2020小米开发者大会：基于数据发现的个人信息保护治理体系

      分享过程中，肖雄介绍了中日韩、欧美、澳大利亚、巴西等数据合规大国的个人隐私保护法律的发布情况，同时也介绍了与法律匹配的个人信息保护行业的发展方向和体系结构。国际最具权威的隐私专业协会IAPP提出了一个个人信息保护治理体系架构。这套架构，根据主要参与者的不同，分成两部分。一部分是数据保护官们主导的部分，包括评估管理、同意管理、数据地图、隐私信息管理、web扫描、数据主体权利、和应急响应等功能；另一部分，与业务强相关，需要企业内更多人都参与其中，包括数据发现、数据行为监控、去标识化/匿名化以及企业通信四部分。其中，隐私信息管理，指的是自动提供各国个人信息保护法的法律信息，包括法律之间的对比，以及业务模块与法律的匹配指引，也还保护世界各地重大个人信息保护法新闻等；web扫描指的是检查客户网站或服务，以便确定嵌入了哪些cookie、信标和其他跟踪器，以帮助确保遵守各种cookie法律和其他法规；企业通信是指组织以安全的方式进行内部通信以避免员工通信危险泄漏等的解决方案。

     数据发现是整个治理体系的基础，没有完整的个人信息数据发现与分级分类，一切治理行为和活动都无法开展，而数据发现、数据地图、行为监控技术构成了数据管理体系的核心，合规功能都围绕以这个核心来实现。数据发现和数据地图可以对同意管理、评估管理、隐私信息管理起到自动化验证作用 ，确保企业处理的个人信息获得了用户同意，确保企业个人信息生命周期管理符合个人信息风险评估的基线要求，确保企业的个人信息管理满足法律法规的要求。此外，数据发现和数据地图还可以对去标识化、行为监控、数据主体权利起到支撑作用，实现个人数据的自动识别与搜索，提升业务的处理效率。作为一个形象的比喻：如果把隐私保护系统比作一辆汽车，数据发现就是这辆汽车的发动机，数据地图就是这辆汽车的仪表盘，行为监控就是这辆汽车的各种传感器或探头。

       作为数据合规治理体系的重要组成部分，肖雄还着重介绍了评估管理、同意管理和数据主体权利三部分内容。评估管理则构建了个人信息的管理基线。它的核心功能自动化实现隐私管理的不同功能，如操作PIA（隐私影响评估）/DPIA（数据保护影响评估）、定位风险差距、展示合规性，以及帮助隐私管理人员扩展需要的模板、数据输入和报告等。评估管理是一切个人信息管理活动的起点，个人信息保护的管理行为及管理活动的基线。完美的评估管理，将全景360度展示个人信息全生命周期的活动，决定了后续管理行为的自动化程度和水平；对于同意管理，它的核心是加强消费者的可控能力，起源于评估管理，也可根据业务需要譬如营销、服务等进行定制，主要载体包含：APP同意管理、web同意管理，也就是cookie的同意，还有营销同意管理和隐私声明政策等，通过这些来实现对于用户同意的有效管理，匹配法律法规的要求；数据主体权利增强了消费者对个人信息同意后的管理，这些权利包括取消同意、个人信息的查询、删除、更正、注销账号等。而对数据主体请求的反应速度和自动化能力，将直接反映出企业对个人信息的管理水平。

      肖雄就数据安全和数据合规的差异以及当前整个数据合规行业的进展和不足做了总结。他将目前的数据合规和十年前的安全进行类比，认为合规的必然像当年的安全一样，随着国家法律、监管以及各种资源和技术的完善，必将走上高速发展之路。