隱私工程白皮書2023年9月前言2022年，我國發布了國家標準GB/T41817-2022《信息安全技術（“《個人信息安全工程指南》”。作為（“《個人信息保護法》”）落地的國家標準之一，該標準結合國外隱私工程的實踐經驗以及《個人信息保護法》的相關要求，在需求、設計、開發、測試、發布的傳統開發流程中嵌入個人信息保護的工程化要求，旨在將個人信息保護措施與產品和服務同步規劃、建設和使用，主動預防個人信息安全風險和侵害用戶個人信息權益事件的發生，為幫助網絡產品和服務提升個人信息保護能力提供工程化指引。個人信息安全工程的概念取自隱私工程即engineering”ISO/IECTR27550:2019《信息技術安全技術系統生命周期流程中的隱私工程》將隱私工程定義為“將隱私問題納入系統和軟件工程生命周期過程的工程實踐”。作為將隱私保護要求嵌入系統工程乃至企業管理全流程的一套方法論，歐盟、美國等國家對其進行持續討論和研究，對于隱私工程與隱私保護立法的關系、如何指導企業進行隱私工程實踐等形成了較為體系化的結論和成果。相比之下，我國對于隱私工程的研究和實踐仍處于初期。一方面，隨著我國個人信息保護立法的不斷完善，如何在落實個人信息保護合規要求的同時盡量減少對業務的負擔成為企業無法回避的課題，越來越多的企業開始從技術和管理等多角度求解，但尚未形成較為系統和全面的方法論；另一方面，我國對數據要素市場的大力發展也促使企業主動探尋數據安全合規流通路徑，尤其是個人為了加深企業對隱私工程的理解，幫助處在不同發展階段的企業提升隱私保護能力，我們聯合在隱私工程理論和實踐方面有經驗國企業的隱私工程實踐經驗進行介紹，希望能夠為企業隱私保護能目錄一、隱私工程的起源：從隱私設計到隱私工程 1(一) 隱私設計的產生和發展 1(二) 隱私設計與隱私工程 4二、 隱私工程的內涵：以隱私嵌入系統工程為核心 6(一) 隱私工程的定義 6(二) 隱私工程的目標 8(三) 隱私工程的內容 10三、 隱私工程的價值：企業隱私保護的必經階段 13(一) 監管趨勢：隱私保護監管趨于精細化常態化 13(二) 用戶需求：個人信息主體權利保護成為隱私保護重點 15(三) 企業發展：隱私保護助力企業合規高效發展 16四、 隱私工程的實踐：我國隱私工程實踐探索 18(一) 隱私工程體系建設流程參考 18(二) 隱私工程體系建設架構參考 32(三) 隱私工程體系建設建議 43五、 結語 46參考文獻 47圖目錄圖1隱私設計七大基本原則 2圖2個人信息安全工程目標和《個人信息保護法》基本原則映射 9圖3《個人信息安全工程指南》個人信息安全工程各階段活動 10圖4NIST隱私工程構成 圖5AmberGroup信息安全與隱私組織架構 19圖6OPPO安全隱私保護組織架構 20圖7AmberGroup信息安全與隱私管理體系文件融合架構 21圖8螞蟻i-ABC隱私工程體系隱私水位洞察域架構 21圖9OPPO數據安全技術防御體系 23圖10隱私影響評估域架構 26圖隱私影響評估策略管控 26圖12隱私風險監測域架構 32圖13技術驅動的i-ABC隱私工程體系 33圖14阿里巴巴隱私工程框架 35圖15數據流通隱私合規風險精細化管控系統 37圖16OPPO隱私工程實踐框架 39圖17AmberGroup數據安全與隱私保護框架 41表目錄表1國內外隱私工程目標對比 9表2ISO/IEC27550:2019提出的覆蓋系統生命周期的隱私工程流程 12表3隱私工程內容 12表4星紀魅族隱私工程流程 27隱私工程白皮書隱私工程白皮書PAGEPAGE2一、 隱私工程的起源：從隱私設計到隱私工程(一)隱私設計的產生和發展2090AnnCavoukian提出“隱私設計”PrivacybyDesign（b”，該理念認為隱私不能僅靠遵守法規監管框架來保證，相反，保障隱私安全在理想情況下應當成為一種默認操作模式，對隱私的保護必須由產品設計師們以一種雙贏的方式設計出來。雙贏的隱私設計應當貫穿始于采集、終于銷毀的個人信息處理活動全生命周期。在此之前，隱私計算技術一度成為人們追捧的隱私保護解決方案，但隨著隱私保護的法律原則和要求的發展，人們漸漸認識到隱私計算技術雖然能夠通過數據最小化、數據可用不可見等方式幫隱私設計理念提出將隱私計算技術的應用擴展為一套完整的隱私設計框架，主動將隱私保護嵌入信息技術、網絡基礎設施和商業實踐中，并通過實踐七項基本原則（1）來實現這種嵌入的隱私保護理念。1

來源：CCSATC601隨著時間的推移，隱私設計理念及其原則逐漸被各國監管機構和國際組織所認可，并成為推動隱私保護發展的重要理論基礎。201010理論作為未來隱私保護至關重要的組成部分1。2018年生效的歐盟enerlataroeconeuaiR）將隱私設計理念納入第二十五條“DataProtectionbyDesignandbyDefault”中；202010月，歐洲數據保護委員會（EuropeanDataroeconardB）發布了udenes429onrile25DataProtectionbyDesignandbyDefault2.0設計的數據保護和基于默認的數據保護需要考慮的相關要素進行分析后，提出了透明度、合法性、公平性、目的限制、數據最小化、準確性、存儲限制、完整性和保密性、可問責性等原則，并針對每132ndInternationalConferenceofDataProtectionandPrivacyCommissioners.Privacybydesignresolution,October2010.27-29October2010,Jerusalem,Israel.個原則提供了具體的要素和示例解讀供參考。英國信息專員辦公室（InformationCommissioner’sOffice）發布GuidetoDataProtection2017年以來持續更新，其中就“隱私保護設計”設專章，鼓勵企業將隱私保護設計納入現有的項目管理和風險管理方法和政策中。美國聯邦貿易委員會（FederalCommission）2012年發布的報告2中提出以“隱私融入設計”“簡化的用戶選擇”“透明性”為三大原則的隱私框架。202263日，美國參議院和眾議院發布的第一個獲得兩黨兩院支持的美國聯邦全面隱私保護提案《美國數據隱私和保護法》（AmericanDataPrivacyandProtectionAct）草案也將隱私融入設計原則放置在忠誠（InternationalOrganizationfortaariatnIO）在23年1月還發布了I30-:23隱私設計的產生和發展標志著一種新的隱私保護范式的興起，為更完善的隱私保護提供了新思路。