信息化觀察網(wǎng)

本文來自微信公眾號(hào)“安在”，作者/綿總。

在當(dāng)下，個(gè)人信息等數(shù)據(jù)隱私的監(jiān)管力度日益增強(qiáng)，去年的滴滴、今年的知網(wǎng)等多家知名企業(yè)均因個(gè)人信息而遭到處罰。盡管如此，用戶信息收集的頻率卻仍然沒有降低，現(xiàn)在，幾乎每一個(gè)APP和小程序在使用前都需要注冊個(gè)人相關(guān)信息，用戶還需授權(quán)其收集和使用。這些企業(yè)真的做好保障個(gè)人信息的準(zhǔn)備了嗎？

據(jù)Womble Bond Dickinson 2023年全球數(shù)據(jù)隱私法調(diào)查報(bào)告顯示，英、美及歐盟有半數(shù)的企業(yè)高管認(rèn)為自己的企業(yè)沒有做好數(shù)據(jù)隱私的工作，他們認(rèn)為企業(yè)并沒有滿足英、美及歐盟關(guān)于數(shù)據(jù)隱私的監(jiān)管要求。該報(bào)告統(tǒng)計(jì)了超過200名英、美及歐盟的企業(yè)高管，其中，只有34%的受訪者表示進(jìn)行過數(shù)據(jù)映射，并了解其組織的數(shù)據(jù)活動(dòng)。這表明，即便當(dāng)?shù)氐谋O(jiān)管合規(guī)要求如此之高，仍然有大量的企業(yè)未能做好數(shù)據(jù)安全等相關(guān)工作。此外，據(jù)調(diào)查顯示，網(wǎng)絡(luò)安全是受訪者最關(guān)心的數(shù)據(jù)隱私問題。

2023年是大西洋兩岸數(shù)據(jù)隱私具有里程碑意義的一年。今年，美國有四個(gè)州的相關(guān)法律即將或已然生效，加利福尼亞州已經(jīng)擴(kuò)大了數(shù)據(jù)隱私的范圍并設(shè)置了更嚴(yán)格的要求，其他幾個(gè)周也頒布或提出了自己的隱私立法。在另一邊，隨著圍繞其他全球協(xié)議的談判—例如歐盟與脫歐后的英國之間的協(xié)議—正在持續(xù)進(jìn)行，歐盟委員會(huì)最終批準(zhǔn)了《歐盟-美國數(shù)據(jù)隱私框架》。

數(shù)據(jù)隱私管理：英國企業(yè)＞美國企業(yè)

在滿足數(shù)據(jù)隱私要求方面，英國受訪者比美國受訪者表現(xiàn)得更加積極。在總部位于英國的公司中，59%的公司對英國和歐盟的《通用數(shù)據(jù)保護(hù)條例》（GDPR）以及《2018年數(shù)據(jù)保護(hù)法》（DPA）做好了充分準(zhǔn)備，而49%的總部位于美國的公司對遵守美國國家數(shù)據(jù)隱私法做好了充分的準(zhǔn)備，低于去年調(diào)查中的59%。有趣的是，與英國公司的高管（40%）相比，美國公司的高管在遵守歐洲數(shù)據(jù)保護(hù)法方面做得更好（44%）。報(bào)告指出，這可能是由于與新出臺(tái)的或仍在出臺(tái)的美國法律相比，英國和歐盟的GDPR以及英國的DPA更加成熟。

有40%的英國受訪者表示，雖然增加了額外的成本，但隱私法規(guī)對其開展跨境業(yè)務(wù)的影響是可控的。相比之下，美國受訪者的比例為35%。

近7成組織缺乏數(shù)據(jù)映射

調(diào)查表明，那些自認(rèn)為已經(jīng)準(zhǔn)備好應(yīng)對數(shù)據(jù)隱私法的人可能并非如此。盡管有70%的受訪者表示他們已經(jīng)任命了數(shù)據(jù)隱私項(xiàng)目經(jīng)理或負(fù)責(zé)人，58%的受訪者定期對員工進(jìn)行數(shù)據(jù)隱私和合規(guī)方面的培訓(xùn)，但只有不到一半的受訪者表示采取了以下工作：聘請外部法律顧問（42%），參加同行小組以了解變化（40%），或者成立了一個(gè)特別工作組或監(jiān)督顧問來跟蹤隱私法的變化（35%）。

此外，只有34%的人進(jìn)行了數(shù)據(jù)映射并了解整個(gè)組織的數(shù)據(jù)實(shí)踐。Womble Bond Dickinson隱私和網(wǎng)絡(luò)安全團(tuán)隊(duì)的合伙人兼主席、報(bào)告撰稿人Tara Cho表示，數(shù)據(jù)映射是任何數(shù)據(jù)隱私和網(wǎng)絡(luò)安全解決方案的最基礎(chǔ)設(shè)施，因?yàn)樗茏尳M織知道自身擁有哪些數(shù)據(jù)以及數(shù)據(jù)的位置。在他看來，很多組織或許會(huì)實(shí)施面向外部的安全措施，例如在其網(wǎng)站上張貼cookie橫幅或更新隱私政策，但后端仍需要制定相應(yīng)策略，以真正實(shí)施合規(guī)要求。

跟上數(shù)據(jù)隱私法的變化是最大的挑戰(zhàn)

跟上數(shù)據(jù)隱私法的變化是受訪者面臨的最大挑戰(zhàn)。挑戰(zhàn)主要來自包括美國立法現(xiàn)狀和州法律之間的差異（59%），適應(yīng)歐洲新的或不斷變化的法律要求（55%）。除此之外，預(yù)算問題（52%美國，45%英國）、缺乏員工（42%美國，39%英國）、管理審批問題（30%美國，23%英國）以及缺乏領(lǐng)導(dǎo)力（21%美國，10%英國）是其他影響受訪者數(shù)據(jù)隱私保護(hù)的因素。

報(bào)告稱，了解組織內(nèi)部的數(shù)據(jù)也是英、美兩國企業(yè)面臨的一個(gè)關(guān)鍵挑戰(zhàn)，這與組織在數(shù)據(jù)映射方面缺乏進(jìn)展有關(guān)。

網(wǎng)絡(luò)安全是最受關(guān)心的數(shù)據(jù)隱私問題

網(wǎng)絡(luò)安全或數(shù)據(jù)泄露是受訪者最關(guān)心的數(shù)據(jù)隱私問題，英國高管對此表示特別擔(dān)憂。零售業(yè)和金融服務(wù)業(yè)的受訪者的關(guān)注度高于所有其他行業(yè)，分別為42%和41%。

美國受訪者關(guān)注的第二大數(shù)據(jù)隱私問題是訴訟和監(jiān)管執(zhí)法行動(dòng)，而在英國，排名第二的是客戶忠誠度或信任的損失以及遵守隱私法的成本。有趣的是，與英國受訪者相比，美國受訪者更擔(dān)心沒有充分利用數(shù)據(jù)來最大限度地提高銷售額或收入，而不太關(guān)心合規(guī)成本。

Cho表示，隱私權(quán)在歐盟是一項(xiàng)基本權(quán)利，GDPR及其前身指令為保護(hù)這些權(quán)利提供了長期的法律框架。相比之下，美國法律在歷史上一直是部門性的和保守的。例如，只有發(fā)生過個(gè)人數(shù)據(jù)被侵犯的事件，這些新的州綜合隱私法才會(huì)提出積極的要求，主要的推動(dòng)力是賦予消費(fèi)者對其數(shù)據(jù)的權(quán)利，特別是當(dāng)數(shù)據(jù)被貨幣化時(shí)。

該研究還指出，受訪者對地理位置數(shù)據(jù)隱私問題表示顯著擔(dān)憂。在美國，40%的受訪者非常擔(dān)心隱私法，其中包括對收集和使用精確的消費(fèi)者地理位置數(shù)據(jù)進(jìn)行定向營銷的具體限制，而英國的這一比例為32%。美國受訪者還更關(guān)注地理位置數(shù)據(jù)提供的洞察力（35%對26%的英國受訪者）以及相關(guān)收入（24%對22%）。與此同時(shí)，英國受訪者更關(guān)心獲得消費(fèi)者的同意（56%對51%的美國受訪者）和確定具體的商業(yè)目的（55%對50%）。

人工智能、生物識(shí)別技術(shù)帶來新的挑戰(zhàn)

人工智能和生物識(shí)別等不斷發(fā)展的技術(shù)正在進(jìn)入數(shù)據(jù)隱私的范疇，這兩種技術(shù)都帶來了各自的機(jī)遇和挑戰(zhàn)。企業(yè)正在加快采用人工智能技術(shù)，僅在過去一年就有22%的企業(yè)開始使用此類技術(shù)，這是由于OpenAI的ChatGPT等生成型人工智能的迅速普及。

