數(shù)據(jù)保護(hù)官崗位角色技術(shù)能力分析

1、數(shù)據(jù)保護(hù)官崗位角色技術(shù)能力分析【前言】從國(guó)內(nèi)外相關(guān)法律法規(guī)對(duì)數(shù)據(jù)保護(hù)官等數(shù)據(jù)管理工作的職責(zé)描述分析， 歐盟通用數(shù)據(jù)保護(hù)條例強(qiáng)制要求任命數(shù)據(jù)保護(hù)官以確保合規(guī)”的規(guī)定， 成為基于問(wèn)責(zé)制合規(guī)框架的重要基石，美國(guó)、德國(guó)、新加坡、印度等國(guó)也 有類(lèi)似制度。中華人民共和國(guó)網(wǎng)絡(luò)安全法規(guī)定的網(wǎng)絡(luò)安全負(fù)責(zé)人以及國(guó) 家標(biāo)準(zhǔn)信息安全技術(shù) 個(gè)人信息安全規(guī)范規(guī)定的個(gè)人信息保護(hù)負(fù)責(zé)人等 制度，雖然在表述上與歐盟的規(guī)定不同，但是，其所發(fā)揮的崗位功能與前者 相似，成為保護(hù)企業(yè)信息安全和保障數(shù)據(jù)依法合規(guī)的重要角色。伴隨日益嚴(yán)峻的數(shù)據(jù)安全形勢(shì)以及對(duì)隱私保護(hù)的重視，各國(guó)和地區(qū)陸 續(xù)頒布并實(shí)施了有關(guān)隱私保護(hù)的法律法規(guī)，由此，一類(lèi)新的崗

2、位角色一一數(shù) 據(jù)保護(hù)官(Data Protection Officer , DPO )進(jìn)入公眾視野。本文以技術(shù)視 角分析DPO崗位角色的技術(shù)能力以及如何有效開(kāi)展隱私合規(guī)和隱私保護(hù)工 作。-,應(yīng)視DPO崗位角色作用近年來(lái)，數(shù)據(jù)安全及隱私安全事件頻發(fā)，數(shù)據(jù)與隱私保護(hù)成為社會(huì)關(guān)注 的焦點(diǎn)。與此同時(shí)，各個(gè)國(guó)家和地區(qū)陸續(xù)頒布并實(shí)施了隱私保護(hù)的法律法規(guī)， 例如，歐盟的通用數(shù)據(jù)保護(hù)條例(GDPR )于2018年5月25日生效;美國(guó)有史以來(lái)最嚴(yán)格的隱私保護(hù)法案加州消費(fèi)者隱私法案也將于2020 年將生效；埃及、巴西等也出臺(tái)了自己的數(shù)據(jù)隱私保護(hù)法。我國(guó)在2016年11月正式頒布中華人民共和國(guó)網(wǎng)絡(luò)安全法后，逐 步加

3、大在隱私保護(hù)上的監(jiān)管力度，其中，最具代表的是全國(guó)信息安全標(biāo)準(zhǔn)化 技術(shù)委員會(huì)組織制定和歸口管理的國(guó)家標(biāo)準(zhǔn)GB/T 35273-2017信息安全技術(shù) 個(gè)人信息安全規(guī)范自2018年5月1日起正式實(shí)施施行。此外， 個(gè)人信息保護(hù)法和數(shù)據(jù)安全法已被列入我國(guó)十三屆全國(guó)人大常委會(huì) 立法規(guī)劃。歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）以法律形式明確規(guī)定DPO的任 命要求和職責(zé)。在我國(guó)現(xiàn)行法律中，雖然沒(méi)有明確與DPO名稱(chēng)上相對(duì)應(yīng)的角色，但是， 從國(guó)內(nèi)外個(gè)人隱私法律法規(guī)中對(duì)類(lèi)似工作的職責(zé)描述分析，GDPR中的DPO在隱私保護(hù)的職責(zé)上與中華人民共和國(guó)網(wǎng)絡(luò)安全法中的網(wǎng)絡(luò)安全 負(fù)責(zé)人，以及國(guó)家標(biāo)準(zhǔn)GB/T 35273-2017信息