同時，AnnCavoukian提出的隱私設計理念也面臨著一些挑戰，例如，企業管理層對于隱私保護的事后補救觀念難以轉變、設計和開發工程師需要有過硬的隱私保護2ProtectingConsumerPrivacyinanEraofRapidChange:RecommendationsForBusinessesandPolicymakers隱私工程白皮書隱私工程白皮書PAGEPAGE10專業知識以選擇合適的隱私保護架構和策略、業內尚未形成廣泛共識的方法論等等。這些挑戰也成了各國數據保護監管機構以及國際組織等持續討論和研究的課題。(二)隱私設計與隱私工程也進行了一系列的演變和發展，諸多學者和權威機構提出了一系列經典理論和知識體系，如隱私風險建模、隱私影響評估、隱私工程設計策略、隱私設計模式等等，將隱私設計從理論推向實踐，而其中很重要的一項發展就是隱私工程的誕生。由于隱私設計的七項基本原則較為抽象，業界一直致力于將該等原則具體化，形成一套可以直接指導實際研發并解決特定領域不同隱私需求的方法論，即隱rvcynieer。隱私工程對于隱私保護監管和企業實踐都有較強的指導意義。一方面，法律的更迭速度與技術的發展速度差距越來越大，引發了數據保護監管機構的擔憂。歐盟網絡和信息安全局（EuropeanUniongecyforberecrtyIA）指出，“歐盟各國數據監管機”3；另一方面，隱私保護立法日趨嚴格但較為概括模糊，企業對如何證明其數據處理活動遵守隱私保護要求存在困惑，例如如何保證對法律概念和工程實踐概念的理解保持一致，抽象的法律要求如何轉化為精確的研發工程，不斷更新迭代的系統如何保證持續合規等等。3PrivacyandDataProtectionbyDesign-fromPolicytoEngineering隱私工程通過梳理和總結隱私保護合規要求，將其轉化為系統工程中的目標、策略、風險管理框架、組織管理和運營方法，為隱私保護要求提供了具象化的實踐指引。二、 隱私工程的內涵：以隱私嵌入系統工程為核心GDPR直接將隱私設計原則納入立法中，因此歐盟對于隱私工程的探索主要圍繞如何將GDPR的原則性要求落地于實踐展開討論并提供指引。美國對于隱私工程的探索其核心目的與歐盟一致，都是針對如何將隱私保護的概括性原則和相關法律規定轉化為系統工程的隱私要求并融入系統開發流程中。從形式上看，美國的隱私工程框架體系偏向于實用手冊，更方便企業應用和實踐。ISO和國際電工委員會（InternationallecrotehcalissiI私工程的理論進行沉淀，沒有將與隱私工程相關的實操措施和細節進行詳細闡述，而是指向了其他框架、標準、書籍和論文，具備了一個知識索引的功能。我國則充分融合了國內外隱私工程實踐，在國內近幾年個人信息保護立法以及行業實踐基礎上，通過國家標準提供了一種履行義務的實踐路徑，即通過工程化的過程來將個人信(一)隱私工程的定義隱私工程的概念起源于國外，各國對于隱私工程的定義并不相同。ENISA指出“隱私工程可以被認為是DataProtectionbyDesignandbyDefault的一部分，目標在于支持選擇、運用和配置恰當的技術和組織措施，以實現具體的數據保護原則4究院（NationalInstituteofStandardsandNIST4PrivacyandDataProtectionbyDesign—frompolicytoengineering2017年在其內部報告5中將隱私工程定義為“一種系統工程的特殊方法，旨在讓個人免于承受系統處理個人識別信息過程中所產生的不可接受的后果”。ISO/IECTR27550:2019《信息技術安全技術系統生命周期流程中的隱私工程》（“ISO/IEC27550:2019”）認為隱私工程是“將隱私問題納入系統和軟件工程生命周期過程的工程實踐”。2022GB/T41817-2022（“《個人信息安全工程指南》”。該標準將也稱”6）“和要求融入產品服務規劃、建設的每個階段，使個人信息安全要求。本白皮書認為，隱私工程并不局限于將隱私保護的需求整合到系統和軟件開發生命周期，此外還需要一系列組織、技術和管理等多方面的支持。因此，本白皮書所指的隱私工程，是將隱私保護要求嵌入系統工程乃至企業管理全流程的一種工程實踐。這也和上文中歐盟和美國的定義較為一致。通過對比能夠看出，歐盟和美國對隱私工程的定義更加寬泛，并未將隱私工程限定在系統和軟件開發流程中，而是描述了通過隱私工程要達到“實現數據保護原則”和“保護個人隱私權利”目的。要實現這樣的目的，除了將隱私嵌入系統和軟件開發流程之外，還要在組織架構保障、技術措施選擇、合規基線確定、風險評估流程以及隱私風險管理等方面注意隱私保護。ISO/IEC對隱私工程的定義與我國《個人信息安全工程指南》5AnIntroductiontoPrivacyEngineeringandRiskManagementinFederalSystems6GB/T41817-20223.1在“注”中明確“也稱‘隱私工程’”。的定義較為類似，但結合ISO/IEC27550:2019對隱私工程階段流程的描述（包括采購與供應、人力資源管理、知識管理、風險管理等流程，IIC也并非認為隱私工程僅指將隱私要求融入系統和軟件工程生命周期過程。因此，我們在理解隱私工程時，可以在《個制度化、流程化、平臺化的方式來提升企業的隱私保護能力的工程實踐。將隱私要求嵌入系統和軟件開發流程是隱私工程的核心，但同時還需要通過組織保障、制度要求、流程管理、平臺工具等提供(二)隱私工程的目標各國對于隱私工程目標的設定基本以其倡導的隱私保護原則或標相一致（如表1，而“合法正當”和“最小必要”兩項目標則主要是基于《個人信息保護法》的頂層架構進行了調整（如圖2，使來源：CCSATC601圖2個人信息安全工程目標和《個人信息保護法》基本原則映射表1國內外隱私工程目標對比我國歐盟ENISA7美國NIST8合法正當//遵循個人信息安全相關法律法規要求，處理個人信息具有明確、合理的目的，不通過誤導、欺詐、脅迫等方式處理個人信息。//最小必要//處理個人信息與處理目的直接相關，采取對個人權益影響最小的方式，收集個人信息限于實現處理目的的最小范圍。//公開透明透明性（Transparency）可預測性（Predictability）公開個人信息處理規則，明示處理的目的、方式和范圍，提高產品服務個人信息處理的透明性是指所有與隱私相關的數據處理，包括法律、技術和組織設置，都可以隨時理解和重建。數據的實際處理、計劃處理以及處理后的具體情況都應當保證透明性。是指使個人、所有者和操作人員能夠對個人信息及其信息系統的處理有可靠的預期。7PrivacyandDataProtectionbyDesign—frompolicytoengineering8AnIntroductiontoPrivacyEngineeringandRiskManagementinFederalSystems我國歐盟ENISA7美國NIST8不可關聯不可關聯性（Unlinkability）不可關聯性（Disassociability）采用去標識化、匿名化等手段，減少個人信息關聯到個人信息主體引起的安全風險。