2023隐私工程白皮书

隐私工程白皮书2023年9月前言2022年，我国发布了国家标准GB/T41817-2022《信息安全技术（“《个人信息安全工程指南》”。作为（“《个人信息保护法》”）落地的国家标准之一，该标准结合国外隐私工程的实践经验以及《个人信息保护法》的相关要求，在需求、设计、开发、测试、发布的传统开发流程中嵌入个人信息保护的工程化要求，旨在将个人信息保护措施与产品和服务同步规划、建设和使用，主动预防个人信息安全风险和侵害用户个人信息权益事件的发生，为帮助网络产品和服务提升个人信息保护能力提供工程化指引。个人信息安全工程的概念取自隐私工程即engineering”ISO/IECTR27550:2019《信息技术安全技术系统生命周期流程中的隐私工程》将隐私工程定义为“将隐私问题纳入系统和软件工程生命周期过程的工程实践”。作为将隐私保护要求嵌入系统工程乃至企业管理全流程的一套方法论，欧盟、美国等国家对其进行持续讨论和研究，对于隐私工程与隐私保护立法的关系、如何指导企业进行隐私工程实践等形成了较为体系化的结论和成果。相比之下，我国对于隐私工程的研究和实践仍处于初期。一方面，随着我国个人信息保护立法的不断完善，如何在落实个人信息保护合规要求的同时尽量减少对业务的负担成为企业无法回避的课题，越来越多的企业开始从技术和管理等多角度求解，但尚未形成较为系统和全面的方法论；另一方面，我国对数据要素市场的大力发展也促使企业主动探寻数据安全合规流通路径，尤其是个人为了加深企业对隐私工程的理解，帮助处在不同发展阶段的企业提升隐私保护能力，我们联合在隐私工程理论和实践方面有经验国企业的隐私工程实践经验进行介绍，希望能够为企业隐私保护能目录一、隐私工程的起源：从隐私设计到隐私工程 1(一) 隐私设计的产生和发展 1(二) 隐私设计与隐私工程 4二、 隐私工程的内涵：以隐私嵌入系统工程为核心 6(一) 隐私工程的定义 6(二) 隐私工程的目标 8(三) 隐私工程的内容 10三、 隐私工程的价值：企业隐私保护的必经阶段 13(一) 监管趋势：隐私保护监管趋于精细化常态化 13(二) 用户需求：个人信息主体权利保护成为隐私保护重点 15(三) 企业发展：隐私保护助力企业合规高效发展 16四、 隐私工程的实践：我国隐私工程实践探索 18(一) 隐私工程体系建设流程参考 18(二) 隐私工程体系建设架构参考 32(三) 隐私工程体系建设建议 43五、 结语 46参考文献 47图目录图1隐私设计七大基本原则 2图2个人信息安全工程目标和《个人信息保护法》基本原则映射 9图3《个人信息安全工程指南》个人信息安全工程各阶段活动 10图4NIST隐私工程构成 图5AmberGroup信息安全与隐私组织架构 19图6OPPO安全隐私保护组织架构 20图7AmberGroup信息安全与隐私管理体系文件融合架构 21图8蚂蚁i-ABC隐私工程体系隐私水位洞察域架构 21图9OPPO数据安全技术防御体系 23图10隐私影响评估域架构 26图隐私影响评估策略管控 26图12隐私风险监测域架构 32图13技术驱动的i-ABC隐私工程体系 33图14阿里巴巴隐私工程框架 35图15数据流通隐私合规风险精细化管控系统 37图16OPPO隐私工程实践框架 39图17AmberGroup数据安全与隐私保护框架 41表目录表1国内外隐私工程目标对比 9表2ISO/IEC27550:2019提出的覆盖系统生命周期的隐私工程流程 12表3隐私工程内容 12表4星纪魅族隐私工程流程 27隐私工程白皮书隐私工程白皮书PAGEPAGE2一、 隐私工程的起源：从隐私设计到隐私工程(一)隐私设计的产生和发展2090AnnCavoukian提出“隐私设计”PrivacybyDesign（b”，该理念认为隐私不能仅靠遵守法规监管框架来保证，相反，保障隐私安全在理想情况下应当成为一种默认操作模式，对隐私的保护必须由产品设计师们以一种双赢的方式设计出来。双赢的隐私设计应当贯穿始于采集、终于销毁的个人信息处理活动全生命周期。在此之前，隐私计算技术一度成为人们追捧的隐私保护解决方案，但随着隐私保护的法律原则和要求的发展，人们渐渐认识到隐私计算技术虽然能够通过数据最小化、数据可用不可见等方式帮隐私设计理念提出将隐私计算技术的应用扩展为一套完整的隐私设计框架，主动将隐私保护嵌入信息技术、网络基础设施和商业实践中，并通过实践七项基本原则（1）来实现这种嵌入的隐私保护理念。1

来源：CCSATC601随着时间的推移，隐私设计理念及其原则逐渐被各国监管机构和国际组织所认可，并成为推动隐私保护发展的重要理论基础。201010理论作为未来隐私保护至关重要的组成部分1。2018年生效的欧盟enerlataroeconeuaiR）将隐私设计理念纳入第二十五条“DataProtectionbyDesignandbyDefault”中；202010月，欧洲数据保护委员会（EuropeanDataroeconardB）发布了udenes429onrile25DataProtectionbyDesignandbyDefault2.0设计的数据保护和基于默认的数据保护需要考虑的相关要素进行分析后，提出了透明度、合法性、公平性、目的限制、数据最小化、准确性、存储限制、完整性和保密性、可问责性等原则，并针对每132ndInternationalConferenceofDataProtectionandPrivacyCommissioners.Privacybydesignresolution,October2010.27-29October2010,Jerusalem,Israel.个原则提供了具体的要素和示例解读供参考。英国信息专员办公室（InformationCommissioner’sOffice）发布GuidetoDataProtection2017年以来持续更新，其中就“隐私保护设计”设专章，鼓励企业将隐私保护设计纳入现有的项目管理和风险管理方法和政策中。美国联邦贸易委员会（FederalCommission）2012年发布的报告2中提出以“隐私融入设计”“简化的用户选择”“透明性”为三大原则的隐私框架。202263日，美国参议院和众议院发布的第一个获得两党两院支持的美国联邦全面隐私保护提案《美国数据隐私和保护法》（AmericanDataPrivacyandProtectionAct）草案也将隐私融入设计原则放置在忠诚（InternationalOrganizationfortaariatnIO）在23年1月还发布了I30-:23隐私设计的产生和发展标志着一种新的隐私保护范式的兴起，为更完善的隐私保护提供了新思路。同时，AnnCavoukian提出的隐私设计理念也面临着一些挑战，例如，企业管理层对于隐私保护的事后补救观念难以转变、设计和开发工程师需要有过硬的隐私保护2ProtectingConsumerPrivacyinanEraofRapidChange:RecommendationsForBusinessesandPolicymakers隐私工程白皮书隐私工程白皮书PAGEPAGE10专业知识以选择合适的隐私保护架构和策略、业内尚未形成广泛共识的方法论等等。这些挑战也成了各国数据保护监管机构以及国际组织等持续讨论和研究的课题。(二)隐私设计与隐私工程也进行了一系列的演变和发展，诸多学者和权威机构提出了一系列经典理论和知识体系，如隐私风险建模、隐私影响评估、隐私工程设计策略、隐私设计模式等等，将隐私设计从理论推向实践，而其中很重要的一项发展就是隐私工程的诞生。由于隐私设计的七项基本原则较为抽象，业界一直致力于将该等原则具体化，形成一套可以直接指导实际研发并解决特定领域不同隐私需求的方法论，即隐rvcynieer。隐私工程对于隐私保护监管和企业实践都有较强的指导意义。一方面，法律的更迭速度与技术的发展速度差距越来越大，引发了数据保护监管机构的担忧。欧盟网络和信息安全局（EuropeanUniongecyforberecrtyIA）指出，“欧盟各国数据监管机”3；另一方面，隐私保护立法日趋严格但较为概括模糊，企业对如何证明其数据处理活动遵守隐私保护要求存在困惑，例如如何保证对法律概念和工程实践概念的理解保持一致，抽象的法律要求如何转化为精确的研发工程，不断更新迭代的系统如何保证持续合规等等。3PrivacyandDataProtectionbyDesign-fromPolicytoEngineering隐私工程通过梳理和总结隐私保护合规要求，将其转化为系统工程中的目标、策略、风险管理框架、组织管理和运营方法，为隐私保护要求提供了具象化的实践指引。二、 隐私工程的内涵：以隐私嵌入系统工程为核心GDPR直接将隐私设计原则纳入立法中，因此欧盟对于隐私工程的探索主要围绕如何将GDPR的原则性要求落地于实践展开讨论并提供指引。美国对于隐私工程的探索其核心目的与欧盟一致，都是针对如何将隐私保护的概括性原则和相关法律规定转化为系统工程的隐私要求并融入系统开发流程中。从形式上看，美国的隐私工程框架体系偏向于实用手册，更方便企业应用和实践。ISO和国际电工委员会（InternationallecrotehcalissiI私工程的理论进行沉淀，没有将与隐私工程相关的实操措施和细节进行详细阐述，而是指向了其他框架、标准、书籍和论文，具备了一个知识索引的功能。我国则充分融合了国内外隐私工程实践，在国内近几年个人信息保护立法以及行业实践基础上，通过国家标准提供了一种履行义务的实践路径，即通过工程化的过程来将个人信(一)隐私工程的定义隐私工程的概念起源于国外，各国对于隐私工程的定义并不相同。ENISA指出“隐私工程可以被认为是DataProtectionbyDesignandbyDefault的一部分，目标在于支持选择、运用和配置恰当的技术和组织措施，以实现具体的数据保护原则4究院（NationalInstituteofStandardsandNIST4PrivacyandDataProtectionbyDesign—frompolicytoengineering2017年在其内部报告5中将隐私工程定义为“一种系统工程的特殊方法，旨在让个人免于承受系统处理个人识别信息过程中所产生的不可接受的后果”。ISO/IECTR27550:2019《信息技术安全技术系统生命周期流程中的隐私工程》（“ISO/IEC27550:2019”）认为隐私工程是“将隐私问题纳入系统和软件工程生命周期过程的工程实践”。2022GB/T41817-2022（“《个人信息安全工程指南》”。该标准将也称”6）“和要求融入产品服务规划、建设的每个阶段，使个人信息安全要求。本白皮书认为，隐私工程并不局限于将隐私保护的需求整合到系统和软件开发生命周期，此外还需要一系列组织、技术和管理等多方面的支持。因此，本白皮书所指的隐私工程，是将隐私保护要求嵌入系统工程乃至企业管理全流程的一种工程实践。这也和上文中欧盟和美国的定义较为一致。通过对比能够看出，欧盟和美国对隐私工程的定义更加宽泛，并未将隐私工程限定在系统和软件开发流程中，而是描述了通过隐私工程要达到“实现数据保护原则”和“保护个人隐私权利”目的。要实现这样的目的，除了将隐私嵌入系统和软件开发流程之外，还要在组织架构保障、技术措施选择、合规基线确定、风险评估流程以及隐私风险管理等方面注意隐私保护。ISO/IEC对隐私工程的定义与我国《个人信息安全工程指南》5AnIntroductiontoPrivacyEngineeringandRiskManagementinFederalSystems6GB/T41817-20223.1在“注”中明确“也称‘隐私工程’”。的定义较为类似，但结合ISO/IEC27550:2019对隐私工程阶段流程的描述（包括采购与供应、人力资源管理、知识管理、风险管理等流程，IIC也并非认为隐私工程仅指将隐私要求融入系统和软件工程生命周期过程。因此，我们在理解隐私工程时，可以在《个制度化、流程化、平台化的方式来提升企业的隐私保护能力的工程实践。