4、安全技術(shù) 個(gè)人信息安全規(guī) 范中的個(gè)人信息保護(hù)負(fù)責(zé)人，在設(shè)立目的上存在相似性，都是為個(gè)人信息 保護(hù)和隱私數(shù)據(jù)合規(guī)而生，因而，我們常說(shuō)的數(shù)據(jù)安全保護(hù)崗位和角色不單 指GDRP中提到的DPO，而是廣泛意義上在企業(yè)中負(fù)責(zé)隱私合規(guī)以及隱私 保護(hù)的角色。從外部合規(guī)的角度，對(duì)DPO的任命對(duì)于符合條件的企業(yè)是強(qiáng)制性要求， 如有違背將被認(rèn)定為是對(duì)控制者與處理者責(zé)任的違背，將面臨監(jiān)管問(wèn)責(zé)及 高額罰款；從內(nèi)部執(zhí)行來(lái)看，DPO在企業(yè)具體的隱私相關(guān)工作開(kāi)展過(guò)程中發(fā)揮統(tǒng)籌各方的核心作用。因此，企業(yè)不論是開(kāi)展外部隱私合規(guī)還是內(nèi)部隱私保護(hù)工作時(shí)，都應(yīng)當(dāng)對(duì)類(lèi)似 DPO的崗位角色作用給予足夠的重視。二DPO崗位基本技術(shù)能力要求從

5、各國(guó)及地區(qū)發(fā)布的隱私保護(hù)法律法規(guī)中可以發(fā)現(xiàn)，除了關(guān)于對(duì)于隱 私主體權(quán)利的規(guī)范性描述之外，還包括大量關(guān)于隱私保護(hù)相關(guān)工作的技術(shù) 性描述，因此，對(duì)于DPO而言，不僅僅要求其具備法律解讀能力，技術(shù)能 力也必將成為DPO的基礎(chǔ)要求，具體要求體現(xiàn)在以下幾個(gè)環(huán)節(jié)。當(dāng)前主流隱私合規(guī)與傳統(tǒng)信息安全規(guī)范要求相比，其中最大區(qū)別體現(xiàn) 在數(shù)據(jù)主體權(quán)益上。以GDPR舉例，是對(duì)企業(yè)提出必須履行七項(xiàng)數(shù)據(jù)主體 權(quán)利的要求，包括知情權(quán)、訪(fǎng)問(wèn)權(quán)、修正權(quán)、刪除權(quán)（被遺忘權(quán)）、限制處 理權(quán)（反對(duì)權(quán)）、可攜帶權(quán)和拒絕權(quán)，并且數(shù)據(jù)主體權(quán)利的執(zhí)行情況將作為 合規(guī)檢查的重點(diǎn)內(nèi)容。因此，DPO首要關(guān)注的是梳理并全面了解本企業(yè)數(shù) 據(jù)主體權(quán)利的執(zhí)

6、行情況，這項(xiàng)工作不僅僅包括對(duì)所涉及的隱私數(shù)據(jù)清單進(jìn) 行梳理，還需要全面了解相關(guān)隱私數(shù)據(jù)處理活動(dòng)方式，這要求 DPO必須對(duì) 企業(yè)自身隱私數(shù)據(jù)在本企業(yè)的業(yè)務(wù)流以及技術(shù)實(shí)現(xiàn)非常了解?，F(xiàn)實(shí)情況往往是大多數(shù)企業(yè)內(nèi)部數(shù)據(jù)及業(yè)務(wù)系統(tǒng)錯(cuò)綜復(fù)雜，并且隱私數(shù)據(jù) 處理會(huì)涉及數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)以及數(shù)據(jù)處理等多個(gè)數(shù)據(jù)生命周期環(huán)節(jié)，這 要求DPO對(duì)業(yè)務(wù)系統(tǒng)的基礎(chǔ)架構(gòu)以及數(shù)據(jù)全生命周期具備較好的理解能 力，才能更充分了解企業(yè)中隱私數(shù)據(jù)的真實(shí)現(xiàn)狀，為后續(xù)隱私保護(hù)及合規(guī)評(píng) 估提供基礎(chǔ)保障。在這個(gè)階段，通常會(huì)用到 Data Mapping、Data flow等 技術(shù)幫助更高效地完成梳理工作。數(shù)據(jù)保護(hù)方案設(shè)計(jì)毋庸置疑，數(shù)據(jù)保護(hù)能力

7、是DPO必須具備的核心能力。在GDPR、信 息安全技術(shù)個(gè)人信息安全規(guī)范中，有大量章節(jié)與數(shù)據(jù)保護(hù)技術(shù)有關(guān)。首 先是隱私數(shù)據(jù)處理基本原則。信息安全技術(shù)個(gè)人信息安全規(guī)范第四章 明確指出，應(yīng)遵循確保安全原則，同樣，在 GDRP第5條中，也指明隱私 數(shù)據(jù)處理的7大基本原則，其中包括完整性、機(jī)密性原則。兩者共同要求企 業(yè)應(yīng)具備與所面臨的安全風(fēng)險(xiǎn)相匹配的安全能力，并采取足夠的管理措施 和技術(shù)手段，保護(hù)個(gè)人信息的保密性、完整性、可用性。此外，GDPR對(duì)數(shù)據(jù)控制者及處理者的義務(wù)要求，以及個(gè)人信息安全 規(guī)范對(duì)用戶(hù)隱私信息的傳輸、保存、使用以及事件處置，都提出不同類(lèi)型 的數(shù)據(jù)保護(hù)技術(shù)要求，如傳輸及存儲(chǔ)加密、數(shù)據(jù)展示

8、去標(biāo)識(shí)化、數(shù)據(jù)脫敏、 身份權(quán)限、訪(fǎng)問(wèn)控制以及個(gè)人信息安全事件處理。DPO作為企業(yè)隱私保護(hù)的責(zé)任人，為達(dá)到隱私數(shù)據(jù)保護(hù)的目的，除了 熟知各類(lèi)數(shù)據(jù)保護(hù)技術(shù)的基本技術(shù)原理，還應(yīng)具備將不同數(shù)據(jù)保護(hù)技術(shù)合 理應(yīng)用及組合的能力，為不同場(chǎng)景設(shè)計(jì)合適的數(shù)據(jù)保護(hù)方案，確保企業(yè)隱私 保護(hù)實(shí)踐達(dá)到最佳效果。常見(jiàn)的數(shù)據(jù)保護(hù)技術(shù)可以分為三類(lèi)：直接作用于隱私數(shù)據(jù)自身的技術(shù)， 如數(shù)據(jù)加密、數(shù)據(jù)脫敏（遮蔽、替換）、去標(biāo)識(shí)化、差分隱私、K-匿名等； 作用于產(chǎn)品安全并間接影響隱私保護(hù)的安全技術(shù)，如賬號(hào)、認(rèn)證、權(quán)限、審 計(jì)（4A），以及身份識(shí)別與訪(fǎng)問(wèn)管理（IAM ）、訪(fǎng)問(wèn)控制、云訪(fǎng)問(wèn)安全代理（CASB）、用戶(hù)行為分析（UEBA）等

9、；傳統(tǒng)系統(tǒng)網(wǎng)絡(luò)相關(guān)的安全技術(shù)也與 隱私保護(hù)密切相關(guān)，如防火墻、入侵檢測(cè)/防御系統(tǒng)（IDS/IPS）、防病毒、 高級(jí)可持續(xù)攻擊（APT）防御等。隱私影響評(píng)估在企業(yè)開(kāi)展隱私合規(guī)檢查時(shí)，相關(guān)技術(shù)性評(píng)估是具體執(zhí)行中必不可少 的環(huán)節(jié)，其中，常見(jiàn)的評(píng)估內(nèi)容有隱私影響評(píng)估（Privacy ImpactAssessment，PIA）、數(shù)據(jù)保護(hù)影響評(píng)估（Data Protection ImpactAssessments ，DPIA）以及隱私風(fēng)險(xiǎn)評(píng)估（Privacy Risk Assessment ，PRA）。以PIA為例，目前與信息安全技術(shù) 個(gè)人信息安全規(guī)范配套的個(gè)人信 息安全影響評(píng)估指南（征求意見(jiàn)稿）中對(duì)如何

