隐私计划管理–隐私治理

隐私已成为全球范围内的重要议题。因此，组织无法再忽视相关法律法规以及行业最佳实践对于保护个人信息的规定。政府会继续实施更严格的法律法规，消费者也会继续要求其所选择的组织为自己的信息提供更多保护。因此，为满足此类要求，组织必须对其所保管的信息实施更多控制措施、流程和程序。迫于当前的诸多影响和压力，全球隐私团队必须尝试跟踪、管理和监测可能不断发生的动态变化。,根据IAPP官方2022年4月发布的全球综合隐私法映射图，能够通过该份报告看到目前全球约有143个国家或地区发布了全面的隐私保护立法，以下列出部分重要国家或地区隐私立法情况。,美国与欧盟和许多国家不同，从联邦层面美国目前没有统一的、综合的联邦层面数据与隐私安全立法，主要是通过行业立法和州立法来保护隐私。
美国联邦层面也在积极推进《美国数据隐私保护法》（American Data Privacy and Protection Act，以下简称“ADPPA”），该法案的目标是建立一个强有力的国家框架，保护消费者的数据隐私和安全，不过目前各州存在反对声音，其最终走向及效果仍需要时间来检验。,美国联邦根据行业特点，专门制定了行业隐私法律，以下为部分行业立法：,为保护本州居民个人信息权益，美国各州积极推进和完善自己的隐私数据保护政策，同时美国所有50个州都通过了数据泄漏方面的立法，以下列表为迄今为止已签署的法律：,下图为IAPP发布的美国州隐私法追踪地图：,image,隐私计划管理是一种将多个项目合并到一个框架和生命周期中的结构化方法，用以保护个人信息和个人权利。通过实施和维持合理的结构化隐私计划，组织能够遵守法律法规要求，满足客户预期，同时预防和减轻隐私风险。,履行合规义务,符合各地区隐私法,降低员工和消费者诉讼的风险,降低数据泄漏风险,实现全球运营并进入新市场,增加营收,增强企业品牌形象和公众信任,增强消费者信任,提高企业竞争能力,要构建强大的隐私计划，需要从建立合适的治理计划开始，下图为治理计划建立路线：,image,1.组织的隐私愿景和使命宣言至关重要，是奠定隐私计划的其余部分基础的关键因素。隐私愿景应符合组织更广泛的目的和经营目标，根据具体的业务发展方向，这些目的和目标可能会发生变化。
2.隐私愿景通常由若干短句组成，主要简单描述隐私部门的存在理由。组织的整体使命宣言或行为守则中也可能包含隐私的相关要求。
下表举例说明了部分企业的隐私使命和愿景声明。,每个组织都应履行特定的合规义务，确保遵守相关法律法规，因此，您需要确认具体适用的隐私和数据保护法律法规。以下是用于确认范围的方式，包括以下两个步骤:,为了解您的组织收集、使用、存储和以其它方式处理的个人信息，可根据组织实际情况选择不同的方式开展信息收集工作，以下列出两种不同的方式，它们各有优缺点。,为提高效率，以下列出了部分关键问题以方便确定范围：,为确认组织对于数据承担的相关隐私义务，除遵守当地数据保护和隐私法律外，对于向身在其它国家地区的个人提供服务的组织，或者在海外设有办事处的组织而言，可能还需要遵守全球隐私义务。
若您的组织计划在数据保护法规不健全或未制定数据保护法规的司法管辖区内开展业务，请按照可实现的最高标准制定组织的要求、政策和程序，而不是降低标准迎合业务所在国的隐私保护水平。最佳实践是选择限制性最强的政策，而不是限制性最弱的，这会减少组织所面临的隐私相关风险。
确认范围过程中同样面临着挑战，若想制定全球性计划需要了解文化规范、差异以及隐私保护方式。,为落实个人信息处理和保护过程中所需的控制措施，应通过合适的隐私框架制定有效的隐私计划，该做法具有如下优势:,此外可将隐私保护设计(又名“Pbd”或“数据保护设计”)加入到隐私治理框架中，Pbd是一种根据七大基本原则制定隐私计划和设计系统的方法，Pbd的总体意图是确保在生命周期开发的各个阶段(即系统、产品、特征和流程)考虑隐私要求和相关因素，七大基本原则如下：,目前国际上也有其他一些隐私框架可供组织选择，如:” (OECD)《关于隐私保护和个人数据跨境流动指南》、(APEC)《隐私框架》、ISO/IEC 29101《隐私架构框架》等”，同时国内也在逐步推出适合中国国情的隐私框架。,下一步便是制定整体隐私策略，”一个链条的坚固程度取决于它最薄弱的环节 “，这句话非常适合形容组织处理隐私计划的方式，本质上隐私策略是一种组织用于沟通和
支持隐私计划及其愿景的方法，具体的隐私策略包括但不限于以下各项：,最有挑战的工作是认同“将隐私作为必要的业务条件”，因此在构建隐私计划和必要的支持性策略的过程中需要分阶段建立并与组织管理层成员乃至最高执行领导达成共识，大致工作内容如下：,组建隐私团队通常是组织正规化其隐私处理方式的最后一个目标，根据具体业务需求为隐私办公室选取合适的治理模型，以及建立职责定义和报告关系的适当组织模型。,根据自身的业务运营状况，考虑仅在特定地理区域内还是全球范围内应用该模型，无论选择哪种模型，均需考虑下述关键任务，确保所选模型最适合企业目的:,集中式治理模式比较常见，特别适合单一业务的组织使用，在此类组织中，通常由同一小组完成规划和决策。只需一个团队或一个人负责隐私相关事务，其他所有人或组织都通过这个单一联络点开展工作。
优点：,缺点：,分散式是指将决策权下放至组织的较低层级，分散式组织的组织架构层级较少，控制范围广，能够形成自下而上的决策和观点流动。
优点：,缺点：,混合式治理模型可以实现集中式和本地治理的综合运用，组织任命一名员工或者一个部门主要负责隐私相关事务，向组织其他部门发布政策和指令。然后由本地实体实施和支持来自该总部的政策和指令。
优点：,缺点：,在建立整体组织隐私模型时，必须考虑与策略、合作和管理相关的组织架构，明确职责和报告机制，以下是架构中各单元职位：,组织利用具体框架高效地维持架构并开发必要流程。相关考虑因素包括:,制定合适的计划是一项复杂且充满挑战的工作。在隐私治理方面，并没有一种万能的方法每个公司都有着独特的全球业务、资源可用性、风险偏好、文化和业务重点，这些都影响着计划的最终制定方式，因此了解业务所在地区的法律法规及企业内部业务特性成为了计划建立的重中之重。,以上，就是关于隐私治理的一些个人观点，部分数据来自IAPP欢迎大家多多指正。