导语:用九智汇合规总监穆昭薇受邀参加互联网合规论坛,发表了“科技助力数据合规——实践与畅想”演讲,分析企业面临的数据合规挑战,深度介绍了用九智汇提出的合规方案——基于“数据合规LED (Law, Event, Data)”的治理框架。
4月20-21日,“第二届企业合规管理与事务大会”在上海成功举办,来自政府、企业、律所的代表共同探讨企业合规相关的政策和热点话题。
用九智汇合规总监穆昭薇受邀参加互联网合规论坛,发表了“科技助力数据合规——实践与畅想”演讲,分析企业面临的数据合规挑战,深度介绍了用九智汇提出的合规方案——基于“数据合规LED (Law, Event, Data)”的治理框架,并提出“以科技,促合规”的理念,分享如何通过AI能力为数据合规治理带来智能、高效的体验。
- 演讲精彩内容记录 -
一、企业面临的数据合规挑战
自《网络安全法》《数据安全法》《个人信息保护法》陆续颁布生效以来,受我国法律管辖的企业在数据合规建设中,通常会面临来自三方面的挑战:
监管侧:法律法规的广度不断扩展、深度不断细化,新的合规要求在最初发布阶段还没有建立起配套的实施指南,企业希望通过权威专家解读、行业讨论来明确落地路径;
用户侧:用户隐私保护意识不断提升,法律也赋予个人数据主体更多的权利,企业在C端处理个人信息时需要设计不同场景的隐私协议文本、做好交互体验,并及时响应用户行权请求;
合作伙伴侧:需要与三方明确数据处理的法律关系,做好事前尽职调查、事中持续监控和快速响应、以及事后的清退与黑名单机制。
而在企业内部,数据被访问、导出、下载、外发等等,数据使用场景多、流出敞口多,难以做好全面的防控和风险监测。
二、基于LED的合规治理框架
在此背景下,用九智汇提出“数据合规LED (Law, Event, Data)”治理框架,以解决“数据资产难摸清、裁量尺度难把握、泄露风险难防控”三大难题。
基于LED框架,用九智汇构建由 隐私合规、数据安全、数据治理 三大套件组成的一站式数据合规平台,实现隐私合规管理、风险防护监测、数据发现识别三向协同:
三、典型应用场景
具体而言,企业可以参照上图来建设一套数据合规管理框架,从而实现数据合规的三个目标:建流程、防风险、塑心智。
目标一:建流程
基于Privacy by Design理念,建设统一标准化数据安全与合规评估流程;为帮助评估提效,用九智汇联合行业专家沉淀并不断更新业务场景库与合规规则库,可快速匹配评估模板、启动PIA/DPIA评估流程。
目标二:防风险
以数据资产发现和分类分级为基础,联通数据使用申请与合规评估,强化访问控制与行为监控,实现数据安全风险的管控和审计。
目标三:塑心智
建设面向管理层、面向员工、面向监管、面向用户的多视角隐私合规中心:
通过合规水位大盘,可以向企业管理层清晰地展现各条业务线的合规水位、高风险问题,从而获得相应的资源支持;
通过隐私教育门户,可以向员工持续宣贯隐私保护要求、开展安全合规意识培训、考核,并以积分兑换小礼品的方式鼓励员工自主学习;
通过合规监查平台,可以统一入口、集中化管理合规证据,例如安全制度、检测/评估/认证报告、审计报告等;
通过APP隐私中心,可以展现个性化设置界面,向用户展示“双清单”,并允许用户发起行权请求。
对于如何建立基于PbD的数据合规平台,用九智汇提出了三个关键步骤:
(1)制定规则:以合规知识库中的法律法规、标准指南为输入,制定评估模板、编排评估逻辑、维护风险库;
(2)开展评估:通过“数据合规评估”产品,开展日常评估或专项评估;评估结果可以与“数据处理活动”产品联动,实现RoPA的自动更新;同时,合规评估、数据处理活动产品也支持与数据分类分级产品打通,提示不同类型数据的敏感等级,对敏感数据对流转链路可以更加清晰地呈现;
(3)落实义务:在评估之后,可能需要更新隐私文档,或与第三方签订法律文件,或对识别出的问题评定风险等级,这些动作都可以由“隐私合规套件”来辅助完成。
四、以科技,促合规
分享的最后,穆昭薇介绍了用九智汇在“以科技,促合规”上做的三向探索:
智能生成内容——Privacy Chat
代码合规扫描——Privacy Scan
个人信息画像——Privacy Data
(1)智能生成内容——Privacy Chat
AIGC是近期的热门话题,那么当AIGC遇到数据合规,能擦出怎样的火花?
穆昭薇分享了用九智汇的思路:AIGC的应用场景不应仅限于智能问答,而应真正解放合规侧与业务侧双向的劳动力。
让我们一起设想以下场景:
业务方询问:“车外数据能否传到云端?”
Privacy Chat回答并追问:“车外数据可能包括个人信息和重要数据。已进行匿名化处理的视频、图像数据,可以通过网络向外传输车外数据。请详细描述车外数据的类型?”
业务方回复:“车外的人脸、车牌、建筑物…等数据”
Privacy Chat基于几轮交互后得到的信息,为隐私合规人员创建了一份“车外数据收集”的PIA模板,自动填充了采集、传输、加工使用的车外数据类型,并设置了若干相关评估问题,将模板推送给隐私合规人员做审核。
因此,AIGC能够总结业务问题、提炼业务场景、匹配合规规则、生成合规问卷,提速评估流程。
而这,只是AIGC应用的一个场景举例。
为了符合AIGC的相关监管要求,用九智汇提出了AIGC本地化部署的三层大模型——广域开源大模型、行业领域模型、企业私域模型,保证企业敏感数据不出域。
(2)代码合规扫描——Privacy Scan
代码扫描,在过去是SDLC中必不可少的一个安全环节。而今,通过代码扫描还可以快速生成一个实时的数据处理活动,识别出数据收集、传输、存储、使用、提供、删除环节,从而快速发现隐藏的数据合规风险,让PIA评估结果更真实、准确。
(3)个人信息画像——Privacy Data
隐私合规的保护对象是用户及其个人信息。结构化数据、非机构化数据(图片、文件、音视频等),可能都蕴含着大量的个人信息,需要全面识别和分类分级。
Privacy Data能够从企业大规模的数据中扫描识别出个人信息,形成集中式、可视化的个人信息画像,是做好个人行权响应(DSAR)、个人信息泄漏响应等合规义务的必不可少的输入。
如若转载,请注明原文地址