隐私合规风险知几何?数据合规商用需过九重关

摘 要

在现代商业发展进程中,数据驱动的业务创新正起着至关重要的推动作用,隐私数据的引入,让企业能够更精准地发现潜在客户,更好地服务目标人群,甚至开辟全新的市场空间。 然

   

在现代商业发展进程中,数据驱动的业务创新正起着至关重要的推动作用,隐私数据的引入,让企业能够更精准地发现潜在客户,更好地服务目标人群,甚至开辟全新的市场空间。

然,福兮祸之所伏。每一次创新,都有可能打破隐私数据使用的常规范式,带来诸如对个人隐私空间侵犯、企业敏感信息泄露等额外的隐私风险和不良社会影响。政府相关部门作为市场秩序和社会秩序的守护者,就会为此设定对应的法律法规,来规范企业在进行依赖隐私数据的业务创新时,应遵循的必要标准。

近年来,以欧盟《通用数据保护方案》(简称GDPR)为代表,世界各国政府对于隐私的立法保护不断细化,惩罚力度大大加强。在我国,以《中华人民共和国网络安全法》、《信息安全技术 个人信息安全规范》、《个人金融信息保护技术规范》为代表的现有法律框架内,对于侵犯隐私的不法行为也有判罚,轻则罚款,重则锒铛入狱。

就在上周五(3月6日),个人隐私安全在国家层面得到更细粒度的保护,2020年新版国家标准《信息安全技术 个人信息安全规范》正式发布,对个人信息收集、储存、使用做出了明确规定,并规定了个人信息主体具有查询、更正、删除、撤回授权、注销账户、获取个人信息副本等权力,同时新增「多项业务功能的自主选择」「用户画像的使用限制」「个性化展示的使用」「第三方接入管理」等内容。

如何才能让业务创新有效地满足隐私合规的严格要求?这里,我们将从控制合规成本的角度,分享关于平衡隐私合规风险和现代商业发展的一些思考:如何识别隐私合规风险,理解不同层面的合规需求,通过技术手段控制合规成本,并应对企业发展业务扩张过程中可能出现新的隐私合规挑战。

隐私合规风险知几何?数据合规商用需过九重关

明确隐私合规的目标  

由于存在企业发展阶段和区域市场法律法规的差异性,有效应对隐私风险的首要任务在于明确隐私合规的目标。

我们可以观察到,伴随着立法的细化深入,近年来关于「什么数据才算是隐私数据」的争议在不断减少。尽管每个区域法律法规对于隐私数据的定义不尽相同,但都提供了具体的类型定义和敏感性分级,例如,位于最高敏感级的KYC身份数据、金融数据等。这使得我们现在能够避免以往权利边界不清的问题,从而明晰隐私合规的目标。

对于在某一区域开展的业务,隐私合规的目标可以归结为:

保护当前区域市场法律法规中定义的隐私数据,并在产品设计中提供相应的特性,以此保障客户的法定权利。

这里提炼出的两组关键词——“数据内容保护”和“数据权利保障”,代表了隐私合规的两条主线。

接下来,我们将围绕两条主线相关的九个维度,具体描述其对应的合规需求。

隐私合规风险知几何?数据合规商用需过九重关

从九个维度拆解合规需求 鉴于信息化社会中绝大部分成功的商业模式,难免会依赖源自海量客户的海量隐私数据,传统的人为治理手段效率十分有限,而潜在的违规惩罚金额相当“可观”。所以,我们需要引入技术手段来满足来自各个维度的合规需求。

九个维度的合规需求犹如隐私合规的九重关卡。对于普通企业而言,重点关注最基本的维度便可满足合规需求。但对于处于强监管行业中的企业,如金融科技公司,或者运营跨国信息业务的企业,如在线社交网络、跨境电商等,则可能需要满足所有维度的合规需求。

如何才能过关斩将,最终在合法合规的框架下,实现业务稳健发展?这里,我们将一一阐述相关要点。

隐私合规风险知几何?数据合规商用需过九重关

第一维度:界面数据隐匿

在用户界面中隐匿数据,使得客户在使用产品时,其隐私数据无法被附近位置的恶意第三方所窥视。

作为数据内容保护合规中最容易满足的一个需求,直接的界面渲染操作,如简单的显示打码、数据截断等都是有效的技术手段。

然而,它往往也是最容易因为忽视而出现隐私事故的一个维度。尤其是在多个敏感数据字段同时显示的前提下,若隐匿技术使用不当,可能等同于没有任何隐匿效果。

隐私合规风险知几何?数据合规商用需过九重关

第二维度:网络数据隐匿

在网络维度上隐匿数据,使得隐私数据在传输过程中,无法被恶意第三方截获明文。





    A+
发布日期:2020-05-08 02:59   所属分类:股票资讯
标签: