互聯網的發展在給人們的生活帶來便利的同時,也帶來了一些潛在的威脅。近年來,公民隱私被侵權的現象屢見不鮮,企業作為一個擁有較大信息數據的載體,如果對數據缺乏統一的安全規劃和管理,很可能引發數據泄漏、數據丟失、數據篡改等安全風險,從而導致自身利益受損。因此,構建數據合規體系已成為企業發展的首要任務,同時也是企業未來可持續發展的必然要求。在此背景下,7月30日,法總思享會第13期如期於360集團舉辦。360集團是中國最大的互聯網安全公司之一,擁有國內規模領先的高水平安全技術團隊,並始終堅持以互聯網的思路為中國互聯網用戶解決網絡安全等問題。360集團法律合規部負責人吳佳麗、360集團數據平臺部總監王景正、小米高級隱私合規工程師翟璐銘以及BSI中國區ICT產品線技術總監萬鑫等人受邀參加此次活動。交流會上,吳佳麗、王景正、翟璐銘、萬鑫四位嘉賓分別帶來了“業務與法務聯合數據治理之道(上)”“業務與法務聯合數據治理之道(下)”“從CNIL處罰google談cookie隱私合規”“從隱私合規到隱私設”等主題演講,從不同的角度討論了如何構建企業數據合規體系等相關問題。會議伊始,吳佳麗介紹了360集團的主要業務。她表示,目前360集團有IOT、安全、遊戲與互聯網產品及商業化等四大主營業務,同時,吳佳麗還介紹目前360集團法務中心由訴訟、投資、合規、BP、知識產權五大法務版塊構成。吳佳麗指出,近幾年工信、網信、市監、公安等相關部門對數據合規的監管相當嚴格,且工信部嚴格的監管力度對一個企業的影響也不可預估。比如,此前科大訊飛下架對其股市的影響非常大。再如,“滴滴事件”導致滴滴app的下架。結合互聯網同行的經驗教育,從以往情況來看,監管的趨勢和特點可以總結為,抽查常態化,多頭管理、關注點不一,處罰措施力度大,管理檢測手段多樣性且越來越專業化。同時,目前數據合規監管立法方面表現出,持續周期長,立法更新快;涉及到法律規範多,散落在各個法律法規中;法律與行標並行;責任形式多樣,民事、行政與刑事責任均有涉及。對於TOC端產品比較多的企業而言,在數據合規過程中存在著很多困難點,比如企業曆史產品較多,上架渠道廣泛,企業在數據合規中會出現排查難度高,無死角覆蓋難度大等諸多問題;與此同時,第三方SDK管理問題、監管標準與解讀標準差異也是數據合規需要重點關注的問題。吳佳麗表示,基於此現狀,各個企業更加需要關注數據合規和數據安全等問題。但合規是一件非常個性化與定制化的事情,每個公司的情況不一樣,管理標準也不盡相同。為應對這些挑戰,360集團內部成立合規專項小組, 從流程化與技術化管理、舊治新控策略、整改數據重點監控、集團合規制度體系、培訓與考核制度等方面建立了配套的合規管理框架,通過與監管部門的及時溝通以及引入技術手段的運用,重點排查合規問題,力爭解決數據合規難點。緊接著,360集團數據平臺部總監王景正從技術的角度來分析了企業業務與法務之間實現數據聯合的方法。王景正表示,業務主要關注用戶體驗以及業務價值,因而早年間業務會將一些輔助團隊比如法務、隱私管控等的管理工作當作業務負擔。為解決這一難題,360集團也進行了相應地技術升級,並成為行業內首個成立用戶隱私管理部門的企業。目前,360集團以雷達大數據平臺、QDAS-SDK作為抓手,在數據采集環節實現了隱私合規管控,實現了對業務0幹擾但法務專、隱私控制等專業化管理手段得以全面嵌入的一站式支撐平臺。王景正指出,在上述系統中,從QDAS-SDK到雷達數據平臺,開發者在登記注冊完業務信息後會直接進入了隱私審核模式,從而達到保護用戶隱私的目的。而經審批通過的數據采集項,會作為雲控參數去控制QDAS-SDK的采集行為,並且也會作為大數據平臺的計算參數,控制大數據計算過程。眾所周知,業務的重點是變現,想要實現業務和法務之間的數據聯合,需要找到業務工作的難點。從本質上來看,五行合一構成的雷達數據平臺是將合規控制與元數據信息登記合為一體,進一步為業務需要給予了大數據的支撐,而法務部門也可以以雷達作為抓手,完成審批,為企業業務信息安全提供有效的幫助。隨後,小米高級隱私合規工程師翟璐銘首先講述了CNIL處罰Google這一真實案例。她表示,簡單意義上來看,基於網頁誕生的cookie類似技術能夠實現對用戶浏覽和點擊行為的有效追蹤,故被廣泛應用於用戶畫像、行為預測、營銷廣告推送等方面。如果按照來源進行分類, Cookie可以分為第一方Cookie與第三方 Cookie。其中,第一方Cookie可持續跟蹤記錄相同域名下的用戶行為,第三方 Cookie可持續跟蹤記錄用戶在不同域名下的行為。