无论你看过哪个版本的《鹿鼎记》,对《四十二章经》一定都印象深刻,其中暗藏大清宝藏地图引得多方势力争抢,也是贯穿全剧的主线。在现如今的网络空间,个人信息等数据对于用户以及企业都是无形的财富。

英斯盾基于主要国家的个人信息保护要求,以及全球最具影响力的隐私治理标准和最佳实践,推出《英斯盾企业隐私治理四十二章经》系列文章,以期能为企业提高个人信息保护能力提供有益助力。

本篇序章,作为四十二章经系列文章的开篇。从数字时代下以数据为中心的发展矛盾,引入企业个人信息治理的必要性以及大环境形势。

数字时代最为深刻的发展矛盾之一

数字时代,人类文明的各种政治、经济、社会和私人活动都链接或映射到数字空间,甚至直接以数字化的方式实现,必然产生海量的数据规模。根据国际权威统计机构 Statista 的估算,2020 年全球数据量已达到 47ZB,预计到 2035 年将高达 2142ZB,以指数级爆发的数据已经成为数字时代战略级的生产要素。

在这样的背景下,一方面是数据资产化下对科技创新、经济发展和公共治理的驱动赋能效应不断凸显,政府、企业等各类组织在加速数字化转型下越来越依赖于对数据的挖掘、开发、流通和利用。另一方面,是数据安全和个人信息保护的形势日趋严峻。IDC 研究显示,2020 年全球公开范围报告了 3932 起数据安全泄露事件,个人信息泄露数量高达 370 亿条,而 IBM 研究显示,2020 年数据泄露事件给企业造成的平均损失成本为 386 万美元,特大型数据泄露事件的成本飙升数百万美元。简而言之,数据要素的社会经济效益与数据主体权益保护已经成为数字文明最为深刻的发展矛盾之一。

全球高强度监管下催生企业合规需求

从上世纪 70 年代开始,以欧盟为代表的区域政治实体和以经济合作与发展组织、亚太经济合作组织为代表的国际组织先后出台了多部个人信息保护倡议声明、指导原则和国际准则。21 世纪以来,美国、欧盟、英国、日本等全球各国/地区更是纷纷出台各自的个人信息保护法。据笔者不完全统计,截止 2020 年 10 月,全球共有 150 多个具有独立司法管辖权的国家或地区出台了单独的个人信息保护法。

2020 年 5 月,全国人大会正式通过了《中华人民共和国民法典》,在《法典》第四编人格权中单独设立了“隐私权和个人信息保护”章节。2020 年 10 月,全国人大常委会正式对外发布《个人信息保护法(草案)》,明确了个人信息处理活动的原则、个人信息主体权益和个人信息处理者义务等基本内容,并针对不同的个人信息处理活动提出了针对性增强要求。随着全球性个人信息保护立法进程快速推进和各国监管体系的不断完善,各种形态的数据驱动型企业必须要面对更高水准的隐私合规需求。

企业个人信息保护能力亟待提升

从隐私合规的需求端来看,一方面,企业需要适配的法律监管除了明确的个人信息保护上位法外,还有大量分散在各种法律、法规、部门规章、规范性政策文件以及实际执法活动中的增强性监管要求。同时由于法律的抽象性和相对滞后性,大量的标准和指南在事实上成为隐私监管的重要组成。另一方面,在数字技术的快速迭代和数字经济的创新发展的大背景下,数字企业的商业生态和业务形态不仅复杂,涉及第三方和场景类型极多,而且更新速度极快。需求端的特点导致了企业级隐私合规的极具复杂性、时效性和场景性。

从隐私合规的供给端来看。律师事务所长于专业性的法律能力,但难以深入到企业的数字化场景和业务实践中。咨询公司能够通过专业性的咨询团队进驻到企业中从而提供落地性的合规方案,但较高的商业成本和较长的实施周期使得更新极快的中小型互联网企业望而却步。传统安全厂商拥有相对成熟的数据安全解决方案,但更多是在技术层面的系统建设和工具部署,缺乏战略性整体治理架构的设计以及专业性的法律合规知识。现阶段分散甚至割裂的隐私合规供给,难以形成集成式平台化的能力,无法适配企业真实的隐私合规需求。

与此同时,整体的高质量隐私合规人才缺乏,则更加扩大了供给与需求的错位。未来的隐私合规从业人员,无论是在需求端还是供给端,都必须在沟通语言和知识图谱上充分打通法律法规、公司治理、业务场景、安全技术等多个维度。

《英斯盾企业隐私治理四十二章经》系列愿景及规划

《英斯盾企业隐私治理四十二章经》分为上下两卷,从企业级的整体隐私战略规划、制度设计到数据全生命周期处理活动逐步进行剖析,同时不定期更新一些深度切合实际应用场景的专题内容。目前初步内容规划如下(不排除根据实际情况进行调整): 

上卷

  • 隐私治理战略和组织架构
  • 人员能力和员工意识
  • 洞察与跟踪
  • 第三方管理
  • 审计与稽查
  • 主体权利响应
  • 事件响应和应急
  • PbD 架构设计
  • 隐私增强技术

下卷

  • 数据分级分类
  • 数据盘点和映射清单
  • 隐私声明告知和合法性基础
  • 数据采集和用户选择同意
  • 数据使用
  • 数据转移和披露
  • 数据处置和留存
  • 数据跨境流动
  • 隐私影响评估
  • 隐私风险管理

特色专题

  • 生物特征识别
  • 用户画像/个性化展示/自动化决策
  • APP的第三方接入管理
  • 金融行业隐私治理
  • 医疗健康行业隐私治理
  • 未成年人个人信息保护
  • ……

鉴于快速发展的社会实践和有限的能力水平,文章有不足之处还请各位读者海涵,如对本系列文章选题、热点案例解读或法律法规解读分析有建设性意见,欢迎后台留言。