您的隐私和数据保护战略 是什么？

在过去五年里，特别是随着 2018 年欧盟《一般数据 保护条例》(GDPR) 的颁布，全球数据隐私和保护格 局发生了根本变化。整个环境对于以下方面越来越 重视：

• 跨境处理需求水平
• 新的和新兴技术对个人数据的要求
• 对技术的不同使用或采用方式
• 不断升级的安全漏洞报告
• 全球各个司法管辖区的立法和法规应对

这种动态的隐私保护状态对组织中的隐私官员或隐私 计划管理人员提出了更高的要求。不断提高的隐私要 求使得组织必须采取清晰的结构化方式来管理隐私计 划，以满足一系列复杂的合规要求，对于一些组织来 说，这些要求跨越多个司法管辖区和法律

可以说，稳健的隐私战略对于以协调的方式确定隐 私合规性计划和举措非常关键，并有助于取得成功。 隐私战略并不是放之四海而皆准的方法。每个组织 可能处于合规性旅程的不同阶段或面临不同的需求。 例如，当组织的核心业务流程涉及处理敏感或特殊 的数据类别时，可能需要在日常运营中实施不同或 更详细的技术和法律标准或保护措施。同样，跨国 组织也需要全面了解每个运营国家/地区的法律和法 规要求，以及这些运营国家/地区的法律和标准如何 在全球和国内层面影响组织。

无论身处哪个行业，无论组织规模如何，制定隐私 战略都是一个复杂而繁琐的过程。¹每个组织都必须 了解制定隐私战略这一流程的本质，并采用严格的 标准和实践来巩固隐私举措。根据最近的一篇文章， 就在不久之前，尚无令人信服的理由让组织在更大 的业务战略中深入考虑隐私方面的因素。² 而现在， 组织面临着更大的隐私和安全风险，由此根据组织 的业务战略制定有针对性的隐私战略可以带来更好 的结果。因此，数据隐私应该是组织战略管理流程 的关键组成部分，可以通过组织的愿景、价值观和 政策清晰地表达出来。

战略通常是指为实现长期或组织目标而制定的行动 计划。因此，隐私战略必须是明确的行动计划，旨 在确保遵守既定的隐私标准、规则和法律。隐私战 略应概述组织中如何应用或采用相应法律定义的隐 私原则。例如，根据 GDPR 第 5(2) 条，控制者有义 务证明自己遵守了与个人数据处理相关的原则。³ 如 GDPR⁴ 第 5(1) 条所述并根据美国《加利福尼亚州消 费者隐私法案》(CCPA)，该司法管辖区下的组织必 须采取适当措施证明合规性。⁵在牙买加，其《数据 保护法》第 21 条规定，数据控制者在过渡期结束时 有责任遵守某些隐私标准。⁶

毫无疑问，各个国家/地区的这些隐私义务将影响 组织运营的所有方面。为了确保合规，组织必须 考虑：⁷

• 处理个人数据所涉及的系统和服务
• 这些系统和服务的用户
• 为适当履行法律义务而采用的政策、流程和程序

这些因素凸显出战略监督的重要性，以及全面了解 组织隐私参数的必要性。因此，制定隐私战略时必 须全面透彻理解组织的以下方面：

• 适用的隐私法律和标准
• 正在处理的个人数据
• 可能使用或处理个人数据的人员
• 采取的各种处理形式
• 促进数据处理所需的业务流程
• 用于处理个人数据的工具和技术

制定隐私战略

这种理解指导着图 1 和图 2 所示的战略视角，它们 试图概述组织在定义隐私管理活动时需要考虑的关 键因素。

数据
数据组件是指组织或者第三方代表组织处理的各种 形式的个人数据。组织需要了解正在处理的个人数 据的不同类别，包括哪些用户、流程和应用程序会 使用或处理个人数据。组织必须了解所采取的处理 形式，这一点也很关键。本质上，组织必须了解与 个人数据处理有关的内容、人员、地点和时间。

人员
此组件是指组织隐私流程中的利益相关方。这包括：

• 个人数据的使用者
• 数据主体
• 组织的隐私人员

了解每个利益相关方的角色和职能、这些利益相关 方如何使用或处理不同形式的数据以及组织采取的 处理形式，这些将有助于更好地了解组织所保管的 个人数据以及相关的处理活动。

流程
此组件是指影响各种形式的个人数据处理的组织流 程，包括技术支持和不支持的流程。此外，此时除 了数据组件之外，还应考虑处理的形式以及在业务 流程中处理这些个人数据的时间节点。

技术
技术组件是指用于处理个人数据或支持数据处理的应 用程序、工具和技术。这种理解有助于指导实施有效 管理安全和隐私风险所需的必要技术保护措施。

规则
规则组件是指组织必须遵守的一整套适用隐私以及 相关法律和标准。此外，了解组织被豁免的情况将 有助于促进对合规性的理解。负责该战略的人员必 须理解，规则会演变，这不仅体现在组织业务触及 的司法管辖区不断增加，也体现在对治理组织隐私 运作的规则集所做的修订和变更。

组织的隐私战略必须建立保护措施，以确立和支持组 织的隐私愿景以及适用的隐私法律和标准。这些组件 形成了一个紧密耦合的交互和交叉系统。但是，要正 确定义隐私战略并确保正确执行组织的隐私愿景以及 适用的隐私法律和标准，组织必须了解这些组件是如 何单独和共同工作的。

这种方法预期能给隐私战略带来的好处是：

• 增强隐私举措和计划的清晰度和结构
• 缩小组织隐私规划和执行之间的差距
• 提高管理层的认同和支持力度
• 在包括数据主体在内的组织各级实现精细化的参 与和协调
• 改善业务与隐私战略之间的战略一致性