将隐私要求嵌入系统和软件开发流程是隐私工程的核心，但同时还需要通过组织保障、制度要求、流程管理、平台工具等提供(二)隐私工程的目标各国对于隐私工程目标的设定基本以其倡导的隐私保护原则或标相一致（如表1，而“合法正当”和“最小必要”两项目标则主要是基于《个人信息保护法》的顶层架构进行了调整（如图2，使来源：CCSATC601图2个人信息安全工程目标和《个人信息保护法》基本原则映射表1国内外隐私工程目标对比我国欧盟ENISA7美国NIST8合法正当//遵循个人信息安全相关法律法规要求，处理个人信息具有明确、合理的目的，不通过误导、欺诈、胁迫等方式处理个人信息。//最小必要//处理个人信息与处理目的直接相关，采取对个人权益影响最小的方式，收集个人信息限于实现处理目的的最小范围。//公开透明透明性（Transparency）可预测性（Predictability）公开个人信息处理规则，明示处理的目的、方式和范围，提高产品服务个人信息处理的透明性是指所有与隐私相关的数据处理，包括法律、技术和组织设置，都可以随时理解和重建。数据的实际处理、计划处理以及处理后的具体情况都应当保证透明性。是指使个人、所有者和操作人员能够对个人信息及其信息系统的处理有可靠的预期。7PrivacyandDataProtectionbyDesign—frompolicytoengineering8AnIntroductiontoPrivacyEngineeringandRiskManagementinFederalSystems我国欧盟ENISA7美国NIST8不可关联不可关联性（Unlinkability）不可关联性（Disassociability）采用去标识化、匿名化等手段，减少个人信息关联到个人信息主体引起的安全风险。是指隐私相关数据与域外的任何其他隐私相关数据集不可关联。是指对个人信息或事件的处理，不与超出系统运行需求的个人或设备相关联。可管理性可干预性（Intervenability）可管理性（Manageability）提供个人信息处理的管理机制，使用户和组织能够适当干预产品服务处理个人信息的过程。是指确保对所有正在进行或计划进行的隐私数据处理进行干预，并在必要时能够纠正和制衡。是指提供对个人信息细粒度的管理的能力，包括选择、删除和选择性披露。来源：CCSATC601(三)隐私工程的内容输出已给出了较为具体的实施方案，包含了需求、设计、开发、测试和部署软件开发过程通用的个人信息安全工程活动（如图3。此的要点和常见个人信息安全默认配置参考要点，对我国企业而言具来源：《个人信息安全工程指南》图3《个人信息安全工程指南》个人信息安全工程各阶段活动但如前所述，在完成《个人信息安全工程指南》提供的流程之外，企业还需要从运营和管理的角度提供一系列的隐私保护支撑，这些内容在NIST报告和ISO/IEC27550:2019中均有所体现。NIST941规和Is10（2）隐私影响评估，用于识别风（3）（4）隐私工程和安全目标，用于厘清并评估系统是否满足相关要求以及妥善处理风险的能力；以及（5）风险管理框架，用于提供选择和评来源：AnIntroductiontoPrivacyEngineeringandRiskManagementinFederalSystems图4NIST隐私工程构成ISO/IEC27550:2019提出的隐私工程流程是建立在ISO/IEC/IEEE15288:2023《系统和软件工程：系统软件生命周期》之上的，从企业完整运营的角度考虑，认为隐私工程涉及包括采购、销售、人力资源等相关部门，具备较强的兼容性。具体内容包括采购与管理流程、人力资源流程、知识管理流程、风险管理流程、相9AnIntroductiontoPrivacyEngineeringandRiskManagementinFederalSystems10FIPPs（FairInformationPracticePrinciples）即“公平信息实践法则”是由美国卫生、教育与福利部提出的保护个人隐私的基本原则，包括个人有权知道他人收集了哪些关于他的信息，以及这些信息是如何被使用的；个人有权拒绝某些信息使用并更正不准确的信息；信息收集组织有义务保证信息的可靠性并保护信息安全。FIPPs随后成为美国1974年《隐私法案》及其他联邦和各州隐私保护法律的基础，也被其他国家和国际组织所广泛承认和接受。尽管随着时间的推移FIPPs的内容在表达上有所变化，但始终被视为与各组织的信息管理实践广泛相关的一致核心原则。关方需求与要求流程、系统需求定义流程、架构定义流程和设计定。表2ISO/IEC27550:2019提出的覆盖系统生命周期的隐私工程流程流程类型（ISO/IEC/IEEE15288）覆盖系统生命周期的流程（ISO/IEC/IEEE15288）隐私工程事项协议流程采购流程供应链涉及个人信息供应流程组织项目赋能流程人力资源流程隐私工程人力资源管理知识管理流程隐私工程知识管理技术管理流程风险管理流程隐私风险管理技术流程相关方需求与要求流程相关方的隐私期待系统需求定义流程隐私原则执行架构定义流程隐私对架构的影响设计定义流程隐私对设计的影响来源：ISO/IEC27550:2019基于欧盟、美国以及ISO/IEC对于隐私工程内容的描述，结合我国个人信息保护的相关要求，本白皮书认为隐私工程主要包含以下内容：表3隐私工程内容组织人员从组织架构、工作职责、意识技能等方面，进行人才资源管理、沟通机制建立、隐私工程技能提升，以此构建让隐私工程顺利推行的组织根基。技术工具以技术工具的方式在产品/服务的数据处理活动中落地个人信息保护要求，或在内部管理中使用技术工具识别、管理个人信息保护风险。文档管理隐私工程落地实施的规划、执行方案、运行记录、改进跟踪均以文档方式进行记录并体系化管理。知识管理识别隐私工程知识库的组成元素、形成可用的隐私工程知识库并跟踪分析其使用情况。系统开发生命周期隐私管理需求、设计、开发、测试和部署软件开发过程中嵌入个人信息保护要求，参考《个人信息安全工程指南》的内容。第三方合作管理在第三方的准入筛选、合同签订、跟踪监测、风险评估和退出等方面考虑隐私保护问题并形成全流程的管理机制。