曾有數據顯示,穀歌可以通過第三方Cookie技術跟蹤記錄差不多70%的浏覽量超過一百萬的網頁,並通過這數據獲取用戶畫像。如果按照按存儲時長進行分類,Cookie可以分為暫時性與永久性兩種,其中,永久性的Cookie可在有效期內持續跟蹤記錄用戶行為(包括點擊、浏覽、停留時長等)並形成用戶畫像。目前,要求用戶主動同意Cookie的國家有比利時、法國、德國、意大利、西班牙、英國、加拿大、毛裡求斯、摩洛哥等。雖然,針對Cookie的使用,相關立法也已存在,但整體來看,該類技術對個人數據可能帶來的風險和損害仍舊不容忽視,而且Cookie也屢次遭到處罰,其原因有以下幾點:(一)沒有獲得用戶事前同意。在用戶明示同意之前放置Cookie,Cookie Wall(只能以接受全部cookies為條件才能進行訪問)。(二)沒有做到精細化管理。沒有對cookie做到分類管理,沒有單獨的cookie setting,僅告知用戶通過浏覽器可以禁用的方式。(三)透明度不足。例如,Policy裡沒有提供單個cookie的內容,也未提到是否存在第三方cookie及來源。(四)Cookie設置有誤。CNIL規定的第三方cookie存儲期限為13個月,Cookie存儲期限明顯超過法律規定。同時,還存在分類不準確的情況,例如將廣告類cookie視為必要cookie以規避用戶同意。由上可知,Cookie合規的注意點一是要經過用戶同意。比如,在放置cookie前應當獲得用戶的在先同意;二是按照目的進行分類。比如,將內容分為必要類、功能類、廣告類、分析類等類別。隨後,翟璐銘向與會嘉賓介紹了小米在合規方面的實踐。她表示,自2020年10月起,小米就進行了Cookie合規方向的調查,一個月後,小米制定了合規方案並評估是自研Cookie管理系統解決方案開發量,調研外采系統適用性。到了2021年5月,小米決定外采TrustArc Cookie Consent Manager工具,開始開發對接工作。2021年6月,海外小米商城法國站率先完成Cookie合規整改,並於6月16日正式上線。2021年7月,在法國站試點整改完後,海外小米商城及小米社區海外全部站點正在整改中。目前,小米在Cookie Setting、Cookie Policy、Cookie List等方面已經做出整改。最後,BSI中國區ICT產品線技術總監萬鑫先從隱私的概念入手,為會與嘉賓帶了“從隱私合規到隱私設計”的主題演講。萬鑫表示,隱私保護可以大致分解為個人數據合法合規使用、用戶隱私權利響應、隱私數據安全保護三個方向。隱私保護首要關心的是個人隱私權問題,比如某APP用戶在發現APP額外收集其個人數據時,有權要求服務方擦除這些數據。其次,服務提供方在數據處理過程中應當遵循數據處理的基本原則,比如公平透明合法原則,存儲限制原則等。最後,在這個各類信息數字化的時代,隱私保護更要關注數據本身的保密性完整性可用性。隱私保護是這三者在理論和實踐中的結合體現。企業在應對隱私合規要求時,一定要從尊重人的主權,最終落在產品和服務的技術實現上。目前,在全球範圍內,針對隱私保護不同國家或地區有不同的側重點的立法,有些是出發點是數據保護,有的是在電子商務領域保護消費者個人隱私,還有的是從國家安全方面考慮。從本質來說GDPR是法律法規,是行為要求,並不是指導企業如何合規的指南,因此企業如何滿足法規還需要借助其他實踐指南類的方法論和標準。萬鑫指出,目前有關隱私保護的標準和指南還是挺多阿。他在演講列舉了5個比較流行的標準,其中3個為國際標準,2個為區域標準。值得注意的是,遵循並滿足這些國際標準的要求,並不能自證滿足了法律法規,但是可以極大的提升自身的隱私保護水平並獲得用戶和監管部門的信心。萬鑫概要介紹了組織按照國際標準ISO27701建立隱私信息管理體系(PIMS)的思路和步驟,並著重介紹了PIMS中重要的一個步驟和議題“隱私設計”(Privacy by Design/PbD)的內容,即將隱私保護的原則通過工程實踐融入產品和服務的整個生命周期。萬鑫介紹,BSI在借鑒眾多管理和技術標準和框架的基礎上,通過長時間的理論研究和專業服務,總結出一套行之有效的PbD實踐框架,通過設定隱私設計原則、使用隱私設計模式、實施系統工程方法、嵌入隱私增強技術等方面展開,幫助企業行之有效的踐行隱私合規。
四位嘉賓演講結束後,與會嘉賓還圍繞著如何構建企業數據合規化體系的主題進行了激烈的討論。
在此分享會上,參會嘉賓針對性的問題與分享者進行經驗交流,盡管本次活動的時間有限,但通過此次交流分享,參會嘉賓紛紛表示受益匪淺。
發表評論 取消回複