互联网的发展在给人们的生活带来便利的同时,也带来了一些潜在的威胁。近年来,公民隐私被侵权的现象屡见不鲜,企业作为一个拥有较大信息数据的载体,如果对数据缺乏统一的安全规划和管理,很可能引发数据泄漏、数据丢失、数据篡改等安全风险,从而导致自身利益受损。因此,构建数据合规体系已成为企业发展的首要任务,同时也是企业未来可持续发展的必然要求。在此背景下,7月30日,法总思享会第13期如期于360集团举办。360集团是中国最大的互联网安全公司之一,拥有国内规模领先的高水平安全技术团队,并始终坚持以互联网的思路为中国互联网用户解决网络安全等问题。360集团法律合规部负责人吴佳丽、360集团数据平台部总监王景正、小米高级隐私合规工程师翟璐铭以及BSI中国区ICT产品线技术总监万鑫等人受邀参加此次活动。交流会上,吴佳丽、王景正、翟璐铭、万鑫四位嘉宾分别带来了“业务与法务联合数据治理之道(上)”“业务与法务联合数据治理之道(下)”“从CNIL处罚google谈cookie隐私合规”“从隐私合规到隐私设”等主题演讲,从不同的角度讨论了如何构建企业数据合规体系等相关问题。会议伊始,吴佳丽介绍了360集团的主要业务。她表示,目前360集团有IOT、安全、游戏与互联网产品及商业化等四大主营业务,同时,吴佳丽还介绍目前360集团法务中心由诉讼、投资、合规、BP、知识产权五大法务版块构成。吴佳丽指出,近几年工信、网信、市监、公安等相关部门对数据合规的监管相当严格,且工信部严格的监管力度对一个企业的影响也不可预估。比如,此前科大讯飞下架对其股市的影响非常大。再如,“滴滴事件”导致滴滴app的下架。结合互联网同行的经验教育,从以往情况来看,监管的趋势和特点可以总结为,抽查常态化,多头管理、关注点不一,处罚措施力度大,管理检测手段多样性且越来越专业化。同时,目前数据合规监管立法方面表现出,持续周期长,立法更新快;涉及到法律规范多,散落在各个法律法规中;法律与行标并行;责任形式多样,民事、行政与刑事责任均有涉及。对于TOC端产品比较多的企业而言,在数据合规过程中存在着很多困难点,比如企业历史产品较多,上架渠道广泛,企业在数据合规中会出现排查难度高,无死角覆盖难度大等诸多问题;与此同时,第三方SDK管理问题、监管标准与解读标准差异也是数据合规需要重点关注的问题。吴佳丽表示,基于此现状,各个企业更加需要关注数据合规和数据安全等问题。但合规是一件非常个性化与定制化的事情,每个公司的情况不一样,管理标准也不尽相同。为应对这些挑战,360集团内部成立合规专项小组, 从流程化与技术化管理、旧治新控策略、整改数据重点监控、集团合规制度体系、培训与考核制度等方面建立了配套的合规管理框架,通过与监管部门的及时沟通以及引入技术手段的运用,重点排查合规问题,力争解决数据合规难点。紧接着,360集团数据平台部总监王景正从技术的角度来分析了企业业务与法务之间实现数据联合的方法。王景正表示,业务主要关注用户体验以及业务价值,因而早年间业务会将一些辅助团队比如法务、隐私管控等的管理工作当作业务负担。为解决这一难题,360集团也进行了相应地技术升级,并成为行业内首个成立用户隐私管理部门的企业。目前,360集团以雷达大数据平台、QDAS-SDK作为抓手,在数据采集环节实现了隐私合规管控,实现了对业务0干扰但法务专、隐私控制等专业化管理手段得以全面嵌入的一站式支撑平台。王景正指出,在上述系统中,从QDAS-SDK到雷达数据平台,开发者在登记注册完业务信息后会直接进入了隐私审核模式,从而达到保护用户隐私的目的。而经审批通过的数据采集项,会作为云控参数去控制QDAS-SDK的采集行为,并且也会作为大数据平台的计算参数,控制大数据计算过程。众所周知,业务的重点是变现,想要实现业务和法务之间的数据联合,需要找到业务工作的难点。从本质上来看,五行合一构成的雷达数据平台是将合规控制与元数据信息登记合为一体,进一步为业务需要给予了大数据的支撑,而法务部门也可以以雷达作为抓手,完成审批,为企业业务信息安全提供有效的帮助。随后,小米高级隐私合规工程师翟璐铭首先讲述了CNIL处罚Google这一真实案例。她表示,简单意义上来看,基于网页诞生的cookie类似技术能够实现对用户浏览和点击行为的有效追踪,故被广泛应用于用户画像、行为预测、营销广告推送等方面。如果按照来源进行分类, Cookie可以分为第一方Cookie与第三方 Cookie。其中,第一方Cookie可持续跟踪记录相同域名下的用户行为,第三方 Cookie可持续跟踪记录用户在不同域名下的行为。