10、開(kāi)展PIA進(jìn)行全面細(xì)致的說(shuō)明，而準(zhǔn)確掌握企業(yè)個(gè)人數(shù)據(jù)使用情況是PIA的重要評(píng)估依據(jù)和首要任務(wù)，即產(chǎn)出基于系統(tǒng)組件的個(gè)人信息映射表和基于個(gè)人信息生命周期的 個(gè)人信息映射表，其中包括以系統(tǒng)視角和個(gè)人信息生命周期對(duì)個(gè)人信息類(lèi) 型、收集方式、收集目的及原因，以及在收集、存儲(chǔ)、使用、對(duì)外提供和廢 棄階段所采取的控制措施。在現(xiàn)狀梳理的基礎(chǔ)之上，再進(jìn)行進(jìn)一步的個(gè)人信息處理活動(dòng)影響評(píng)估、安全事件可能性分析以及隱私風(fēng)險(xiǎn)分析等環(huán)節(jié)，最終 產(chǎn)出合規(guī)差距分析表。除前文所提及對(duì)了解企業(yè)隱私數(shù)據(jù)使用和對(duì)數(shù)據(jù)保護(hù)方案熟知的基礎(chǔ) 之上，在開(kāi)展PIA過(guò)程中，更重要的是開(kāi)展圍繞最終保護(hù)效果及隱私影響 進(jìn)行綜合性評(píng)估分析，這對(duì)DP

11、O的技術(shù)能力提出更高的要求。目前，針對(duì)各類(lèi)評(píng)估過(guò)程，國(guó)內(nèi)外已經(jīng)有比較成熟的技術(shù)工具，可以輔助DPO更高效地完成復(fù)雜的分析及評(píng)估工作。產(chǎn)品設(shè)計(jì)和研發(fā)流程對(duì)于產(chǎn)品設(shè)計(jì)和研發(fā)流程的熟悉也是 DPO的基礎(chǔ)技術(shù)能力要求之一。 首先是產(chǎn)品設(shè)計(jì)，無(wú)論GDPR還是信息安全技術(shù) 個(gè)人信息安全規(guī)范都 明確要求必須遵循數(shù)據(jù)最小化原則，即企業(yè)在采集或處理個(gè)人數(shù)據(jù)時(shí)應(yīng)充 分分析必要性，盡可能減少個(gè)人數(shù)據(jù)的采集和使用。然而，一味追求數(shù)據(jù)最 小化難免會(huì)導(dǎo)致產(chǎn)品的核心功能受到影響，進(jìn)而對(duì)用戶(hù)體驗(yàn)造成影響。因此， 遵循數(shù)據(jù)最小化原則的難點(diǎn)在于平衡產(chǎn)品功能體驗(yàn)和數(shù)據(jù)必要性。換句話(huà)說(shuō)，就是在產(chǎn)品設(shè)計(jì)環(huán)節(jié)盡量采取不涉及或少涉及個(gè)人數(shù)