个人权利保障针对用户个人信息权利的授权、个性化、权利请求响应和处理等方面形成体系化的控制策略和流程。隐私安全事件管理制定隐私安全应急预案并定期演练，建立事件的监测、处置、报告和通知流程。隐私风险管理建立隐私风险管理体系，对隐私风险的识别、分析、评价、处置和监测形成标准化管理机制和运营系统。来源：CCSATC601三、 隐私工程的价值：企业隐私保护的必经阶段隐私保护其实早已成为我国企业关注的重点，企业或多或少都在从技术、管理等多角度满足隐私保护要求，只是通常未形成较为系统和全面的方法论。随着《个人信息保护法》的出台和生效，我国的个人信息保护框架基本稳固，监管活动也逐渐趋于常态化，监管的关注点也越来越细致深入，大部分企业已具备基础的个人信息保护能力，开始追求隐私保护的制度化、流程化和体系化，更多从事前考虑并关注如何预防、评估和处置个人信息安全风险。由此可见，隐私工程或将成为下一阶段企业隐私保护的解决方案。(一)监管趋势：隐私保护监管趋于精细化常态化APP监管向着标准化、自动化、智能化发展。自2019年开始，移动互联网应用程序（APP）作为企业收集和处理个人信息的重要媒介，一直是我国隐私保护监管的重点。2020年7月，全国APP技术检测平台的上线和使用，APP检测效率大大提高，2022年该平台已具备每个月能够检测18万款APP的能力11；2023年7月27日，APP开发管理风险线索报送系统上线，旨在进一步加强对APP全生命周期管理，帮助及时发现、有效处置APP在代码设计、更新维护、程序管理中存在的风险漏洞。通过辅以技术检测，监管不仅仅停留在原则性的灰度检测和过度依赖司法裁判的事后释法，APP被通报整改和下架已经成为常见的监管形态。11国新办举行2021年工业和信息化发展情况新闻发布会图文实录/xwfb/gwyxwbgsxwfbh/wqfbh_2284/2022n_2285/2022n01y20rsw/twzb_2344/202208/t20220808_316012.htmlAPP监管范围扩大，覆盖前端、后端及全流程。目前，APP监管范围已经从APP深入至APP内嵌第三方软件开发工具包ftareevlentiKPAPP的基本功能是否合法合规扩展到个人信息相关权限调用、信息上传等。20232月，工业和信息化部发布《关于进一APP开发运营者主体要完善内部管理机制，将相关法规政策要求落实到产品研发、推广和运营各环节；采取访问控制、技术加密、去标识化等安全技术措施，加强前端和后端安全防护；主动监测发现个人信息泄露、窃取、篡改、毁损、丢失、非法使用等风险威胁，及时响应处置除了APP监管，违反《个人信息保护法》的各类行为也陆续出现在行政处罚案例中，如未对个人信息采取加密、去标识化等安全技术措施，在存储和传输敏感个人信息时未采取必要的安全技术措施，没有制定内部管理制度和操作规程等等；处罚对象也不局限于APP运营者，物业公司、售楼处、停车场等各行业、多样化服务的运营主体也都“榜上有名”。一方面，常态化的监管意味着企业需要对监管要求保持高度敏感，并建立起一套与业务高度契合的隐私风险识别和处置机制，不仅能够在发现问题时及时溯源和处置，还能够通过定期的评估和监测提前发现隐私安全风险并积极预防。另一方面，精细化的监管要求企业将隐私保护深入到产品以及产品背后的系统、应用，进入真正的工程实现层面，把法律法规和标准内化形成一种顺其自然的默认隐私态势，降低隐私保护措施贯彻落实对企业的业务影响，做到从容应对立法、执法和司法的动态变化。(二)用户需求：个人信息主体权利保护成为隐私保护重点保护个人信息主体相关权利成为法定要求。《个人信息保护法》生效后，企业需要对个人信息权利提供更多的保障，包括知情权、决定权、拒绝权、查阅复制权、更正补充权、请求转移权、删除权、解释说明权等等。无法及时满足用户的权利行使请求会带来行政处罚和诉讼风险。广东省高级人民法院2023年1月发布的个人信息保护典型案例中，就包括平台拒绝用户对其个人信息的查阅复制请求而导致的诉讼案件。个人信息权利管理逐渐成为提升用户体验的重要模块。随着我国个人信息保护立法逐渐完善，公众对于个人信息主体权利的保障意识不断提高。如果说企业重视保障个人信息主体的相关权利起初是为了回应监管要求，那么现阶段更多企业投入精力和成本提供便捷和人性化的个人信息管理功能，则是希望通过更好地维护用户的个人信息主体权利来提升产品用户体验，进而增强产品的竞争力。起初，用户行使相关权利通常需要通过意见反馈留言、发送邮件、拨打客服电话等实现，耗费时间长、反馈不及时；现在，越来越多的产品倾向于在产品的隐私设置中增加多样化的个人信息权利管理功能，让用户可以更加便利地行使相关权利，如查看和获取个人信息收集清单、授权和撤回授权、个性化管理等等。为此，企业不仅需要设置相应的产品功能，还需要全方位动态梳理个人信息资产，掌握其收集和使用的个人信息类型、数量、使用目的、授权情况等，对个人信息在内部的流转进行全链路的追踪和监测，以便在个人用户提出权利行使要求时能够准确高效地定位到相关个人信息，并配合进行相应处理。在产品需求和设计阶段考虑个人信息主体的权利保障，正是隐私设计理念“尊重用户隐私，以用户为中心”的体现，也与隐私工程主张将隐私保护要求嵌入产品和系统开发流程中的基本要求不谋而合。具备良好隐私保护实践的产品和服务不仅能减少隐私数据泄漏对个人权益的影响，也更加符合用户的隐私期待。(三)企业发展：隐私保护助力企业合规高效发展隐私工程可以大大减少隐私保护对业务的影响。为了满足监管合规要求、保护个人信息权益，企业在建立个人信息保护制度的过程中，需要承担一些隐私合规的成本，如建设隐私合规能力和体系的培训、评估以及技术和维护成本等。隐私保护策略的实施通常也会影响个人信息价值的开发利用，企业很难实现隐私保护和业务价值的双赢。而隐私工程通过结合企业自身具体业务场景和合规要求，主动将隐私和数据保护需求嵌入到业务运营及系统服务的设计中，让隐私保护成为企业商业实践和系统运行的默认规则，成为业务和系统的核心组成部分，减少因为事后整改而导致前期产研投入的浪费。