是指隱私相關數據與域外的任何其他隱私相關數據集不可關聯。是指對個人信息或事件的處理，不與超出系統運行需求的個人或設備相關聯。可管理性可干預性（Intervenability）可管理性（Manageability）提供個人信息處理的管理機制，使用戶和組織能夠適當干預產品服務處理個人信息的過程。是指確保對所有正在進行或計劃進行的隱私數據處理進行干預，并在必要時能夠糾正和制衡。是指提供對個人信息細粒度的管理的能力，包括選擇、刪除和選擇性披露。來源：CCSATC601(三)隱私工程的內容輸出已給出了較為具體的實施方案，包含了需求、設計、開發、測試和部署軟件開發過程通用的個人信息安全工程活動（如圖3。此的要點和常見個人信息安全默認配置參考要點，對我國企業而言具來源：《個人信息安全工程指南》圖3《個人信息安全工程指南》個人信息安全工程各階段活動但如前所述，在完成《個人信息安全工程指南》提供的流程之外，企業還需要從運營和管理的角度提供一系列的隱私保護支撐，這些內容在NIST報告和ISO/IEC27550:2019中均有所體現。NIST941規和Is10（2）隱私影響評估，用于識別風（3）（4）隱私工程和安全目標，用于厘清并評估系統是否滿足相關要求以及妥善處理風險的能力；以及（5）風險管理框架，用于提供選擇和評來源：AnIntroductiontoPrivacyEngineeringandRiskManagementinFederalSystems圖4NIST隱私工程構成ISO/IEC27550:2019提出的隱私工程流程是建立在ISO/IEC/IEEE15288:2023《系統和軟件工程：系統軟件生命周期》之上的，從企業完整運營的角度考慮，認為隱私工程涉及包括采購、銷售、人力資源等相關部門，具備較強的兼容性。具體內容包括采購與管理流程、人力資源流程、知識管理流程、風險管理流程、相9AnIntroductiontoPrivacyEngineeringandRiskManagementinFederalSystems10FIPPs（FairInformationPracticePrinciples）即“公平信息實踐法則”是由美國衛生、教育與福利部提出的保護個人隱私的基本原則，包括個人有權知道他人收集了哪些關于他的信息，以及這些信息是如何被使用的；個人有權拒絕某些信息使用并更正不準確的信息；信息收集組織有義務保證信息的可靠性并保護信息安全。FIPPs隨后成為美國1974年《隱私法案》及其他聯邦和各州隱私保護法律的基礎，也被其他國家和國際組織所廣泛承認和接受。盡管隨著時間的推移FIPPs的內容在表達上有所變化，但始終被視為與各組織的信息管理實踐廣泛相關的一致核心原則。關方需求與要求流程、系統需求定義流程、架構定義流程和設計定。表2ISO/IEC27550:2019提出的覆蓋系統生命周期的隱私工程流程流程類型（ISO/IEC/IEEE15288）覆蓋系統生命周期的流程（ISO/IEC/IEEE15288）隱私工程事項協議流程采購流程供應鏈涉及個人信息供應流程組織項目賦能流程人力資源流程隱私工程人力資源管理知識管理流程隱私工程知識管理技術管理流程風險管理流程隱私風險管理技術流程相關方需求與要求流程相關方的隱私期待系統需求定義流程隱私原則執行架構定義流程隱私對架構的影響設計定義流程隱私對設計的影響來源：ISO/IEC27550:2019基于歐盟、美國以及ISO/IEC對于隱私工程內容的描述，結合我國個人信息保護的相關要求，本白皮書認為隱私工程主要包含以下內容：表3隱私工程內容組織人員從組織架構、工作職責、意識技能等方面，進行人才資源管理、溝通機制建立、隱私工程技能提升，以此構建讓隱私工程順利推行的組織根基。技術工具以技術工具的方式在產品/服務的數據處理活動中落地個人信息保護要求，或在內部管理中使用技術工具識別、管理個人信息保護風險。文檔管理隱私工程落地實施的規劃、執行方案、運行記錄、改進跟蹤均以文檔方式進行記錄并體系化管理。知識管理識別隱私工程知識庫的組成元素、形成可用的隱私工程知識庫并跟蹤分析其使用情況。系統開發生命周期隱私管理需求、設計、開發、測試和部署軟件開發過程中嵌入個人信息保護要求，參考《個人信息安全工程指南》的內容。第三方合作管理在第三方的準入篩選、合同簽訂、跟蹤監測、風險評估和退出等方面考慮隱私保護問題并形成全流程的管理機制。個人權利保障針對用戶個人信息權利的授權、個性化、權利請求響應和處理等方面形成體系化的控制策略和流程。隱私安全事件管理制定隱私安全應急預案并定期演練，建立事件的監測、處置、報告和通知流程。隱私風險管理建立隱私風險管理體系，對隱私風險的識別、分析、評價、處置和監測形成標準化管理機制和運營系統。來源：CCSATC601三、 隱私工程的價值：企業隱私保護的必經階段隱私保護其實早已成為我國企業關注的重點，企業或多或少都在從技術、管理等多角度滿足隱私保護要求，只是通常未形成較為系統和全面的方法論。隨著《個人信息保護法》的出臺和生效，我國的個人信息保護框架基本穩固，監管活動也逐漸趨于常態化，監管的關注點也越來越細致深入，大部分企業已具備基礎的個人信息保護能力，開始追求隱私保護的制度化、流程化和體系化，更多從事前考慮并關注如何預防、評估和處置個人信息安全風險。由此可見，隱私工程或將成為下一階段企業隱私保護的解決方案。(一)監管趨勢：隱私保護監管趨于精細化常態化APP監管向著標準化、自動化、智能化發展。自2019年開始，移動互聯網應用程序（APP）作為企業收集和處理個人信息的重要媒介，一直是我國隱私保護監管的重點。2020年7月，全國APP技術檢測平臺的上線和使用，APP檢測效率大大提高，2022年該平臺已具備每個月能夠檢測18萬款APP的能力11；2023年7月27日，APP開發管理風險線索報送系統上線，旨在進一步加強對APP全生命周期管理，幫助及時發現、有效處置APP在代碼設計、更新維護、程序管理中存在的風險漏洞。通過輔以技術檢測，監管不僅僅停留在原則性的灰度檢測和過度依賴司法裁判的事后釋法，APP被通報整改和下架已經成為常見的監管形態。11國新辦舉行2021年工業和信息化發展情況新聞發布會圖文實錄/xwfb/gwyxwbgsxwfbh/wqfbh_2284/2022n_2285/2022n01y20rsw/twzb_2344/202208/t20220808_316012.htmlAPP監管范圍擴大，覆蓋前端、后端及全流程。目前，APP監管范圍已經從APP深入至APP內嵌第三方軟件開發工具包ftareevlentiKPAPP的基本功能是否合法合規擴展到個人信息相關權限調用、信息上傳等。