12、據(jù)的 方式實(shí)現(xiàn)產(chǎn)品功能。例如，某產(chǎn)品會(huì)根據(jù)用戶(hù)的年齡提供不同類(lèi)型的服務(wù)， 在此產(chǎn)品設(shè)計(jì)中，可以考慮為用戶(hù)提供年齡段選項(xiàng)的方式替代輸入出生年 月的方式，以降低采集個(gè)人數(shù)據(jù)的精確性，進(jìn)行數(shù)據(jù)必要性和功能體驗(yàn)的平 衡。因此，為了更好地尋求兩者平衡，要求 DPO具備一定的產(chǎn)品設(shè)計(jì)相關(guān) 知識(shí)。其次，DPO還應(yīng)熟悉產(chǎn)品整體研發(fā)流程，并推進(jìn)隱私設(shè)計(jì)理念(Privacy by Design，PBD)在企業(yè)的實(shí)踐。GDPR的第25條明確指出，需要企業(yè) 遵循PBD，將數(shù)據(jù)合規(guī)有機(jī)融入設(shè)計(jì)中(Privacy embedded into design)， 并實(shí)現(xiàn)全生命周期的保護(hù)(Full lifecycle prot

13、ection )。為了踐行PBD，首先需要參考PBD的七個(gè)基本原則，其中第一條為主 動(dòng)預(yù)防而非響應(yīng)式補(bǔ)救(Procative not reactive ，preventative notremedial ）。如果將隱私清單和數(shù)據(jù)處理活動(dòng)的數(shù)據(jù)以及合規(guī)評(píng)估理解為 響應(yīng)式（Reactive）工作，那么，PBD更強(qiáng)調(diào)的是主動(dòng)性（Proactive）， 主動(dòng)將數(shù)據(jù)主體權(quán)利以及數(shù)據(jù)保護(hù)工作融入產(chǎn)品全生命周期，這就意味著 需要在產(chǎn)品需求分析、技術(shù)方案設(shè)計(jì)、產(chǎn)品研發(fā)、測(cè)試以及發(fā)布上線(xiàn)等環(huán)節(jié) 選擇合適評(píng)估和檢查點(diǎn)，因此，這無(wú)疑是對(duì) DPO對(duì)產(chǎn)品研發(fā)全流程的熟悉 程度提出的新挑戰(zhàn)。 一 需求評(píng)估/方案設(shè)計(jì),產(chǎn)品

14、研發(fā)2測(cè)試階段,發(fā)布上線(xiàn);A詢(xún)?cè)囉美鼳需求觸岌A用私保護(hù)設(shè)計(jì)A主體根利實(shí)現(xiàn)主體戲利測(cè)試*岌布準(zhǔn)整1柔求椎理L故據(jù)土件權(quán)利*安全錦碼現(xiàn)范*產(chǎn)品安全測(cè)訊重布律南港京分聽(tīng)殳評(píng)估A方素謨計(jì)評(píng)中a第三方SDKA隱私保護(hù)測(cè)試一蠟私影院訥古一礙私需求咐/代瑪安生A復(fù)主部茬*室全馨由圖1隱私設(shè)計(jì)實(shí)施概念圖三、企業(yè)隱私安全技術(shù)路徑技術(shù)能力是DPO開(kāi)展工作的基礎(chǔ)要求，此外，DPO需要思考如何系 統(tǒng)化開(kāi)展隱私安全相關(guān)工作。結(jié)合GDPR、信息安全技術(shù) 個(gè)人信息安全規(guī) 范的內(nèi)容和企業(yè)隱私合規(guī)的實(shí)踐，可以將全部工作劃分為評(píng)估準(zhǔn)備、差距 分析、形式合規(guī)以及產(chǎn)品合規(guī)四大類(lèi)，分別對(duì)應(yīng)梳理現(xiàn)狀、合規(guī)評(píng)估、符合 監(jiān)管以及合規(guī)能力建