设计隐私战略

在设计隐私战略时，并没有单一的正确方法。但是， 这里介绍了如何应用战略视角方法来制定合适的隐私 战略。在隐私战略制定流程中，一个关键组件或输入 是了解并确认组织的隐私合规性要求。隐私合规性条 款提出了一个初始步骤，其中涉及评估适用于组织的 隐私法律。⁸ 此外，确定组织的特定隐私需求也很重 要。这一评估有助于确定隐私战略的目标、范围和优 先要务。图 3 定义了制定战略所需的参数。要制定有 效的隐私政策，需采用六个关键步骤。

建立隐私框架
首先，关键的利益相关方和管理层必须就将为战略 制定流程提供信息的职权范围和指导原则达成共识。 组织的职权范围和指导原则决定了具体的标准、最佳 实践和框架。组织的经验和洞察决定了什么对组织最 有效。

确立愿景
为组织确立隐私愿景，这可确定组织的隐私和数据保 护目标。计划的目标是特定于组织的。定义的目标取 决于组织的规模、所处的行业、隐私成熟度级别、组 织优先要务、合规性要求和竞争环境。例如，愿景可 能聚焦于组织的全球竞争力、合规性或满足数据主体 的需求。

商定范围
然后，使用确立的愿景，组织需就活动的范围或广 度达成一致。活动范围可能涉及多个步骤，并需要 几个财政年度才能完成。例如，战略的范围可能以 确定过渡时期结束时，为遵守特定的隐私法律所需 的具体技术和组织措施及活动为基础。

制定战略目标s
下一步是确定在商定范围内实现商定愿景所需的要 素。一种比较好的做法是，基于图 1 中的战略视角 组件，使用明确、可衡量、可实现、相关且有时限 (SMART) 的目标。然后，组织就可以确定实现前述 愿景需要达成的所有目标。这可能包括在其运营中 实施特定的隐私标准或从设计着手保护隐私的原则。 此流程还有助于进一步阐明实现这些战略目标需要 采取的行动。

商定具体行动
在此阶段，组织将确定为实现已确立的战略目标所 需的一系列行动和计划。行动计划应确定谁来做、 做什么以及什么时候做。行动计划可帮助确定谁负 责（人员）、要执行的活动（具体计划）以及活动 的截止日期（期限）。制定行动计划需要组织设定 优先要务并确定可用的资源。此外，为每项成果商 定衡量成功的绩效指标对于此流程和总体战略的成 功至关重要。

提供良好治理
治理机制是管理和监控战略成果的关键组件。此步 骤以之前确定运营责任的步骤为基础。治理机制的 建立会确定重要的责任级别，以便能够用于监督和 协调。治理机制包括确认计划的隐私活动进展是否 顺利的重要审核阶段。当商定的隐私活动没有按计 划进行时，组织可以采取纠正措施。另一个不可或 缺的活动是利益相关方的意识和流程参与度，用于 强化组织和隐私战略中关于隐私的知识，并最大限 度降低失败、缺乏认同或隐私举措采纳率低的风险。.

结论

隐私管理是当今的一个商业挑战。全球许多组织都 在努力应对各自的地方隐私法和适用的国际隐私 法。为了克服这一挑战，组织必须处理一系列复杂 的任务，消除不同利益相关方的各种顾虑。制定清 晰而强大的隐私战略，这是组织为隐私计划建立坚 实框架必须采取的首要关键措施之一。采用五镜头 战略视角：数据、人员、流程、技术和规则，再结 合一般隐私战略考量因素，便构成有用的实施工 具。这种见解使得组织能够确定创建有效的隐私战 略需要考虑的关键因素，并确保成功执行隐私计划 以实现更高的合规性。确保将这些重要元素纳入战 略流程，可以帮助组织实现隐私愿景，并遵守适用 的隐私及数据保护法律和标准。换句话说，每个组 织在确认必须遵守的相关隐私法律和标准后，必须 一致采用所讨论的元素，从而确保隐私战略与适用 的隐私法律和规则保持一致。若要取得成功，必须 建立一个可用于制定稳健隐私战略且与组织业务战 略相一致的简单框架。

尾注

¹ Densmore, R. R. (ed.); Privacy Program Management, Tools for Managing Privacy in Your Organization, International Association of Privacy Professionals, (IAPP), 美国，2019 年，https://iapp.org/resources/article/privacy-program-management/
² Redman, T. C.; R. M. Waitman; “Do You Care About Privacy as Much as Your Customers Do?” Harvard Business Review, 28 January 2020 年 1 月 28 日, https://hbr.org/2020/01/do-you-care-about-privacy-as-much-as-your-customers-do
³ European Parliament and the Council of the European Union, Regulation (EU) 2016/679 of the European Parliament and of the Council, Official Journal of the European Union, 27 April 2016 年 4 月 27 日, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016R0679
⁴ Ibid.
⁵ California Consumer Privacy Act (1798.100 - 1798.199.100)，美国，2018 年, http://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5
⁶ Data Protection Act, 牙买加，2020 年,https://japarliament.gov.jm/attachments/article/339/The%20Data%20Protection%20Act,%202020.pdf
⁷ Barclay, C.; “The Road to GDPR Compliance: Overcoming the Compliance Hurdles,” ISACA^® Journal, vol. 1, 2019 年, www.isaca.org/archives
⁸ Ibid.

Corlane Barclay, 博士、PMP

律师、技术顾问以及 Smart Projects 360 负责 人。Smart Projects 360 是一家提供顾问、咨询 和研究服务的公司， 专注于项目管理、网络 安全和隐私管理业务。 联系方式是 clbarclay@gmail.com.