20232月，工業和信息化部發布《關于進一APP開發運營者主體要完善內部管理機制，將相關法規政策要求落實到產品研發、推廣和運營各環節；采取訪問控制、技術加密、去標識化等安全技術措施，加強前端和后端安全防護；主動監測發現個人信息泄露、竊取、篡改、毀損、丟失、非法使用等風險威脅，及時響應處置除了APP監管，違反《個人信息保護法》的各類行為也陸續出現在行政處罰案例中，如未對個人信息采取加密、去標識化等安全技術措施，在存儲和傳輸敏感個人信息時未采取必要的安全技術措施，沒有制定內部管理制度和操作規程等等；處罰對象也不局限于APP運營者，物業公司、售樓處、停車場等各行業、多樣化服務的運營主體也都“榜上有名”。一方面，常態化的監管意味著企業需要對監管要求保持高度敏感，并建立起一套與業務高度契合的隱私風險識別和處置機制，不僅能夠在發現問題時及時溯源和處置，還能夠通過定期的評估和監測提前發現隱私安全風險并積極預防。另一方面，精細化的監管要求企業將隱私保護深入到產品以及產品背后的系統、應用，進入真正的工程實現層面，把法律法規和標準內化形成一種順其自然的默認隱私態勢，降低隱私保護措施貫徹落實對企業的業務影響，做到從容應對立法、執法和司法的動態變化。(二)用戶需求：個人信息主體權利保護成為隱私保護重點保護個人信息主體相關權利成為法定要求。《個人信息保護法》生效后，企業需要對個人信息權利提供更多的保障，包括知情權、決定權、拒絕權、查閱復制權、更正補充權、請求轉移權、刪除權、解釋說明權等等。無法及時滿足用戶的權利行使請求會帶來行政處罰和訴訟風險。廣東省高級人民法院2023年1月發布的個人信息保護典型案例中，就包括平臺拒絕用戶對其個人信息的查閱復制請求而導致的訴訟案件。個人信息權利管理逐漸成為提升用戶體驗的重要模塊。隨著我國個人信息保護立法逐漸完善，公眾對于個人信息主體權利的保障意識不斷提高。如果說企業重視保障個人信息主體的相關權利起初是為了回應監管要求，那么現階段更多企業投入精力和成本提供便捷和人性化的個人信息管理功能，則是希望通過更好地維護用戶的個人信息主體權利來提升產品用戶體驗，進而增強產品的競爭力。起初，用戶行使相關權利通常需要通過意見反饋留言、發送郵件、撥打客服電話等實現，耗費時間長、反饋不及時；現在，越來越多的產品傾向于在產品的隱私設置中增加多樣化的個人信息權利管理功能，讓用戶可以更加便利地行使相關權利，如查看和獲取個人信息收集清單、授權和撤回授權、個性化管理等等。為此，企業不僅需要設置相應的產品功能，還需要全方位動態梳理個人信息資產，掌握其收集和使用的個人信息類型、數量、使用目的、授權情況等，對個人信息在內部的流轉進行全鏈路的追蹤和監測，以便在個人用戶提出權利行使要求時能夠準確高效地定位到相關個人信息，并配合進行相應處理。在產品需求和設計階段考慮個人信息主體的權利保障，正是隱私設計理念“尊重用戶隱私，以用戶為中心”的體現，也與隱私工程主張將隱私保護要求嵌入產品和系統開發流程中的基本要求不謀而合。具備良好隱私保護實踐的產品和服務不僅能減少隱私數據泄漏對個人權益的影響，也更加符合用戶的隱私期待。(三)企業發展：隱私保護助力企業合規高效發展隱私工程可以大大減少隱私保護對業務的影響。為了滿足監管合規要求、保護個人信息權益，企業在建立個人信息保護制度的過程中，需要承擔一些隱私合規的成本，如建設隱私合規能力和體系的培訓、評估以及技術和維護成本等。隱私保護策略的實施通常也會影響個人信息價值的開發利用，企業很難實現隱私保護和業務價值的雙贏。而隱私工程通過結合企業自身具體業務場景和合規要求，主動將隱私和數據保護需求嵌入到業務運營及系統服務的設計中，讓隱私保護成為企業商業實踐和系統運行的默認規則，成為業務和系統的核心組成部分，減少因為事后整改而導致前期產研投入的浪費。隱私工程有利于企業可持續發展。環境、社會和公司治理（nirentl,oia,oeraneG）作為一種關注企業環境、社會、公司治理績效而非傳統財務績效的企業評價標準，近年來越發獲得投資者和企業的關注。在香港聯交所的《環境、社會及行及監察方法”屬于強制披露內容。國際主流評級機構MSCI私和數據安全議題列為評級關鍵指標之一，尤其是針對信息與通信技術行業的企業的評估，該類指標所占權重很高。隱私工程作為能ESG相關ESG中的隱私安全與數據保護提供強有力的支撐，幫助企業建立良好的社會聲譽，助力企業可持續發展。四、 隱私工程的實踐：我國隱私工程實踐探索雖然隱私工程主要強調如何將隱私嵌入產品和系統的開發流程中，但要實現這種融合，還需要在組織建設、人員管理、技術選擇、制度流程等方面進行配合，對內涉及企業多部門多方面參與，對外還要關注用戶、合作方、監管部門等多個關聯方的安全隱私需求。本章結合我國企業的隱私工程實踐經驗，提供了可參考的隱私工程體系建設流程、架構及建議，拋磚引玉，企業可結合自身需求選取和應用。(一)隱私工程體系建設流程參考隱私工程體系建設可分為計劃階段、構建階段、集成階段、驗證階段和運營階段，各個階段與網絡安全主流的DevSecOps的框架相適應，以便能夠通過最小有效的方式將隱私保護嵌入已經較為完善的企業研發流程框架之中，減少隱私保護工作實施過程中的阻力。在實踐中，企業可根據自身情況判斷隱私保護現狀及差距，從適當的流程入手逐步完善隱私工程體系的建設。隱私工程計劃階段計劃階段主要是通過組織架構、人員職責、制度流程、技術工具和知識管理等方面進行規劃設計，是隱私工程的基礎性工作。組織架構與人員職責。從企業層面設立專門的隱私保護組織，明確組織構成以及各方職責分工，統籌規劃并推進個人信息保護整體工作。具體包括制定個人信息保護目標，建立運營機制和問責機制，通過持續完善運營機制和專項活動推動隱私保護目標達成，包括不限于推動標準化流程的建立及完善、定期考核目標達成情況、通過組織培訓活動提升員工隱私保護意識等。實踐案例|AmberGroup：職責清晰的安全隱私治理組織架構AmberGroup的信息安全與隱私組織架構（5）借鑒和參考了COBIT5.0、ISO27001ISO27701IT治理和安全隱私標準的組織架構設計指引，通過合理的層級設置和職責劃分，建立決策、管理、執行和監督四個層級的運作機制，具備分工合理、職責明確、相互制衡、報告關系清晰的特點，充分體現了治理框架的全面性、合規性、先進性、可操作性和審計獨立性。信息安全與隱私組織架構建立了安全委員會、信息安全與隱私保護管理組、信息安全與隱私保護執行組（信息安全與隱私部門、數據所有者、數據消費者、信息安全與隱私接口人、數據保護官、信息安全與隱私監管組等組織，建立了清晰的職責矩陣和RACI矩陣，能夠對每個隱私工作領域所需要負責（esponsbe、批準（Accounabe、咨詢（onsued、通知（Infored）的角色進行明確定義，確保隱私工作有效地落實責任。來源：AmberGroup圖5AmberGroup信息安全與隱私組織架構實踐案例|OPPO：安全與隱私管理“三道防線”建立完善的安全與個人信息保護組織，各司其職，分工協作，是隱私工程體系運行的基礎和驅動力。為此，OPPO成立了安全與合規委員會，負責制定安全與合規總體戰略規劃，統籌推進個人信息保護整體工作。