在《序章》中,我们认为数据要素的社会经济效益与数据主体权益保护已经成为数字时代最为深刻的发展矛盾之一,企业的个人信息保护十分紧迫、必要且重要。隐私治理战略作为企业开展隐私治理与合规的第一步,因此将其作为《英斯盾企业隐私治理四十二章经》正式内容的第一章,主要探讨企业隐私治理战略的实施步骤。
4月16日我国公布《全国人大常委会2021年度立法工作计划》,明确提出要“制定数据安全法、个人信息保护法”。4月26日至29日在京召开的十三届全国人大常委会第二十八次会议,也将对两份法律草案进行第二次审议,预计将在五月初公布二审稿。据悉,个保法已经进入人大立法的“快车道”,极可能将在今年年底正式出台。可以说,我国个人信息总体监管环境即将从分散、不确定的“草创”阶段,转变为具备单独上位法规制和配套措施加快出台的“完善”阶段。
面对即将出台生效的个保法和数安法的相关要求,企业必须将数据合规工作纳入到决策层的战略议程和发展规划中,制定高规格的隐私治理战略,通盘推动隐私合规工作。
企业隐私治理战略
隐私治理战略(Privacy Governance Strategy)是指企业决策层围绕隐私议题形成的一系列整体性、长期性、基本性顶层规划和制度设计。制定科学、可行的隐私治理战略并保持更新,能够帮助企业更有效、快速地适应复杂的法律监管需求,规避重大合规风险,持续提高企业的隐私治理和数据安全能力,并将内部的隐私治理转化为能够向外输出的品牌竞争力甚至商业化服务。
在数字时代,隐私治理一定是作为企业一项重要战略工作来开展,而非传统上作为数字化转型、网络安全建设、风险控制和法律合规等战略的组成模块。
制定隐私治理战略的步骤
1、对企业隐私治理能力成熟度进行评估
制定企业合适的隐私治理战略,首先要对企业现有的隐私治理能力进行成熟度评估,包括企业现有的数据安全和个人信息保护工作现状、传统的网络安全能力和风险控制能力、决策层和员工对于隐私治理的认知和重视程度等等(可参考2020年3月生效的国家标准《信息安全技术 数据安全能力成熟度模型》)。
需要注意的是,对于那些高度依赖于数据驱动的互联网企业而言,还必须基于隐私合规的视域对自身的产品/服务、业务形态和外部合作关系等基本商业逻辑进行评估,因为法律的加快完善和监管的日益收严可能使得一些处于“灰色”地带的数字经济业态完全失去合规操作的空间,企业可能面临整体发展方向上的变动调整。
2、设定明确可行的企业隐私治理目标
一般而言,企业最基本的隐私治理目标是确保企业个人信息处理活动的合规,避免各种形式的法律风险(包括APP下架、巨额罚款、约谈整改、民事处罚和刑事责任等)。同时基于企业隐私治理能力的成熟度现状,综合考虑企业自身发展方向和目标、相关监管要求和趋势、主要利益相关方和合作方的要求、可接受的风险水平程度等,将隐私治理目标具体分解不同场景下的安全基线。
更高水平的目标,则是将隐私治理能力塑造为企业在数字时代的差异化竞争力。比如普华永道2019年的市场分析数据显示,近21%的消费者对于企业及其产品/服务在网络安全和数据安全方面的关注,已经超过了对产品/服务价格和质量的关注。2019年3月,苹果发布了史上第一个关于“隐私保护”功能为主的广告片《Private Side》,力图将隐私保护功能打造成为苹果品牌的独特市场竞争力。
另外,在政府或企业选择数字化建设的供应商时,隐私治理能力同样成为必不可少的重要考量因素。2014年12月,中央网信办发布《关于加强党政部门云计算服务网络安全管理的意见》,明确要求承接党政部门数据和业务的云计算服务商,要达到网络安全政策规定、信息安全等级保护要求、技术标准规定的相应安全能力水平,并通过中央网信办统一组织的云计算服务网络安全审查(未来可能是《数据安全法(草案)》的数据安全审查)。
可以预见,无论是面向终端消费市场、企业市场还是政府公共部门,企业的隐私治理能力都必然是其赢得数字时代市场竞争的核心制胜之一。
3、构建契合企业业务的隐私治理制度
在《个人信息保护法(草案)》和《信息安全技术 个人信息安全规范》中,企业都有大量制度和管理性的合规义务,通过隐私治理战略能够对这些治理制度形成统一的规划梳理。包括且不限于:
(1)建立个人信息保护管理的组织架构
(2)建立个人信息分级分类管理制度
(3)建立对外隐私声明的发布、更新和审核制度
(4)建立内部数据访问、权限管理和操作规范制度
(5)建立个人信息主体的权利响应机制
(6)建立个人信息处理活动的日志记录制度
(7)建立个人信息影响安全评估制度
(8)建立供应商(包括第三方接入)的数据安全审查制度
(9)建立从业人员定期培训和员工意识提高制度
(10)建立数据安全措施有效性评估制度
(11)建立数据安全事件的应急、处置和报告制度
......
规划企业隐私治理的实施路径
实现企业隐私治理战略,必须要组建独立运行的隐私治理团队(将在第二章做详细介绍)。团队将根据企业自身的规模(包括处理数据量的规模和用户数量)、合规的严峻性和迫切程度、企业商业模式和业务形态对于个人信息处理活动的依赖程度、以及企业安全/合规预算和隐私治理目标,来确定企业隐私治理制度的优先级顺序、具体实现方式和运营方式、政策和流程优化周期、监督和绩效机制等。