受訪者列舉了人工智能的廣泛用途，36%的人使用該技術(shù)生成內(nèi)容，另有24%的人計(jì)劃在明年這樣做。然而，報(bào)告指出，倫理問題（45%）和法律風(fēng)險(xiǎn)（34%）是采用人工智能的主要障礙。目前，世界各地正在籌劃和出臺(tái)人工智能法規(guī)，歐盟的《人工智能法案》預(yù)計(jì)最快將于2025年通過并適用于企業(yè)，旨在成為一項(xiàng)全球標(biāo)準(zhǔn)。在英國，政府發(fā)布了一項(xiàng)“支持創(chuàng)新”的人工智能監(jiān)管提案，而在美國，聯(lián)邦行動(dòng)旨在推進(jìn)白宮的人工智能權(quán)利法案。

至于指紋和面部識(shí)別等生物識(shí)別技術(shù)，去年在全球范圍內(nèi)的使用量有所增長。近三分之二（64%）的美國受訪者目前正在使用該數(shù)據(jù)，而去年這一比例為59%，另有225人計(jì)劃使用。在英國，59%的企業(yè)正在使用生物識(shí)別數(shù)據(jù)，另有21%的企業(yè)計(jì)劃使用。

然而，報(bào)告指出，隨著這些技術(shù)的不斷普及，數(shù)據(jù)隱私合規(guī)的問題也在增加。去年10月，陪審團(tuán)在《生物識(shí)別信息隱私法》（BIPA）集體訴訟中首次作出裁決，一群卡車司機(jī)成功起訴了一家貨運(yùn)鐵路運(yùn)營商的指紋掃描安全要求。研究表明，原告的成功可能會(huì)鼓勵(lì)其他人追求自己的主張。

保障數(shù)據(jù)隱私的最佳實(shí)踐有哪些？

Womble Bond Dickinson的報(bào)告包括一份數(shù)據(jù)隱私合規(guī)清單，概述了應(yīng)對不斷發(fā)展的數(shù)據(jù)隱私法的最佳實(shí)踐。其中包括：

1.任命一名內(nèi)部項(xiàng)目經(jīng)理或負(fù)責(zé)人。

2.建立一個(gè)專門的多部門團(tuán)隊(duì)，包括IT、人力資源、法律、合規(guī)、市場營銷和工程。

3.進(jìn)行數(shù)據(jù)映射并了解整個(gè)組織的數(shù)據(jù)實(shí)踐。

4.開發(fā)處理和響應(yīng)數(shù)據(jù)隱私權(quán)請求的平臺(tái)和系統(tǒng)。

5.聘請外部法律顧問就合規(guī)性提供建議。

6.更新公司隱私政策。

7.設(shè)置指標(biāo)和具體目標(biāo)以跟蹤合規(guī)進(jìn)度。

8.起草或更新與第三方的協(xié)議，以符合新的隱私要求。

專家觀點(diǎn)

中通快遞安全專家陳圣表示，組織在制定數(shù)據(jù)隱私保護(hù)相關(guān)策略時(shí)，可優(yōu)先從以下幾點(diǎn)出發(fā)：

一、定期開展個(gè)人信息和數(shù)據(jù)安全的檢查，做到摸清數(shù)據(jù)資產(chǎn)、建立相關(guān)資產(chǎn)臺(tái)賬，做到全覆蓋，并落實(shí)相關(guān)個(gè)人信息保護(hù)制度。

二、對重點(diǎn)的關(guān)鍵基礎(chǔ)設(shè)施展開網(wǎng)絡(luò)安全演練，進(jìn)行沙盤推演，從而進(jìn)一步驗(yàn)證防護(hù)策略及技術(shù)措施的有效性。

三、落實(shí)實(shí)名制，并進(jìn)一步完善上下游企業(yè)的背景審查工作。

四、進(jìn)一步加強(qiáng)技術(shù)創(chuàng)新能力，加大對網(wǎng)絡(luò)身份認(rèn)證、監(jiān)管及國家標(biāo)準(zhǔn)所要求的個(gè)人信息隱私保護(hù)的相關(guān)要求規(guī)范的達(dá)成。