隐私工程有利于企业可持续发展。环境、社会和公司治理（nirentl,oia,oeraneG）作为一种关注企业环境、社会、公司治理绩效而非传统财务绩效的企业评价标准，近年来越发获得投资者和企业的关注。在香港联交所的《环境、社会及行及监察方法”属于强制披露内容。国际主流评级机构MSCI私和数据安全议题列为评级关键指标之一，尤其是针对信息与通信技术行业的企业的评估，该类指标所占权重很高。隐私工程作为能ESG相关ESG中的隐私安全与数据保护提供强有力的支撑，帮助企业建立良好的社会声誉，助力企业可持续发展。四、 隐私工程的实践：我国隐私工程实践探索虽然隐私工程主要强调如何将隐私嵌入产品和系统的开发流程中，但要实现这种融合，还需要在组织建设、人员管理、技术选择、制度流程等方面进行配合，对内涉及企业多部门多方面参与，对外还要关注用户、合作方、监管部门等多个关联方的安全隐私需求。本章结合我国企业的隐私工程实践经验，提供了可参考的隐私工程体系建设流程、架构及建议，抛砖引玉，企业可结合自身需求选取和应用。(一)隐私工程体系建设流程参考隐私工程体系建设可分为计划阶段、构建阶段、集成阶段、验证阶段和运营阶段，各个阶段与网络安全主流的DevSecOps的框架相适应，以便能够通过最小有效的方式将隐私保护嵌入已经较为完善的企业研发流程框架之中，减少隐私保护工作实施过程中的阻力。在实践中，企业可根据自身情况判断隐私保护现状及差距，从适当的流程入手逐步完善隐私工程体系的建设。隐私工程计划阶段计划阶段主要是通过组织架构、人员职责、制度流程、技术工具和知识管理等方面进行规划设计，是隐私工程的基础性工作。组织架构与人员职责。从企业层面设立专门的隐私保护组织，明确组织构成以及各方职责分工，统筹规划并推进个人信息保护整体工作。具体包括制定个人信息保护目标，建立运营机制和问责机制，通过持续完善运营机制和专项活动推动隐私保护目标达成，包括不限于推动标准化流程的建立及完善、定期考核目标达成情况、通过组织培训活动提升员工隐私保护意识等。实践案例|AmberGroup：职责清晰的安全隐私治理组织架构AmberGroup的信息安全与隐私组织架构（5）借鉴和参考了COBIT5.0、ISO27001ISO27701IT治理和安全隐私标准的组织架构设计指引，通过合理的层级设置和职责划分，建立决策、管理、执行和监督四个层级的运作机制，具备分工合理、职责明确、相互制衡、报告关系清晰的特点，充分体现了治理框架的全面性、合规性、先进性、可操作性和审计独立性。信息安全与隐私组织架构建立了安全委员会、信息安全与隐私保护管理组、信息安全与隐私保护执行组（信息安全与隐私部门、数据所有者、数据消费者、信息安全与隐私接口人、数据保护官、信息安全与隐私监管组等组织，建立了清晰的职责矩阵和RACI矩阵，能够对每个隐私工作领域所需要负责（esponsbe、批准（Accounabe、咨询（onsued、通知（Infored）的角色进行明确定义，确保隐私工作有效地落实责任。来源：AmberGroup图5AmberGroup信息安全与隐私组织架构实践案例|OPPO：安全与隐私管理“三道防线”建立完善的安全与个人信息保护组织，各司其职，分工协作，是隐私工程体系运行的基础和驱动力。为此，OPPO成立了安全与合规委员会，负责制定安全与合规总体战略规划，统筹推进个人信息保护整体工作。安全与合规委员会下设安全与隐私管理（6第一道防线，由业务部门安全与隐私合规代表或安全系统工程师构成，主要向业务负责人及安全与合规委员会汇报，负责产品安全隐私策略的具体落地应用、自查自纠等。第二道防线，由专职的安全隐私部门构成，主要向安全与合规委员会汇报，负责安全隐私能力的建设与支持、推动产品安全隐私策略的落地。第三道防线，由审计部门担任，主要向安全与合规委员会汇报，负责产品安全隐私策略落地的审计，发现风险，推动业务整改。OPPOOPPO同时建立清晰的问责机制，督促各级部门履行自己的职责，在发生违规情形时，将由公司进行对应的问责处置。来源：OPPO6OPPO安全隐私保护组织架构实践案例|AmberGroup：信息安全与隐私管理体系文件融合架构AmberGroup在隐私工程上的制度、流程和规范包括个人数据收集与处理程序、个实践案例|AmberGroup：信息安全与隐私管理体系文件融合架构AmberGroup在隐私工程上的制度、流程和规范包括个人数据收集与处理程序、个人数据留存及销毁程序、数据主体同意管理规范、数据主体权利响应程序、数据处理记录规范、个人数据泄漏响应程序、数据跨境传输程序、数据安全与隐私保护技术规Checklist、个人数据与隐私合规评估准则、IA&DIA报告及模板等主要内容（如图7。这些文件共同为隐私工程的构建阶段提供规范化文档指引，也是知识管理中需要持续维护的内容。来源：AmberGroup图7AmberGroup信息安全与隐私管理体系文件融合架构实践案例|蚂蚁集团：数字化的隐私合规基线-ACriacyevelnshtI如图）的核心是隐私合规基线的数字化，通过对于内外部的数据和信息进行分析，制定相关业务或产品的隐私合规基线，在此基础上对实际管控水位和管控效果进行跟踪和分析。隐私合规基线的设置可综合考量风险维度、业务表现、用户感受、行业水位四个维度。设置合适的隐私合规基线应当做到对监管立法执法、行业动态进行及时感知和分析，通过用户分析、投诉等信息构建用户隐私感模型，以及对企业内各业务风险域的隐私水位进行标准量化管理及数据化分析。来源：蚂蚁科技集团股份有限公司图8蚂蚁i-ABC隐私工程体系隐私水位洞察域架构技术工具。隐私工程在实践中需要同时采用管理措施和技术手段来控制个人隐私合规风险。企业基于法律法规制定的制度流程等管理措施为管控个人隐私风险提供了原则和规范，而访问控制、密码算法、隐私增强计算技术等技术工具可以对隐私合规要求进行具象化的产品或系统实现。但隐私和数据安全领域与传统信息安全领域有所不同，其风险项以原则性描述居多。