曾有数据显示,谷歌可以通过第三方Cookie技术跟踪记录差不多70%的浏览量超过一百万的网页,并通过这数据获取用户画像。如果按照按存储时长进行分类,Cookie可以分为暂时性与永久性两种,其中,永久性的Cookie可在有效期内持续跟踪记录用户行为(包括点击、浏览、停留时长等)并形成用户画像。目前,要求用户主动同意Cookie的国家有比利时、法国、德国、意大利、西班牙、英国、加拿大、毛里求斯、摩洛哥等。虽然,针对Cookie的使用,相关立法也已存在,但整体来看,该类技术对个人数据可能带来的风险和损害仍旧不容忽视,而且Cookie也屡次遭到处罚,其原因有以下几点:(一)没有获得用户事前同意。在用户明示同意之前放置Cookie,Cookie Wall(只能以接受全部cookies为条件才能进行访问)。(二)没有做到精细化管理。没有对cookie做到分类管理,没有单独的cookie setting,仅告知用户通过浏览器可以禁用的方式。(三)透明度不足。例如,Policy里没有提供单个cookie的内容,也未提到是否存在第三方cookie及来源。(四)Cookie设置有误。CNIL规定的第三方cookie存储期限为13个月,Cookie存储期限明显超过法律规定。同时,还存在分类不准确的情况,例如将广告类cookie视为必要cookie以规避用户同意。由上可知,Cookie合规的注意点一是要经过用户同意。比如,在放置cookie前应当获得用户的在先同意;二是按照目的进行分类。比如,将内容分为必要类、功能类、广告类、分析类等类别。随后,翟璐铭向与会嘉宾介绍了小米在合规方面的实践。她表示,自2020年10月起,小米就进行了Cookie合规方向的调查,一个月后,小米制定了合规方案并评估是自研Cookie管理系统解决方案开发量,调研外采系统适用性。到了2021年5月,小米决定外采TrustArc Cookie Consent Manager工具,开始开发对接工作。2021年6月,海外小米商城法国站率先完成Cookie合规整改,并于6月16日正式上线。2021年7月,在法国站试点整改完后,海外小米商城及小米社区海外全部站点正在整改中。目前,小米在Cookie Setting、Cookie Policy、Cookie List等方面已经做出整改。最后,BSI中国区ICT产品线技术总监万鑫先从隐私的概念入手,为会与嘉宾带了“从隐私合规到隐私设计”的主题演讲。万鑫表示,隐私保护可以大致分解为个人数据合法合规使用、用户隐私权利响应、隐私数据安全保护三个方向。隐私保护首要关心的是个人隐私权问题,比如某APP用户在发现APP额外收集其个人数据时,有权要求服务方擦除这些数据。其次,服务提供方在数据处理过程中应当遵循数据处理的基本原则,比如公平透明合法原则,存储限制原则等。最后,在这个各类信息数字化的时代,隐私保护更要关注数据本身的保密性完整性可用性。隐私保护是这三者在理论和实践中的结合体现。企业在应对隐私合规要求时,一定要从尊重人的主权,最终落在产品和服务的技术实现上。目前,在全球范围内,针对隐私保护不同国家或地区有不同的侧重点的立法,有些是出发点是数据保护,有的是在电子商务领域保护消费者个人隐私,还有的是从国家安全方面考虑。从本质来说GDPR是法律法规,是行为要求,并不是指导企业如何合规的指南,因此企业如何满足法规还需要借助其他实践指南类的方法论和标准。万鑫指出,目前有关隐私保护的标准和指南还是挺多阿。他在演讲列举了5个比较流行的标准,其中3个为国际标准,2个为区域标准。值得注意的是,遵循并满足这些国际标准的要求,并不能自证满足了法律法规,但是可以极大的提升自身的隐私保护水平并获得用户和监管部门的信心。万鑫概要介绍了组织按照国际标准ISO27701建立隐私信息管理体系(PIMS)的思路和步骤,并着重介绍了PIMS中重要的一个步骤和议题“隐私设计”(Privacy by Design/PbD)的内容,即将隐私保护的原则通过工程实践融入产品和服务的整个生命周期。万鑫介绍,BSI在借鉴众多管理和技术标准和框架的基础上,通过长时间的理论研究和专业服务,总结出一套行之有效的PbD实践框架,通过设定隐私设计原则、使用隐私设计模式、实施系统工程方法、嵌入隐私增强技术等方面展开,帮助企业行之有效的践行隐私合规。
四位嘉宾演讲结束后,与会嘉宾还围绕着如何构建企业数据合规化体系的主题进行了激烈的讨论。
在此分享会上,参会嘉宾针对性的问题与分享者进行经验交流,尽管本次活动的时间有限,但通过此次交流分享,参会嘉宾纷纷表示受益匪浅。
发表评论 取消回复