安全與合規委員會下設安全與隱私管理（6第一道防線，由業務部門安全與隱私合規代表或安全系統工程師構成，主要向業務負責人及安全與合規委員會匯報，負責產品安全隱私策略的具體落地應用、自查自糾等。第二道防線，由專職的安全隱私部門構成，主要向安全與合規委員會匯報，負責安全隱私能力的建設與支持、推動產品安全隱私策略的落地。第三道防線，由審計部門擔任，主要向安全與合規委員會匯報，負責產品安全隱私策略落地的審計，發現風險，推動業務整改。OPPOOPPO同時建立清晰的問責機制，督促各級部門履行自己的職責，在發生違規情形時，將由公司進行對應的問責處置。來源：OPPO6OPPO安全隱私保護組織架構實踐案例|AmberGroup：信息安全與隱私管理體系文件融合架構AmberGroup在隱私工程上的制度、流程和規范包括個人數據收集與處理程序、個實踐案例|AmberGroup：信息安全與隱私管理體系文件融合架構AmberGroup在隱私工程上的制度、流程和規范包括個人數據收集與處理程序、個人數據留存及銷毀程序、數據主體同意管理規范、數據主體權利響應程序、數據處理記錄規范、個人數據泄漏響應程序、數據跨境傳輸程序、數據安全與隱私保護技術規Checklist、個人數據與隱私合規評估準則、IA&DIA報告及模板等主要內容（如圖7。這些文件共同為隱私工程的構建階段提供規范化文檔指引，也是知識管理中需要持續維護的內容。來源：AmberGroup圖7AmberGroup信息安全與隱私管理體系文件融合架構實踐案例|螞蟻集團：數字化的隱私合規基線-ACriacyevelnshtI如圖）的核心是隱私合規基線的數字化，通過對于內外部的數據和信息進行分析，制定相關業務或產品的隱私合規基線，在此基礎上對實際管控水位和管控效果進行跟蹤和分析。隱私合規基線的設置可綜合考量風險維度、業務表現、用戶感受、行業水位四個維度。設置合適的隱私合規基線應當做到對監管立法執法、行業動態進行及時感知和分析，通過用戶分析、投訴等信息構建用戶隱私感模型，以及對企業內各業務風險域的隱私水位進行標準量化管理及數據化分析。來源：螞蟻科技集團股份有限公司圖8螞蟻i-ABC隱私工程體系隱私水位洞察域架構技術工具。隱私工程在實踐中需要同時采用管理措施和技術手段來控制個人隱私合規風險。企業基于法律法規制定的制度流程等管理措施為管控個人隱私風險提供了原則和規范，而訪問控制、密碼算法、隱私增強計算技術等技術工具可以對隱私合規要求進行具象化的產品或系統實現。但隱私和數據安全領域與傳統信息安全領域有所不同，其風險項以原則性描述居多。同時，隱私保護及數據安全與實際業務耦合性較強，在控制隱私風險時，對業務模式和邏輯的侵入性也更強，較難建立統一認可的通用威脅模型和防護手段。因此，企業應結合自己業務的實際情況，對業務場景進行梳理，建立通用場景的隱私合規威脅模型和風險庫，并設計相應的隱私保護策略及解決方案，設置隱私合規基線，開展隱私影響自評估，在產品和服務上線前進行安全測試驗證。實踐案例|實踐案例|i-ABC隱私工程體系：專家經驗策略化與大模型緊密結合i-ABC隱私工程體系是技術驅動的隱私工程，核心是解決隱私保護傳統模式中依賴專家經驗判斷的效率問題和對個人信息識別的準確度問題。專家經驗策略化是指將專家的知識和經驗轉化為一種可以被機器理解和執行的策略或者規則。這種策略或者規則可以幫助專家在判斷個人信息處理活動合法性的時候，將傳統隱私保護活動中的事前審核方式，從人工逐個判斷，轉化為由機器批量處理，指數級提升事前管控審核的效率。與大模型緊密結合，是指在處理數據時，充分利用大數據和機器學習等技術。這些技術可以幫助更好地理解數據，發現數據中的模式和規律，以及提供使用者更自由、更高效的人機交互模式。例如，對個人信息活動中涉及的個人信息的進行提取，對個人信息類型進行判斷，或通過智能助手的形式輔助隱私保護業務運營人員進行法規影響、業務風險、產品隱私體驗等專家判斷。實踐案例|OPPO：可靠、可信、智能化的數據安全防御體系OPO以六層防御系統為基礎，打造數據安全防御體系（如圖9。運用AI、大數據等新技術，實現智能化云安全防護能力，并將安全與隱私活動貫穿產品全生命周期。同時，OPPO在安全隱私檢測技術上取得了一系列突破，通過安全與隱私合規檢測推動合規要求的切實執行，為用戶建立穩固的安全防線。除了專注于提高隱私合規檢測能力，OPPO也積極探索隱私保護技術的產品應用。例如，在產品的部分場景中使用了本地差分隱私技術，實現了數據的匿名化處理，為用戶提供先進的隱私保護能力，回應用戶的隱私保護期待。來源：OPPO圖9OPPO數據安全技術防御體系知識管理和培訓。隱私保護是一個跨學科、跨領域的專業，要求在業務、研發、產品、安全、隱私、法務、公關、人力資源等不同部門之間做到密切有效的配合，相關知識經驗的傳遞和沉淀是必不可少的。企業可參考ISO/IEC27550:2019開展隱私保護的人力資源管理以及知識管理。人力資源管理流程可以理解為隱私工程能力發展項目，主要以識別隱私工程能力以及對應資源的投入，包括培訓及教育、培訓材料的創建和維護，以及監控該能力的變化。知識管理流程主要是將隱私工程實踐中所積累的知識形成專業的知識庫，運用于實踐指導。企業可安排隱私保護組織制定年度培訓目標與計劃，并根據近期監管動向、合規趨勢、處罰案例、行業熱點等情況定制適合企業實際情況的培訓主題。實踐案例|星紀魅族：產品定制的隱私工程知識庫星紀魅族集團在隱私工程落實中重視人力資源管理和知識管理，由個人信息保護部門牽頭，聯合產品、設計、研發、測試多個不同部門制定了一套適用于本公司的個人信息保護知識庫以及培訓材料，并保證其在產品內統一、持續地推行。星紀魅族集團以產品實踐為樣本來錘煉知識庫，強調實踐出真知，在每個終端產品類型的合規落地中積累知識與經驗。個人信息保護部門提出應當滿足個人信息保護法律要求以及符合行業實踐的個人信息保護功能需求，產品和設計部門會結合公司的終端產品特性、交互設計規范等形成標準的統一產品方案，研發部門以代碼方式實現統一產品方案，繼而形成個人信息保護功能實現的標準化工具，測試部門則基于個人信息保護部門提供的測試用例形成標準化的測試方案、自動化測試工具。整套閉環的合規需求、產品設計方案、標準工具和測試方案經過一款產品落地的打磨后會進入到隱私工程知識庫，成為未來開發新功能的重要輸入。在隱私工程知識庫形成后，星紀魅族集團啟動了針對產品設計、研發及算法工程師的隱私工程培訓，且完成隱私工程的培訓與考核是試用期通過的前提條件之一，以使相關崗位人員具備隱私工程的必備技能，實現知識庫內容的融會貫通，在開發新產品、新功能時自然導入個人信息保護要求。比如，產品及設計的隱私工程必修課包括PbD理念、通用設計指南與設計用例（如告知同意的設計、基礎模式的設計等、常見的欺騙性隱私設計等等。以此確保隱私工程能力成為該崗位員工的必備技能。隱私工程構建階段隱私工程構建階段包括產品需求定義和產品設計定義。