同时，隐私保护及数据安全与实际业务耦合性较强，在控制隐私风险时，对业务模式和逻辑的侵入性也更强，较难建立统一认可的通用威胁模型和防护手段。因此，企业应结合自己业务的实际情况，对业务场景进行梳理，建立通用场景的隐私合规威胁模型和风险库，并设计相应的隐私保护策略及解决方案，设置隐私合规基线，开展隐私影响自评估，在产品和服务上线前进行安全测试验证。实践案例|实践案例|i-ABC隐私工程体系：专家经验策略化与大模型紧密结合i-ABC隐私工程体系是技术驱动的隐私工程，核心是解决隐私保护传统模式中依赖专家经验判断的效率问题和对个人信息识别的准确度问题。专家经验策略化是指将专家的知识和经验转化为一种可以被机器理解和执行的策略或者规则。这种策略或者规则可以帮助专家在判断个人信息处理活动合法性的时候，将传统隐私保护活动中的事前审核方式，从人工逐个判断，转化为由机器批量处理，指数级提升事前管控审核的效率。与大模型紧密结合，是指在处理数据时，充分利用大数据和机器学习等技术。这些技术可以帮助更好地理解数据，发现数据中的模式和规律，以及提供使用者更自由、更高效的人机交互模式。例如，对个人信息活动中涉及的个人信息的进行提取，对个人信息类型进行判断，或通过智能助手的形式辅助隐私保护业务运营人员进行法规影响、业务风险、产品隐私体验等专家判断。实践案例|OPPO：可靠、可信、智能化的数据安全防御体系OPO以六层防御系统为基础，打造数据安全防御体系（如图9。运用AI、大数据等新技术，实现智能化云安全防护能力，并将安全与隐私活动贯穿产品全生命周期。同时，OPPO在安全隐私检测技术上取得了一系列突破，通过安全与隐私合规检测推动合规要求的切实执行，为用户建立稳固的安全防线。除了专注于提高隐私合规检测能力，OPPO也积极探索隐私保护技术的产品应用。例如，在产品的部分场景中使用了本地差分隐私技术，实现了数据的匿名化处理，为用户提供先进的隐私保护能力，回应用户的隐私保护期待。来源：OPPO图9OPPO数据安全技术防御体系知识管理和培训。隐私保护是一个跨学科、跨领域的专业，要求在业务、研发、产品、安全、隐私、法务、公关、人力资源等不同部门之间做到密切有效的配合，相关知识经验的传递和沉淀是必不可少的。企业可参考ISO/IEC27550:2019开展隐私保护的人力资源管理以及知识管理。人力资源管理流程可以理解为隐私工程能力发展项目，主要以识别隐私工程能力以及对应资源的投入，包括培训及教育、培训材料的创建和维护，以及监控该能力的变化。知识管理流程主要是将隐私工程实践中所积累的知识形成专业的知识库，运用于实践指导。企业可安排隐私保护组织制定年度培训目标与计划，并根据近期监管动向、合规趋势、处罚案例、行业热点等情况定制适合企业实际情况的培训主题。实践案例|星纪魅族：产品定制的隐私工程知识库星纪魅族集团在隐私工程落实中重视人力资源管理和知识管理，由个人信息保护部门牵头，联合产品、设计、研发、测试多个不同部门制定了一套适用于本公司的个人信息保护知识库以及培训材料，并保证其在产品内统一、持续地推行。星纪魅族集团以产品实践为样本来锤炼知识库，强调实践出真知，在每个终端产品类型的合规落地中积累知识与经验。个人信息保护部门提出应当满足个人信息保护法律要求以及符合行业实践的个人信息保护功能需求，产品和设计部门会结合公司的终端产品特性、交互设计规范等形成标准的统一产品方案，研发部门以代码方式实现统一产品方案，继而形成个人信息保护功能实现的标准化工具，测试部门则基于个人信息保护部门提供的测试用例形成标准化的测试方案、自动化测试工具。整套闭环的合规需求、产品设计方案、标准工具和测试方案经过一款产品落地的打磨后会进入到隐私工程知识库，成为未来开发新功能的重要输入。在隐私工程知识库形成后，星纪魅族集团启动了针对产品设计、研发及算法工程师的隐私工程培训，且完成隐私工程的培训与考核是试用期通过的前提条件之一，以使相关岗位人员具备隐私工程的必备技能，实现知识库内容的融会贯通，在开发新产品、新功能时自然导入个人信息保护要求。比如，产品及设计的隐私工程必修课包括PbD理念、通用设计指南与设计用例（如告知同意的设计、基础模式的设计等、常见的欺骗性隐私设计等等。以此确保隐私工程能力成为该岗位员工的必备技能。隐私工程构建阶段隐私工程构建阶段包括产品需求定义和产品设计定义。需求定义要分析产品需求中哪些内容可能涉及个人信息处理，并根据相关要求进行隐私影响评估并记录，最终根据隐私影响评估结果判断是否可以正式进入产品隐私的设计阶段。如果经评估判断存在高风险，则需要进一步根据实际情况选择是否采取减缓措施或选择放弃该数据处理活动。实践案例|i-ABC隐私工程体系：隐私影响评估域DevOps工作流程中，与研发集成、数据实践案例|i-ABC隐私工程体系：隐私影响评估域DevOps工作流程中，与研发集成、数据安全等多个部门紧密合作，在追求隐私合规性和数据可用性的同时保障开发和运维的如图0（1）PIA技术组件，通过低代码接入的方式针对不同的业务场景快速搭PIA评估流程，以高效支撑复杂业务的开展。明确全链路统一的产品/场景信息标准，各环节审核与业务需求评估打通，尽量做到一个产品或业务全链路只审一次；（2）平PIA的评估模型和策略模型，构建基于隐私各业务领域特征的检测、策略审核的平台能力。来源：蚂蚁科技集团股份有限公司图10隐私影响评估域架构如图1：定基线。依据法律法规的规定、监管指导意见、行业标准，结合企业具体的业务场景和产品特性，制定契合企业业务流程的隐私合规基线，针对数据全流程中可能涉及到的收集、使用、存储、共享的场景提前设定好隐私管理的标准和要求。建卡点。从个人信息全生命周期分析，结合企业实际的产品研发运营的活动，PIA事前管控的关键链路，以建立与生产或研发流程相融合的正向个人信息影响评估体系。在关键链路基础上，针对领域对象进行建模和抽象，进一步产出可复用的隐私组件和模板，从而快速完成管控链路收口。布策略。过程管控中通过策略布控和运行来保证隐私评审的结果能够在实际链路中生效。可构建隐私策略平台作为隐私管控策略集中布控和运营的中心，与业务相关生产应用系统进行链路打通。评效果。