15、設(shè)四個(gè)階段。如果將符合監(jiān)管作為分界點(diǎn)，不難發(fā)現(xiàn)， 在此之前的評(píng)估準(zhǔn)備和差距分析主要是以響應(yīng)的方式應(yīng)對(duì)監(jiān)管的檢查，可 以歸類(lèi)為響應(yīng)式（Reactive）工作；而PBD的更多工作是建設(shè)企業(yè)自身的 合規(guī)能力，為企業(yè)能夠持續(xù)合規(guī)提供強(qiáng)有力的體系支撐，也就是主動(dòng)式（Proactive ）工作的部分。這部分工作主要是對(duì)企業(yè)隱私數(shù)據(jù)的采集、存儲(chǔ)及處理活動(dòng)進(jìn)行綜合 梳理，為后續(xù)的合規(guī)評(píng)估以及合規(guī)差距提供基本的評(píng)估材料，具體包括以下 三個(gè)子項(xiàng)：（1）隱私數(shù)據(jù)清單梳理。企業(yè)采集了哪些隱私數(shù)據(jù)、具體的隱私數(shù)據(jù) 類(lèi)型及數(shù)量、隱私數(shù)據(jù)存儲(chǔ)分布等；（2）數(shù)據(jù)處理活動(dòng)梳理。哪些數(shù)據(jù)處理活動(dòng)涉及隱私數(shù)據(jù)、是否將數(shù) 據(jù)轉(zhuǎn)移到歐

16、盟之外的地區(qū)等；（3）數(shù)據(jù)保護(hù)措施梳理。數(shù)據(jù)存儲(chǔ)是否安全、是否采取加密存儲(chǔ)、如 何防范非授權(quán)訪(fǎng)問(wèn)、是否有采用匿名化、數(shù)據(jù)脫敏等。合規(guī)評(píng)估：合規(guī)差距分析這部分工作主要是基于現(xiàn)狀梳理產(chǎn)出，結(jié)合數(shù)據(jù)主體權(quán)利、隱私風(fēng)險(xiǎn)評(píng) 估以及數(shù)據(jù)保護(hù)有效性進(jìn)行綜合評(píng)估，最終產(chǎn)出隱私影響評(píng)估及差異分析 報(bào)告，并結(jié)合企業(yè)真實(shí)情況對(duì)數(shù)據(jù)采集、數(shù)據(jù)處理的必要性、合理性以及數(shù) 據(jù)保護(hù)的技術(shù)措施進(jìn)行逐一說(shuō)明，以充分展示企業(yè)在隱私合規(guī)上的積極態(tài) 度以及已經(jīng)開(kāi)展的各項(xiàng)工作。符合監(jiān)管：形式合規(guī)這部分工作主要是完善合規(guī)要求的各項(xiàng)規(guī)范性文檔，在指導(dǎo)各項(xiàng)工作 開(kāi)展的同時(shí)，以備監(jiān)管機(jī)構(gòu)檢查，具體工作包括：對(duì)用戶(hù)隱私條款進(jìn)行更新 和確認(rèn)；在用戶(hù)隱私協(xié)議中明確對(duì)收集和存儲(chǔ)數(shù)據(jù)類(lèi)型、收集數(shù)據(jù)目的、數(shù)據(jù)處理的方式、數(shù)據(jù)保護(hù)措施、是否會(huì)轉(zhuǎn)移數(shù)據(jù)到監(jiān)管要求以外地區(qū)以及用 戶(hù)如何行使數(shù)據(jù)主體權(quán)利進(jìn)行充分說(shuō)明；并針對(duì) PIA、跨境數(shù)據(jù)轉(zhuǎn)移、數(shù)據(jù) 泄露應(yīng)急和個(gè)人數(shù)據(jù)保護(hù)等多方面的內(nèi)容形成規(guī)范性文檔。合規(guī)能力：產(chǎn)品合規(guī)從產(chǎn)品合規(guī)的角度，這部分工作更加關(guān)注建立并提升企業(yè)自身的合規(guī) 能力，以維持企業(yè)持續(xù)合規(guī)的狀態(tài)，而其中的關(guān)鍵就是PBD，在企業(yè)開(kāi)展各項(xiàng)工作時(shí)，應(yīng)充分考慮數(shù)據(jù)主體權(quán)利和隱私保護(hù)工作。綜合來(lái)看，為了提升企業(yè)自身數(shù)據(jù)合規(guī)能力，可以基于企業(yè)現(xiàn)有的產(chǎn)品 研發(fā)流程，在此基礎(chǔ)上增加隱私需求評(píng)審、數(shù)據(jù)主體權(quán)利及隱私保護(hù)方案設(shè) 計(jì)