需求定義要分析產品需求中哪些內容可能涉及個人信息處理，并根據相關要求進行隱私影響評估并記錄，最終根據隱私影響評估結果判斷是否可以正式進入產品隱私的設計階段。如果經評估判斷存在高風險，則需要進一步根據實際情況選擇是否采取減緩措施或選擇放棄該數據處理活動。實踐案例|i-ABC隱私工程體系：隱私影響評估域DevOps工作流程中，與研發集成、數據實踐案例|i-ABC隱私工程體系：隱私影響評估域DevOps工作流程中，與研發集成、數據安全等多個部門緊密合作，在追求隱私合規性和數據可用性的同時保障開發和運維的如圖0（1）PIA技術組件，通過低代碼接入的方式針對不同的業務場景快速搭PIA評估流程，以高效支撐復雜業務的開展。明確全鏈路統一的產品/場景信息標準，各環節審核與業務需求評估打通，盡量做到一個產品或業務全鏈路只審一次；（2）平PIA的評估模型和策略模型，構建基于隱私各業務領域特征的檢測、策略審核的平臺能力。來源：螞蟻科技集團股份有限公司圖10隱私影響評估域架構如圖1：定基線。依據法律法規的規定、監管指導意見、行業標準，結合企業具體的業務場景和產品特性，制定契合企業業務流程的隱私合規基線，針對數據全流程中可能涉及到的收集、使用、存儲、共享的場景提前設定好隱私管理的標準和要求。建卡點。從個人信息全生命周期分析，結合企業實際的產品研發運營的活動，PIA事前管控的關鍵鏈路，以建立與生產或研發流程相融合的正向個人信息影響評估體系。在關鍵鏈路基礎上，針對領域對象進行建模和抽象，進一步產出可復用的隱私組件和模板，從而快速完成管控鏈路收口。布策略。過程管控中通過策略布控和運行來保證隱私評審的結果能夠在實際鏈路中生效。可構建隱私策略平臺作為隱私管控策略集中布控和運營的中心，與業務相關生產應用系統進行鏈路打通。評效果。通過前面三個步驟的實施，完成了事前評估和鏈路管控，通過應用、鏈路中提前預設切面等采集方式，對鏈路中發生的數據實際處理情況進行收集和反饋，做到實時地監控，從而對業務實際效果進行反饋評價。來源：螞蟻科技集團股份有限公司圖11隱私影響評估策略管控實踐案例|星紀魅族：基于硬件終端產品軟件開發生命周期建立隱私工程手機、眼鏡和智能汽車均是硬件制造行業，一般會按照瀑布式開發流程來進行推進，以減少項目風險，保障交付。而基于硬件的軟件產品，包括操作系統、操作系統上運行的應用，更多還是采取迭代式軟件開發周期。基于特殊的開發流程，星際魅族設計的隱私工程流程是遵循整個硬件的開發周期，但會限定于在軟件開發的范圍內增加隱私工程的流程，并結合軟件開發周期的迭代特性，貫穿終端硬件的整個生命周期。如表4：表4星紀魅族隱私工程流程需求階段輸入業務部門提供終端硬件的基本需求，如銷售國家或區域、車機系統是否配置車內攝像頭、手機系統的操作系統版本等。活動個人信息保護部門根據終端硬件的基本需求、所適用的法律規定等規范性文件、標準、行業最佳實踐、平臺規則等制定個人信息保護合規要求清單，并據此制定個人信息保護通用設計指南，如是否需要提供“雙清單”、座艙數據的處理原則、賬號注銷的設計方案等。輸出個人信息保護合規要求清單，個人信息保護通用設計指南和設計用例。設計階段輸入業務部門提供所涉產品軟件功能需求，用戶界面設計等，已經采取的安全措施，擬引入的第三方。活動個人信息保護部門將根據個人信息保護合規要求清單以及業務部門提供的輸入進行個人信息保護影響評估。若評估后存在對用戶造成潛在風險，則應當與業務部門進行溝通、調整產品功能需求和用戶界面。輸出個人信息保護影響評估報告（初步，確認后的個人信息保護功能需求以及用戶界面。開發階段輸入經確認的個人信息保護功能需求以及用戶界面，通用個人信息保護功能的標準工具庫。活動研發部門基于個人信息保護部門提供的個人信息保護通用指南和設計用例，提供標準工具庫，供開發各功能時的研發人員快速集成使用。研發部門同時針對該功能所確認的個人信息保護功能需求以及用戶界面進行代碼實現。在每個版本合入代碼時自動觸發相關的安全測試，如權限、敏感函數調用等。個人信息保護部門將結合開發階段產生的技術設計文檔、代碼、安全測試報告、數據庫表設計等，進一步完成個人信息保護影響評估，并完成數據處理活動記錄。輸出技術設計文檔及代碼版本，每個版本合入的測試報告，個人信息保護影響評估報告，數據處理活動。測試階段輸入經確認的個人信息保護功能需求以及用戶界面，技術設計文檔及代碼版本，個人信息保護影響評估報告，個人信息保護要求清單活動個人信息保護部門結合個人信息保護評估報告以及個人信息保護要求清單，輸出測試用例，明確前提、測試步驟、預期結果。測試部門根據個人信息保護測試用例，結合經確認的個人信息保護功能以及用戶界面、技術設計文檔及代碼版本，進行個人信息保護測試，確保符合預期，并逐步實現自動化測試用例，納入開發階段的自測工具中。輸出個人信息保護測試用例，個人信息保護測試報告。發布輸入個人信息保護測試報告，個人信息保護影響評估階段個人信息保護部門根據個人信息保護測試報告，確認是否已經按照個人信息保護影響評估完成了風險治理，是否有殘余風險，若無則活動正式簽發并歸檔個人信息保護影響評估報告。研發部門按照默認配置以及安全部署規則完成新產品或新功能的部署、上線，并與個人信息保護部門制定安全應急預案。輸出個人信息保護影響評估（歸檔版，個人信息安全應急預案，默認配置規則。來源：湖北星紀魅族集團有限公司隱私工程集成階段來源：湖北星紀魅族集團有限公司實踐案例|星紀魅族：隱私設計組件化合規設計指南與用例。（實踐案例|星紀魅族：隱私設計組件化合規設計指南與用例。（App）收集個人信息基本要a.應用首次運行時，通過彈窗形式主動展示個人信息保護政策、涉及的權限調用等核心內容；b個人信息保護政策文本鏈接有效且文本可以正常展示；c.個人信息保護政策不會造成閱讀困難；d個人信息保護政策單獨成文；e.4次的點擊可查看；f.不得默認勾選；g由用戶主動選擇同意或不同意（包括設置退出、上一步、關閉、取消的按鈕等方式）的選項；h不得采取誤導、欺詐、脅迫等方式影響用戶同意；i選擇同意與不同意的途徑和方式應該同樣方便；j個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，會重新取得用戶同意；k同意之前不得收集任何個人信息，也不得申請任何可收集個人信息的權限；l.應當提供便捷的撤回同意路徑。產品設計方案。提供標準的產品交互設計指南，包括應用首次打開的彈窗樣式與隱私設置。統一設計彈窗樣式、文案內容（包括必要權限和可選權限、選項名稱和顏色、字號，作為標準的產品設計方案，提供給產品和設計部門參考使用。隱私政策文本明確要求字號、行距、邊距、加粗格式，保障用戶可以清楚閱讀和理解個人信息保護政策內容。在產品設計方案中規定隱私設置、隱私政策、個人信息收集清單、第三方信息共享清單的入口名稱、訪問路徑等。研發標準化工具。研發部門設計開發統一的工具包（SDKAPI兩種接入方式，可以提供標準彈窗樣式、隱私設置的界面、讀取隱私政策的最新內容、隱私政策更新時重新同意的彈窗。