论大数据时代下组织内的隐私信息保护管理体系建设

组织实施隐私信息保护管理体系具有重大的意义。站在消费者的角度考虑，隐私保护管理体系的建立一方面可以切实 保护用户隐私；另一方面也可以让用户看到企业的数据道德。站在社会和监管的角度考虑，建立隐私保护管理体系既是企业 承担安全合规责任的要求；也是企业树立良好的自身形象所 需。对于组织内部而言，隐私保护管理体系的建设能够帮助企业树立全员安全责任意识，落实合规流程技术。最后，隐私保 护管理体系的建设降低了企业与关联方的数据之间的流动风 险，更有利于构建合作责任模型。由此可见，在组织内建立隐私信息保护管理体系是必要的。

如何在组织内开展隐私信息保护管理体系建设呢？体系 的建设首先要遵循法律法规的要求，在个人隐私保护方面可参 考GDPR，CCPA，ISO27701，个人信息安全法，网络安全法，我们需要从组织，流程，人员，技术四个方面来考虑。第一要管好组织：战略方面，需找到个人隐私合规与个人创新的平衡点；组织方面，要加强隐私合规团队能力建设，树立隐私合规团队权威；体系方面，要将隐私保护与信息安全充分融合。第二要管好流程：明确好全员职责与责任，定义清晰职责边界；灵活 运用PDCA，PIA，PBD 方法工具进行流程管控；通过制定精简高效的流程，快速捕捉核心风险。第三要管好人员：这涉及到组织安全文化建设，安全红线制定，以及安全意识教育；要营造可信，不做恶的企业文化，建立违规惩处底线机制，做到违规必究；加强全员信息安全意识，安全合规意识教育。第四要管好技术：使用代码扫描，渗透测试，隐私合规检测技术保证 软件安全；使用数据发现，数据流动监测，行为审计，DLP 技术保证数据安全；隐私保护方面要充分运用隐私工程技术标准，PBD 创新与赋能技术。对技术的管控最终要落到项目研发出的产品上，也就是大数据时代下，涉及到用户个人信息采集使用的应用产品。组织内对于此类应用产品的隐私保护设计也是组织隐私保护管理体系建设的重要组成部分。下面就来介绍 组织内研发产品的隐私保护设计流程。

组织内应用产品的隐私保护设计需要贯穿软件的全生命 周期研发过程。在商业论证需求评审阶段，开展安全评审， 隐私安全风险评估；在需求分析阶段，进行隐私与安全需求 分析；在设计阶段，开展隐私工程设计和隐私功能设计；在开发阶段，遵照安全编码规范进行代码开发；在测试阶段， 开展代码白盒检测，灰盒检测和黑盒检测，充分进行隐私与 安全功能测试；产品上线发布前要进行隐私政策更新，隐私合规评审；上线发布到生产环境后，进行线上的持续安全合规监测和评估，第一时间捕获隐私合规风险。

在组织的隐私信息管理体系建设过程中，最常见的个人 隐私信息泄露存在于以下几个环节：第一是因工作需要，组织需向第三方（例如政府，媒体，外包方等）披露数据时：组织的应对策略是遵循严格的对外数据披露流程，与披露对象签订 协议，确保隐私数据仅限被披露对象使用，并约定被披露对象泄露数据所需承担的责任。第二是个人隐私信息对外展现时：组织的应对策略是对于敏感个人信息，在对外展示、共享或存储时应采取假值、屏 蔽、随机、泛化等方式进行敏感信息脱敏。第三是与第三方共享个人信息时：组织的应对策略是与 第三方合作，对外提供及共享用户个人信息的场景，要有用户 的明确授权或进行了必要的匿名化/ 去标识化处理；与第三方进行合作并为第三方提供用户引流的场景，在跳转第三方注册页面时，需要明确提示用户关注第三方相关服务协议及隐私权政策。第四是应用产品的研发中涉及到引用采集用户个人信息的第三方SDK 时：组织的应对策略是引入采集个人信息的第三 方SDK需经过评审；隐私政策中公开第三方SDK收集行为；对于敏感个人信息进行不可逆加密传输；第三方SDK禁止采 集及上传高敏感用户个人数据，禁止SDK启用允许service 之外的服务。

大数据时代不应成为侵权时代。个人隐私信息的保护需要全社会人员的共同努力，尤其需要从源头上防止个人隐私信息的泄露，而研发采集用户个人信息的产品的组织就是最大的源头所在，加强组织的个人隐私信息保护体系建设就能在最大程度上防止用户个人隐私信息泄露。

原文来源：FreeBuf