方案才能进入开发流程。在产品开发过程中，开发人员应遵循企业内部的开发编码规范和安全算法使用规范。在产品上线之前，涉及个人信息处理的产品需额外通过专项合规测试和复核，确保产品实现满足最新的个人信息保护合规要求。在整个过程中，安全隐私专业团队负责把控关键节点，并持续推动合规标准更新和落实。

为了确保公司从管理层到普通员工均熟知OPPO对用户数据保护的承诺及具体要求，OPPO定期组织全公司范围的课程学习、测验，由安全隐私专业团队进行专业培训，并将测试通过情况纳入考核指标。

在技术工具方面，OPPO创建了可靠、可信、智能化的数据安全防御体系，运用AI、大数据等新技术，实现智能化云安全防护能力，并将安全与隐私活动贯穿产品全生命周期。同时，OPPO在安全隐私检测技术上取得了一系列突破，通过安全与隐私合规检测推动合规要求的切实执行，为用户建立稳固的安全防线。

在用户体验方面，OPPO主动打造产品安全隐私特性，提升用户信任。在安全隐私特性设计和优化过程中，OPPO将用户的参与感、掌控感、以及功能使用的便捷性、可靠性也纳入考量，给予用户更强的安全感。通过持续优化及打造产品安全隐私能力，给用户提供更好的安全隐私体验。

4. Amber Group：融合数据安全与隐私保护的综合治理框架

Amber Group数据安全与隐私保护框架（如图5）是以NIST隐私框架为基础，融合数据安全能力成熟度模型要求（DSMM）、SOC 2和ISO信息安全与隐私信息管理体系（ISO 27001/27701/29151），并结合PbD和先进云原生DLP技术能力，形成的具有Web3和数字资产领域隐私保护特色的综合性框架。该框架通过将Privacy by Design & Default嵌入DevSecOps的产品研发流程当中，使产品研发过程尽早考虑隐私保护，达到“安全与隐私左移”的目标，以防范组织内部数据滥用、数据误用、数据泄漏等隐私合规风险。

来源：Amber Group

图 5 Amber Group数据安全与隐私保护框架

数据安全与隐私保护框架共分为5个模块，分别是识别、治理、保护、交互与内控。

识别模块是整个框架运行的开端，通过对法律法规、业务状况、数据状况、商业环境、生态合作和安全风险进行持续识别，充分了解企业的各类底数台账，是数据安全与隐私保护框架运行的先导条件。

治理模块是框架的底座，也是任何体系的基础。一是完善组织建设，将组织数据隐私职责进行明确定义，通过高层给予隐私承诺，以数据与隐私接口人机制落实相关制度流程，保持组织内部流畅的沟通渠道。二是数据安全与隐私保护法规融合，搭建管理体系制度与流程文件体系，为合规管理留存执行记录证据。三是建立数据安全与隐私保护的风险管理计划，通过风险评估识别风险，定义组织风险承受能力和风险偏好，同时与组织的风险管理框架进行合理衔接。四是落实数据安全的运营管理职责，执行数据安全策略运营、监控预警、应急处置和账密管控。最后是建立高层级的监视审查机制，通过数据隐私监审程序为内控模块的各项措施执行提供上层政策依据，对异常数据接收、数据主体权利响应和环境因素变化等主要环节进行持续监视。

保护模块融合了传统网络安全和信息安全的身份管理和访问控制、通用安全控制。在数据安全方面，从企业的生产环境和职场办公环境分别搭建安全控制措施。在隐私保护方面，将基于默认和设计的隐私嵌入到企业的产品研发流程中。

交互模块体现了隐私保护所特有的交互特性。在监管机构方面，应保持双向的顺畅沟通，做好跨境传输审批、数据泄露通知、定期向监管披露隐私情况报告等。在客户方面，应完善隐私的通知、告知、投诉与沟通渠道，做好客户同意管理和主体权利响应管理，提升客户体验。在供应商方面，则应该落实尽职调查、界定双方责任义务、做到定期审计稽核，保持数据事件应急响应联动机制的有效性，做好SDK和API的相关资产管理，并保持良好的沟通。在员工方面，应明确职责，做好入离职管理、培训宣贯、奖惩管理、沟通管理、协议管理。最重要的是设置好DPO机制，为数据主体和监管机构搭建一个专业有效的沟通联络点。

内控模块主要是对管理体系运行效果进行评估、检查、验证、审计，获取外部机构认可和专业资质认证，通过持续的预防措施和整改纠正行动来持续改进。内控模块应与网络安全或信息安全管理体系进行有效融合和衔接。