同時，為了統一管理隱私政策版本，公司內部使用了隱私政策編輯和發布平臺，確保隱私政策與數據處理活動保持一致。實踐案例|AmberGroup：隱私工程的集成與實施要點隱私通知與交互界面開發。AmberGroup在隱私通知與交互界面分層設計層面會與產品經理進行深入的溝通，在業務便利性和隱私保護中間取得良好的平衡，以滿足PbD的“正和非零和”原則。一個隱私通知的有效傳達，可以采取隱私通知組合來達到用戶界面的最優解。具體包括從靜態隱私通知文本、增強告知、即時提示、單獨同意、隱私圖標和符號，以及隱私政策更新的通知。產品、數據庫開發與隱私管理平臺配置。在產品與數據庫開發過程中，主要是配合開發人員和DBA進行實際開發實施。隱私技術團隊主要完成以下工作：、App和小程序的同意記錄收集技術，可以選擇Javascript、SDKAPI進行同意記錄的推送，做到同意記錄的有效留存。SDKSDK集成，App彈窗和隱私偏好中心的界面、文本、顏色、Logo，并配置好地理位置規則、GDPR、等SDK后，交由開發人員App中。數據主體權利響應實施集成。數據主體權利響應需要在隱私管理平臺上進行地理位置規則配置、數據主體身份認證配置、響應流程指引話術、企業內部響應工作流等相關配置。最終呈現的數據主體權利響應頁面交由開發人員集成到產品首頁的底部，并以超鏈接的方式嵌入隱私政策的“聯系方式”章節。數據表設計。通過建立用戶中心數據表，作為用戶數據的集中數據庫，通過唯一標識符作為多個數據庫表之間的外鍵，用于連接其他應用系統和模塊，降低敏感個人數據分散存儲在多個數據庫表中的風險，也降低隱私數據管理難度。個人數據時間戳標記。根據數據分類分級情況，金融交易類數據一般會采用UID+交易數據的方式存儲，有較為獨立的庫表結構，可以方便數據歸類進行處置。時間戳方面，應從該條交易數據產生時就打上時間戳標記，定期對數據庫表的時間戳進行輪詢，產生數據刪除或匿名化的任務待后續處理。數據庫字段加密。識別需要實施數據庫字段加密的個人數據字段，并采用云SDKKMS完成數據字段加密工作。數據展示脫敏。根據企業脫敏標準完成產品前端的敏感個人數據展示脫敏，以及后端日志數據的脫敏。隱私工程驗證階段隱私工程驗證階段，主要是對設計和開發的具體實現和符合性進行驗證，檢查隱私需求是否得到滿足。主要工作包括WebCookies掃描、App與SDK數據收集和權限掃描、隱私功能用戶驗收測試。隱私工程的驗證通常由不同的團隊執行。軟件測試團隊負責功能測試，對隱私界面、隱私功能是否與需求和設計文檔保持一致進行驗證。提出需求的隱私團隊則需要確保系統的隱私功能與后端的隱私管理平臺或通用組件之間集成的正確性，包括后端平臺是否能夠正確收到用戶同意記錄、數據主體權利請求流程是否通暢、隱私政策文本正確性、隱私政策鏈接跳轉是否有效、WebCookies是否與政策保持一致等等。此外還可以引入外部第三方隱私合規檢測機構，通過模擬用戶遍歷產品功能、代碼審查、動態監測、隱私政策內容提取分析等手段，從產品交互界面隱私設計，產品自身及第三方SDK獲取用戶數據的時間節點、頻次、具體種類，獲取系統權限的時間節點、頻次，隱私政策披露用戶數據收集和使用的真實、準確、完整性等多個維度對產品用戶數據處理和隱私設計狀況進行全面掃描，并在此基礎上驗證其是否符合合規基線。隱私工程運營階段隱私工程的運營階段，主要是持續進行規范跟蹤、過程管理、風險管控，對隱私工程措施和流程實現維護和優化。規范跟蹤。跟蹤隱私相關的法律法規、行業標準和最佳實踐，確保組織的隱私措施符合最新的合規要求。定期評估和更新隱私政策、用戶協議和其他隱私相關的文件，以及企業已經制定的隱私保護要求和業務流程，以確保其與最新的法律要求和企業隱私策略一致。過程管理。各部門相關人員需要在企業隱私管理制度、業務流程以及隱私工程框架下的指導下完成各角色的工作任務，因此需要確保規范中要求的動作得以恰當履行，臺賬、審計以及檢查等工作實踐案例|i-ABC實踐案例|i-ABC隱私工程體系：隱私風險監測域隱私風險監測域（如圖12）對涉及個人信息處理的業務活動持續開展隱私風險識別、評估、處置等治理活動，通過隱私監測規則的集中管理和布控，實現隱私風險的監測、識別和評估處置的全鏈路管控，支撐業務部門方便快捷地布控隱私監測規則，并對規則篩選出的對象進行集中治理。企業可基于業務隱私風險的垂直領域分析，抽象出企業重點關注的垂直風險領域，SDK、小程序開放生態、算法及個性化推薦、生物識別等等。每一個風險域，都對應特定的風險監測對象，基于風險監測對象和風險分類，從底層平臺提供相應的隱私風險的監測能力。來源：螞蟻科技集團股份有限公司來源：螞蟻科技集團股份有限公司圖12隱私風險監測域架構(二)隱私工程體系建設架構參考目前，我國部分企業已結合隱私工程的理論方法和自身實踐，探索出了各具特色、各有側重的隱私工程體系架構。本節分享了螞蟻、阿里、OPPO、AmberGroup四家企業的隱私工程體系架構全景圖，以便更加直觀地展示隱私工程體系架構和運行原理。企業可充分結合隱私工程的理論體系和實踐案例探索建立適合自己的隱私工程體系。i-ABC隱私工程體系“i-ABC”是基于滿足監管要求、提升用戶隱私安全感、助力業務持續發展等訴求提出的隱私工程數字化的管理體系，將融合了法規影響、監管影響、用戶影響的隱私專家經驗直接投射于產品設計、代碼研發、應用部署、數據鏈路調用、信息存儲、算法推薦，在系統層面構建隱私影響評估、風險監測識別、風險快速處置、隱私管控策略動態調整的體系化能力，和結合行業態勢發展、新技術應用的快速洞察分析能力。來源：螞蟻科技集團股份有限公司圖13技術驅動的i-ABC隱私工程體系13所示為技術驅動的i-ABC4”指隱私水位洞察（riayevelIngt、“”指隱私影響評估（PrivacyImpactAssessment、“B指個人信息處理數字化記錄（eroalInfratinok、“”是指隱私風險監測（riacyskoro。隱私水位洞察的核心是隱私合規基線的數字化，通過對于內外部的數據和信息進行分析，制定相關業務或產品的隱私合規基線，在此基礎上對實際管控水位和管控效果進行跟蹤和分析。隱私合規基線的設置可綜合考量風險維度、業務表現、用戶感受、行業水位四個維度。設置合適的隱私合規基線應當做到對監管立法執法、行業動態進行及時感知和分析，通過用戶分析、投訴等信息構建用戶隱私感模型，以及對企業內各業務風險域的隱私水位進行標準量化隱私影響評估包括事前評估和實際鏈路管控，將傳統意義上的專家隱私風險評估與生產系統的實際落地結合起來，保證評估的內容能夠切實地落地和執行。其中，事前評估旨在針對某一種數據處理活動的需要，結合業務場景、業務性質、獲取范圍和處理目的，就數據處理活動對自然人的權利和自由產生風險的可能性進行事前的準入評估。實際鏈路管控是指企業在依據隱私合規基線進行隱私影響評估后，形成系統鏈路可執行的策略，理清相關數據處理活動涉及的所有業務場景和生產鏈路，明確具體的管控卡點，即策略可個人信息處理活動記錄包括個人信息檔案（業務事實）和個人信息保護措施檔案（隱私管控記錄。