五、常態(tài)化的開展網(wǎng)絡(luò)及個(gè)人隱私數(shù)據(jù)保護(hù)安全培訓(xùn)，進(jìn)一步建立健全教育培訓(xùn)考核機(jī)制，與員工及管理層的崗前培訓(xùn)及日常培訓(xùn)掛鉤，與績效掛鉤真正意義上落實(shí)培訓(xùn)內(nèi)容，各個(gè)崗位人員都具備并掌握網(wǎng)絡(luò)及數(shù)據(jù)安全意識(shí)，具備基本的網(wǎng)絡(luò)和數(shù)據(jù)安全技術(shù)防護(hù)能力。

六、強(qiáng)化宣傳引導(dǎo)，完善相關(guān)輿情應(yīng)對細(xì)則及方案，及時(shí)回應(yīng)社會(huì)關(guān)切，將個(gè)人信息保護(hù)責(zé)任制落實(shí)到實(shí)處。

知乎答主沙子表示，無論身處哪個(gè)行業(yè)，無論組織規(guī)模如何，制定隱私策略都是一個(gè)復(fù)雜而繁瑣的過程。每個(gè)組織都必須了解制定隱私策略這一流程的本質(zhì)，并采用嚴(yán)格的標(biāo)準(zhǔn)和實(shí)踐來鞏固隱私舉措。根據(jù)最近的一篇文章，就在不久之前，尚無令人信服的理由讓組織在更大的業(yè)務(wù)策略中深入考慮隱私方面的因素。而現(xiàn)在，組織面臨著更大的隱私和安全風(fēng)險(xiǎn)，由此根據(jù)組織的業(yè)務(wù)策略制定有針對性的隱私策略可以帶來更好的結(jié)果。因此，數(shù)據(jù)隱私應(yīng)該是組織策略管理流程的關(guān)鍵組成部分，可以通過組織的愿景、價(jià)值觀和政策清晰地表達(dá)出來。策略通常是指為實(shí)現(xiàn)長期或組織目標(biāo)而制定的行動(dòng)計(jì)劃。因此，隱私策略必須是明確的行動(dòng)計(jì)劃，旨在確保遵守既定的隱私標(biāo)準(zhǔn)、規(guī)則和法律。隱私策略應(yīng)概述組織中如何應(yīng)用或采用相應(yīng)法律定義的隱私原則。例如，根據(jù)GDPR第5(2)條，控制者有義務(wù)證明自己遵守了與個(gè)人數(shù)據(jù)處理相關(guān)的原則。如GDPR 4第5(1)條所述并根據(jù)美國《加利福尼亞州消費(fèi)者隱私法案》(CCPA)，該司法管轄區(qū)下的組織必須采取適當(dāng)措施證明合規(guī)性。在牙買加，其《數(shù)據(jù)保護(hù)法》第21條規(guī)定，數(shù)據(jù)控制者在過渡期結(jié)束時(shí)有責(zé)任遵守某些隱私標(biāo)準(zhǔn)。

針對個(gè)人的隱私保護(hù)措施，知乎答主子墨表示，對于數(shù)據(jù)主體（被采集個(gè)人）來講，也需要有足夠的保護(hù)意識(shí)，需要注意以下事項(xiàng)：

1.不要輕易在網(wǎng)上將自己的隱私信息泄露出來，諸如在微信上展示地理位置、照片等涉密信息。

2.不要輕易在網(wǎng)站注冊信息，即使注冊也應(yīng)采取最小化原則，注冊時(shí)應(yīng)注意網(wǎng)站是否有明確的隱私政策聲明等信息，避免泄露自己的隱私信息。

3.在允許的情況下盡量采取一些匿名化的方式，比如快遞的姓名可以采用昵稱，地址選擇公共地址以及快遞包裝箱在處理的時(shí)候應(yīng)去掉個(gè)人信息等。

結(jié)語

在數(shù)據(jù)資產(chǎn)化的當(dāng)下，無論是企業(yè)還是個(gè)人，都要做好數(shù)據(jù)隱私保護(hù)的準(zhǔn)備。對于個(gè)人來說，盡可能因注冊APP或小程序而泄露個(gè)人的隱私信息，而對于企業(yè)來說，制定完備的數(shù)據(jù)隱私策略，實(shí)施數(shù)據(jù)映射政策等措施應(yīng)該立刻提上日程，不要等到數(shù)據(jù)泄露造成更大的損失才亡羊補(bǔ)牢。

參考文獻(xiàn)：

Only half of organizations“very prepared”to meet global data privacy laws——Michael Hill