用九智汇分享: “科技助力数据合规——实践与畅想”
2023-4-21 15:10:3 Author: 嘶吼专业版(查看原文) 阅读量:19 收藏

4月20-21日,“第二届企业合规管理与事务大会”在上海成功举办,来自政府、企业、律所的代表共同探讨企业合规相关的政策和热点话题。


用九智汇合规总监穆昭薇受邀参加互联网合规论坛,发表了“科技助力数据合规——实践与畅想”演讲,分析企业面临的数据合规挑战,深度介绍了用九智汇提出的合规方案——
基于“数据合规LED (Law, Event, Data)”的治理框架,并提出“以科技,促合规”的理念,分享如何通过AI能力为数据合规治理带来智能、高效的体验。

- 演讲精彩内容记录 -


自《网络安全法》《数据安全法》《个人信息保护法》陆续颁布生效以来,受我国法律管辖的企业在数据合规建设中,通常会面临来自三方面的挑战:

监管侧:法律法规的广度不断扩展、深度不断细化,新的合规要求在最初发布阶段还没有建立起配套的实施指南,企业希望通过权威专家解读、行业讨论来明确落地路径;

用户侧:用户隐私保护意识不断提升,法律也赋予个人数据主体更多的权利,企业在C端处理个人信息时需要设计不同场景的隐私协议文本、做好交互体验,并及时响应用户行权请求;

合作伙伴侧:需要与三方明确数据处理的法律关系,做好事前尽职调查、事中持续监控和快速响应、以及事后的清退与黑名单机制。

而在企业内部,数据被访问、导出、下载、外发等等,数据使用场景多、流出敞口多,难以做好全面的防控和风险监测。

在此背景下,用九智汇提出“数据合规LED (Law, Event, Data)”治理框架,以解决“数据资产难摸清、裁量尺度难把握、泄露风险难防控”三大难题。

基于LED框架,用九智汇构建由隐私合规、数据安全、数据治理三大套件组成的一站式数据合规平台,实现隐私合规管理、风险防护监测、数据发现识别三向协同:

具体而言,企业可以参照上图来建设一套数据合规管理框架,从而实现数据合规的三个目标:建流程、防风险、塑心智。

目标一:建流程

基于Privacy by Design理念,建设统一标准化数据安全与合规评估流程;为帮助评估提效,用九智汇联合行业专家沉淀并不断更新业务场景库合规规则库,可快速匹配评估模板、启动PIA/DPIA评估流程。

目标二:防风险

以数据资产发现和分类分级为基础,联通数据使用申请与合规评估,强化访问控制与行为监控,实现数据安全风险的管控和审计。

目标三:塑心智

建设面向管理层、面向员工、面向监管、面向用户的多视角隐私合规中心:

通过合规水位大盘,可以向企业管理层清晰地展现各条业务线的合规水位、高风险问题,从而获得相应的资源支持;

通过隐私教育门户,可以向员工持续宣贯隐私保护要求、开展安全合规意识培训、考核,并以积分兑换小礼品的方式鼓励员工自主学习;

通过合规监查平台,可以统一入口、集中化管理合规证据,例如安全制度、检测/评估/认证报告、审计报告等;

通过APP隐私中心,可以展现个性化设置界面,向用户展示“双清单”,并允许用户发起行权请求。

对于如何建立基于PbD的数据合规平台,用九智汇提出了三个关键步骤:

(1)制定规则:合规知识库中的法律法规、标准指南为输入,制定评估模板、编排评估逻辑、维护风险库;

(2)开展评估:通过“数据合规评估”产品,开展日常评估或专项评估;评估结果可以与“数据处理活动”产品联动,实现RoPA的自动更新;同时,合规评估、数据处理活动产品也支持与数据分类分级产品打通,提示不同类型数据的敏感等级,对敏感数据对流转链路可以更加清晰地呈现;

(3)落实义务:在评估之后,可能需要更新隐私文档,或与第三方签订法律文件,或对识别出的问题评定风险等级,这些动作都可以由“隐私合规套件”来辅助完成。

分享的最后,穆昭薇介绍了用九智汇在“以科技,促合规”上做的三向探索:

智能生成内容——Privacy Chat

代码合规扫描——Privacy Scan

个人信息画像——Privacy Data

(1)智能生成内容——Privacy Chat

AIGC是近期的热门话题,那么当AIGC遇到数据合规,能擦出怎样的火花?

穆昭薇分享了用九智汇的思路:AIGC的应用场景不应仅限于智能问答,而应真正解放合规侧与业务侧双向的劳动力。

让我们一起设想以下场景:

业务方询问:“车外数据能否传到云端?”

Privacy Chat回答并追问:“车外数据可能包括个人信息和重要数据。已进行匿名化处理的视频、图像数据,可以通过网络向外传输车外数据。请详细描述车外数据的类型?”

业务方回复:“车外的人脸、车牌、建筑物…等数据”

Privacy Chat基于几轮交互后得到的信息,为隐私合规人员创建了一份“车外数据收集”的PIA模板,自动填充了采集、传输、加工使用的车外数据类型,并设置了若干相关评估问题,将模板推送给隐私合规人员做审核。

因此,AIGC能够总结业务问题、提炼业务场景、匹配合规规则、生成合规问卷,提速评估流程。

而这,只是AIGC应用的一个场景举例。

为了符合AIGC的相关监管要求,用九智汇提出了AIGC本地化部署的三层大模型——广域开源大模型、行业领域模型、企业私域模型,保证企业敏感数据不出域。

(2)代码合规扫描——Privacy Scan

码扫描,在过去是SDLC中必不可少的一个安全环节。而今,通过代码扫描还可以快速生成一个实时的数据处理活动,识别出数据收集、传输、存储、使用、提供、删除环节,从而快速发现隐藏的数据合规风险,让PIA评估结果更真实、准确。

(3)个人信息画像——Privacy Data

隐私合规的保护对象是用户及其个人信息。结构化数据、非机构化数据(图片、文件、音视频等),可能都蕴含着大量的个人信息,需要全面识别和分类分级。

Privacy Data能够从企业大规模的数据中扫描识别出个人信息,形成集中式、可视化的个人信息画像,是做好个人行权响应(DSAR)、个人信息泄漏响应等合规义务的必不可少的输入。


文章来源: http://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247560392&idx=1&sn=b307e10dece29b6392f63610dd6c261e&chksm=e9143cf2de63b5e4dbc46080d5787dcce5c0268d48b0215f02f4d0dc20ef07fb5b52f75626ad#rd
如有侵权请联系:admin#unsafe.sh