個人信息檔案將應用系統、數據鏈路中等各處涉及個人信息授權、使用、共享的相關的記錄進行索引聚合，通過業務視圖的轉義，還原為業務事實檔案。個人信息PIA風險發現處置記錄等。個人信息處理活動記錄的核心職責是在個人信息去標識化的基礎上，將個人信息在企業全業務流程中的流動、評估、管控記錄完整還原，形成個人信息賬本，做到個人信息使用“有依據、有記錄、可追溯”，以滿足監管檢查和訴訟應對的自證、隱私風險監測是指對個人信息風險進行全面的預警和治理，做到“早發現、早治理”。其核心邏輯是通過對比業務事實行為與結構化后的合法依據發現隱私風險。隱私風險監測包括建立外部情報與隱私風險排查聯動的響應和處置機制，根據業務和行業水位的變化快速部署隱私風險監測規則，主動進行風險巡檢并對隱私工作提供后督能力支撐。阿里：隱私保護與業務效益正和的隱私工程框架隱私和數據保護需求應該從用戶數據被采集開始就嵌入到系統和業務設計中，并擴展至個人信息處理活動的全生命周期。為提供數據采集、生產、存儲、傳輸、使用、共享、刪除全程的個人隱私保護，阿里設計了隱私保護與業務效益正和的隱私工程框架。來源：阿里巴巴（中國）有限公司圖14阿里巴巴隱私工程框架14所示，為保護個人隱私權益、符合監管要求，企業需要同時采用管理手段和技術手段。阿里基于法律法規、制度流程指導隱私設計，同時使用技術和工程能力將隱私合規保護原則和策略進行具象化的系統實現。在進行隱私合規管理時，首先要對法律法規和監管政策進行研究解讀，并結合企業實際需要，制定符合業務的企業制度規范和貼合業務場景的合規原則。其次，通過組織建設將相關隱私合規權責分配到特定團隊和個人，并設計相應到的流程和場景合規方案，將制度規范原則具象化。在建立好相應制度、規范、流程、工具能力后，進行教育宣導和員工培訓，建設企業隱私文化。在隱私合規具象化的過程中，需要通過技術和工程能力將合規流程和方案進行系統化。阿里通過研究開發數據分類分級識別、數據血緣追蹤、流通規則引擎、可信數據空間等數據合規審控工具，以及差分隱私、聯合分析、安全多方計算等隱私計算技術，實現了14中個人信息處理活動各環節的合規管控策略，以支持個人隱私以上隱私合規工程框架的落地，在保障個人信息權益、履行企業責任義務的同時，還實現了風險精細化管控，降低了隱私合規成本，如隱私合規專家進行隱私影響評估和場景合規評估的人力和時間成本、不合適的隱私合規策略或解決方案導致的數據可用性損耗等。以內部數據流通場景為例，阿里設計并實現了基于數據識別及分類分級、合規規則引擎、風險審計和平臺合作協議的數據流通風險管控系統（如圖5，對企業內部流通個人信息時的隱私風險進來源：阿里巴巴（中國）有限公司圖15數據流通隱私合規風險精細化管控系統數據識別系統可以自動化識別個人信息并對其進行分類分級，以便在內部數據流通過程中高效識別刻畫個人信息，并基于其敏感等級進行分層保護。基于維度屬性設計的數據分類及分類對應的數據風險等級，不僅能對敏感個人信息進行單獨分類和標記，還做到了貼合實際業務場景。此外，阿里還設計了數據升降級模型，解析數據處理邏輯及數據血緣，對個人信息的等級進行動態識別校準。數據分類分級識別的結果將作為數據內容的屬性輸入到合規規則引擎中。合規規則引擎對企業內部的數據流通行為或場景進行結構化的描述，而隱私合規專家可以基于結構化語言描述數據流通過程中的合規規則，定義數據合規流通策略及支持其流通的合規依據。當數據在企業內部流轉時，阿里將調用合規規則引擎中預先定義的合規規則，對預置的有合規依據且隱私安全風險可控的個人信息內部流通行為自動放行，對無合規依據、有隱私合規風險的個人信息共享行為進行自動阻斷，從而減少需要隱私合規專家人工介入評估的工作量，以提高流通效率。當合規規則引擎反饋需要人工介入評估或管理風險時，隱私合規專家將介入進行隱私影響評估，并設計相應的合規解決方案，如簽署相應的協議以作為本次數據流通或共享的合規依據，或設計相應的數據共享技術方案或隱私合規管控策略保障個人信息權益。此外，隱私合規專家還可以通過合規審計看板進行隱私合規風險排查和追溯，合規審計看板還將作為企業履行個人信息權益保障義務的自證工具。通過數據識別及合規規則的預定義，以上方案提供了系統化的隱私影響評估能力，減少了大量的人工評估工作量。同時，還可以讓隱私合規專家對高風險的個人隱私數據共享行為進行針對性識別和管控，以快速發現數據流通中的隱私合規風險，保障個人信息權益。OPPO：將隱私設計要求落實到產品全生命周期中OPPO作為手機廠商及互聯網應用平臺方，結合自身業務特點逐步建立了一套隱私工程的實踐（如圖6。在體系建設過程中，OPPO關注消費者、業務部門、三方合作方、監管部門等幾個關聯方的安全隱私需求。通過行業洞察與消費者調研掌握行業動態及消費者需求，通過培訓與宣傳提升人員的安全能力與意識，通過產品安全隱私特性打造來提升產品的安全隱私體驗，提升產品的安全隱私競爭力。最后，OPPO還建立了檢測與評價機制，對安全體系進行及時評測，發現問題及時糾正和改進，最終建立一套自證合規的體系。16OPPO

來源：OPPO在組織建設方面，OPPO建立安全隱私“三道防線”，協同推進安全隱私工作落地。第一道防線，由業務部門安全與隱私合規代表或安全系統工程師構成，主要向業務負責人及安全與合規委員會匯報，負責產品安全隱私策略的具體落地應用、自查自糾等。第二道防線，由專職的安全隱私部門構成，主要向安全與合規委員會匯報，負責安全隱私能力的建設與支持、推動產品安全隱私策略的落地。第三道防線，由審計部門擔任，主要向安全與合規委員會匯報，負責產品安全隱私策略落地的審計，發現風險，推動業務整改。OPPO同時建立清晰的問責機制，督促各級部門履行自己的職責，在發生違規情形時，將由公司進行對應的問責處置。在流程制度方面，OPPO堅持將隱私保護落實到產品需求、設計、開發、運營的整個生命周期中，實踐PbD要求。在產品需求設計階段，所有新增或變更個人信息處理活動都需要完成安全與隱私合規評審。只有通過安全與隱私合規評審的需求設計方案才能進入開發流程。在產品開發過程中，開發人員應遵循企業內部的開發編碼規范和安全算法使用規范。在產品上線之前，涉及個人信息處理的產品需額外通過專項合規測試和復核，確保產品實現滿足最新的個人信息保護合規要求。在整個過程中，安全隱私專業團隊負責把控關鍵節點，并持續推動合規標準更新和落實。為了確保公司從管理層到普通員工均熟知OPPO對用戶數據保護的承諾及具體要求，OPPO定期組織全公司范圍的課程學習、測驗，由安全隱私專業團隊進行專業培訓，并將測試通過情況納入考核指標。在技術工具方面，OPPO創建了可靠、可信、智能化的數據安全防御體系，運用AI、大數據等新技術，實現智能化云安全防護能力，并將安全與隱私活動貫穿產品全生命周期。同時，OPPO在安全隱私檢測技術上取得了一系列突破，通過安全與隱私合規檢測推動