通过前面三个步骤的实施，完成了事前评估和链路管控，通过应用、链路中提前预设切面等采集方式，对链路中发生的数据实际处理情况进行收集和反馈，做到实时地监控，从而对业务实际效果进行反馈评价。来源：蚂蚁科技集团股份有限公司图11隐私影响评估策略管控实践案例|星纪魅族：基于硬件终端产品软件开发生命周期建立隐私工程手机、眼镜和智能汽车均是硬件制造行业，一般会按照瀑布式开发流程来进行推进，以减少项目风险，保障交付。而基于硬件的软件产品，包括操作系统、操作系统上运行的应用，更多还是采取迭代式软件开发周期。基于特殊的开发流程，星际魅族设计的隐私工程流程是遵循整个硬件的开发周期，但会限定于在软件开发的范围内增加隐私工程的流程，并结合软件开发周期的迭代特性，贯穿终端硬件的整个生命周期。如表4：表4星纪魅族隐私工程流程需求阶段输入业务部门提供终端硬件的基本需求，如销售国家或区域、车机系统是否配置车内摄像头、手机系统的操作系统版本等。活动个人信息保护部门根据终端硬件的基本需求、所适用的法律规定等规范性文件、标准、行业最佳实践、平台规则等制定个人信息保护合规要求清单，并据此制定个人信息保护通用设计指南，如是否需要提供“双清单”、座舱数据的处理原则、账号注销的设计方案等。输出个人信息保护合规要求清单，个人信息保护通用设计指南和设计用例。设计阶段输入业务部门提供所涉产品软件功能需求，用户界面设计等，已经采取的安全措施，拟引入的第三方。活动个人信息保护部门将根据个人信息保护合规要求清单以及业务部门提供的输入进行个人信息保护影响评估。若评估后存在对用户造成潜在风险，则应当与业务部门进行沟通、调整产品功能需求和用户界面。输出个人信息保护影响评估报告（初步，确认后的个人信息保护功能需求以及用户界面。开发阶段输入经确认的个人信息保护功能需求以及用户界面，通用个人信息保护功能的标准工具库。活动研发部门基于个人信息保护部门提供的个人信息保护通用指南和设计用例，提供标准工具库，供开发各功能时的研发人员快速集成使用。研发部门同时针对该功能所确认的个人信息保护功能需求以及用户界面进行代码实现。在每个版本合入代码时自动触发相关的安全测试，如权限、敏感函数调用等。个人信息保护部门将结合开发阶段产生的技术设计文档、代码、安全测试报告、数据库表设计等，进一步完成个人信息保护影响评估，并完成数据处理活动记录。输出技术设计文档及代码版本，每个版本合入的测试报告，个人信息保护影响评估报告，数据处理活动。测试阶段输入经确认的个人信息保护功能需求以及用户界面，技术设计文档及代码版本，个人信息保护影响评估报告，个人信息保护要求清单活动个人信息保护部门结合个人信息保护评估报告以及个人信息保护要求清单，输出测试用例，明确前提、测试步骤、预期结果。测试部门根据个人信息保护测试用例，结合经确认的个人信息保护功能以及用户界面、技术设计文档及代码版本，进行个人信息保护测试，确保符合预期，并逐步实现自动化测试用例，纳入开发阶段的自测工具中。输出个人信息保护测试用例，个人信息保护测试报告。发布输入个人信息保护测试报告，个人信息保护影响评估阶段个人信息保护部门根据个人信息保护测试报告，确认是否已经按照个人信息保护影响评估完成了风险治理，是否有残余风险，若无则活动正式签发并归档个人信息保护影响评估报告。研发部门按照默认配置以及安全部署规则完成新产品或新功能的部署、上线，并与个人信息保护部门制定安全应急预案。输出个人信息保护影响评估（归档版，个人信息安全应急预案，默认配置规则。来源：湖北星纪魅族集团有限公司隐私工程集成阶段来源：湖北星纪魅族集团有限公司实践案例|星纪魅族：隐私设计组件化合规设计指南与用例。（实践案例|星纪魅族：隐私设计组件化合规设计指南与用例。（App）收集个人信息基本要a.应用首次运行时，通过弹窗形式主动展示个人信息保护政策、涉及的权限调用等核心内容；b个人信息保护政策文本链接有效且文本可以正常展示；c.个人信息保护政策不会造成阅读困难；d个人信息保护政策单独成文；e.4次的点击可查看；f.不得默认勾选；g由用户主动选择同意或不同意（包括设置退出、上一步、关闭、取消的按钮等方式）的选项；h不得采取误导、欺诈、胁迫等方式影响用户同意；i选择同意与不同意的途径和方式应该同样方便；j个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，会重新取得用户同意；k同意之前不得收集任何个人信息，也不得申请任何可收集个人信息的权限；l.应当提供便捷的撤回同意路径。产品设计方案。提供标准的产品交互设计指南，包括应用首次打开的弹窗样式与隐私设置。统一设计弹窗样式、文案内容（包括必要权限和可选权限、选项名称和颜色、字号，作为标准的产品设计方案，提供给产品和设计部门参考使用。隐私政策文本明确要求字号、行距、边距、加粗格式，保障用户可以清楚阅读和理解个人信息保护政策内容。在产品设计方案中规定隐私设置、隐私政策、个人信息收集清单、第三方信息共享清单的入口名称、访问路径等。研发标准化工具。研发部门设计开发统一的工具包（SDKAPI两种接入方式，可以提供标准弹窗样式、隐私设置的界面、读取隐私政策的最新内容、隐私政策更新时重新同意的弹窗。同时，为了统一管理隐私政策版本，公司内部使用了隐私政策编辑和发布平台，确保隐私政策与数据处理活动保持一致。实践案例|AmberGroup：隐私工程的集成与实施要点隐私通知与交互界面开发。AmberGroup在隐私通知与交互界面分层设计层面会与产品经理进行深入的沟通，在业务便利性和隐私保护中间取得良好的平衡，以满足PbD的“正和非零和”原则。一个隐私通知的有效传达，可以采取隐私通知组合来达到用户界面的最优解。具体包括从静态隐私通知文本、增强告知、即时提示、单独同意、隐私图标和符号，以及隐私政策更新的通知。产品、数据库开发与隐私管理平台配置。在产品与数据库开发过程中，主要是配合开发人员和DBA进行实际开发实施。隐私技术团队主要完成以下工作：、App和小程序的同意记录收集技术，可以选择Javascript、SDKAPI进行同意记录的推送，做到同意记录的有效留存。SDKSDK集成，App弹窗和隐私偏好中心的界面、文本、颜色、Logo，并配置好地理位置规则、GDPR、等SDK后，交由开发人员App中。数据主体权利响应实施集成。数据主体权利响应需要在隐私管理平台上进行地理位置规则配置、数据主体身份认证配置、响应流程指引话术、企业内部响应工作流等相关配置。最终呈现的数据主体权利响应页面交由开发人员集成到产品首页的底部，并以超链接的方式嵌入隐私政策的“联系方式”章节。数据表设计。通过建立用户中心数据表，作为用户数据的集中数据库，通过唯一标识符作为多个数据库表之间的外键，用于连接其他应用系统和模块，降低敏感个人数据分散存储在多个数据库表中的风险，也降低隐私数据管理难度。个人数据时间戳标记。根据数据分类分级情况，金融交易类数据一般会采用UID+交易数据的方式存储，有较为独立的库表结构，可以方便数据归类进行处置。时间戳方面，应从该条交易数据产生时就打上时间戳标记，定期对数据库表的时间戳进行轮询，产生数据删除或匿名化的任务待后续处理。数据库字段加密。识别需要实施数据库字段加密的个人数据字段，并采用云SDKKMS完成数据字段加密工作。数据展示脱敏。根据企业脱敏标准完成产品前端的敏感个人数据展示脱敏，以及后端日志数据的脱敏。隐私工程验证阶段隐私工程验证阶段，主要是对设计和开发的具体实现和符合性进行验证，检查隐私需求是否得到满足。主要工作包括WebCookies扫描、App与SDK数据收集和权限扫描、隐私功能用户验收测试。隐私工程的验证通常由不同的团队执行。软件测试团队负责功能测试，对隐私界面、隐私功能是否与需求和设计文档保持一致进行验证。提出需求的隐私团队则需要确保系统的隐私功能与后端的隐私管理平台或通用组件之间集成的正确性，包括后端平台是否能够正确收到用户同意记录、数据主体权利请求流程是否通畅、隐私政策文本正确性、隐私政策链接跳转是否有效、WebCookies是否与政策保持一致等等。此外还可以引入外部第三方隐私合规检测机构，通过模拟用户遍历产品功能、代码审查、动态监测、隐私政策内容提取分析等手段，从产品交互界面隐私设计，产品自身及第三方SDK获取用户数据的时间节点、频次、具体种类，获取系统权限的时间节点、频次，隐私政策披露用户数据收集和使用的真实、准确、完整性等多个维度对产品用户数据处理和隐私设计状况进行全面扫描，并在此基础上验证其是否符合合规基线。隐私工程运营阶段隐私工程的运营阶段，主要是持续进行规范跟踪、过程管理、风险管控，对隐私工程措施和流程实现维护和优化。规范跟踪。跟踪隐私相关的法律法规、行业标准和最佳实践，确保组织的隐私措施符合最新的合规要求。定期评估和更新隐私政策、用户协议和其他隐私相关的文件，以及企业已经制定的隐私保护要求和业务流程，以确保其与最新的法律要求和企业隐私策略一致。过程管理。各部门相关人员需要在企业隐私管理制度、业务流程以及隐私工程框架下的指导下完成各角色的工作任务，因此需要确保规范中要求的动作得以恰当履行，台账、审计以及检查等工作实践案例|i-ABC实践案例|i-ABC隐私工程体系：隐私风险监测域隐私风险监测域（如图12）对涉及个人信息处理的业务活动持续开展隐私风险识别、评估、处置等治理活动，通过隐私监测规则的集中管理和布控，实现隐私风险的监测、识别和评估处置的全链路管控，支撑业务部门方便快捷地布控隐私监测规则，并对规则筛选出的对象进行集中治理。企业可基于业务隐私风险的垂直领域分析，抽象出企业重点关注的垂直风险领域，SDK、小程序开放生态、算法及个性化推荐、生物识别等等。每一个风险域，都对应特定的风险监测对象，基于风险监测对象和风险分类，从底层平台提供相应的隐私风险的监测能力。来源：蚂蚁科技集团股份有限公司来源：蚂蚁科技集团股份有限公司图12隐私风险监测域架构(二)隐私工程体系建设架构参考目前，我国部分企业已结合隐私工程的理论方法和自身实践，探索出了各具特色、各有侧重的隐私工程体系架构。本节分享了蚂蚁、阿里、OPPO、AmberGroup四家企业的隐私工程体系架构全景图，以便更加直观地展示隐私工程体系架构和运行原理。企业可充分结合隐私工程的理论体系和实践案例探索建立适合自己的隐私工程体系。i-ABC隐私工程体系“i-ABC”是基于满足监管要求、提升用户隐私安全感、助力业务持续发展等诉求提出的隐私工程数字化的管理体系，将融合了法规影响、监管影响、用户影响的隐私专家经验直接投射于产品设计、代码研发、应用部署、数据链路调用、信息存储、算法推荐，在系统层面构建隐私影响评估、风险监测识别、风险快速处置、隐私管控策略动态调整的体系化能力，和结合行业态势发展、新技术应用的快速洞察分析能力。来源：蚂蚁科技集团股份有限公司图13技术驱动的i-ABC隐私工程体系13所示为技术驱动的i-ABC4”指隐私水位洞察（riayevelIngt、“”指隐私影响评估（PrivacyImpactAssessment、“B指个人信息处理数字化记录（eroalInfratinok、“”是指隐私风险监测（riacyskoro。隐私水位洞察的核心是隐私合规基线的数字化，通过对于内外部的数据和信息进行分析，制定相关业务或产品的隐私合规基线，在此基础上对实际管控水位和管控效果进行跟踪和分析。隐私合规基线的设置可综合考量风险维度、业务表现、用户感受、行业水位四个维度。设置合适的隐私合规基线应当做到对监管立法执法、行业动态进行及时感知和分析，通过用户分析、投诉等信息构建用户隐私感模型，以及对企业内各业务风险域的隐私水位进行标准量化隐私影响评估包括事前评估和实际链路管控，将传统意义上的专家隐私风险评估与生产系统的实际落地结合起来，保证评估的内容能够切实地落地和执行。其中，事前评估旨在针对某一种数据处理活动的需要，结合业务场景、业务性质、获取范围和处理目的，就数据处理活动对自然人的权利和自由产生风险的可能性进行事前的准入评估。实际链路管控是指企业在依据隐私合规基线进行隐私影响评估后，形成系统链路可执行的策略，理清相关数据处理活动涉及的所有业务场景和生产链路，明确具体的管控卡点，即策略可个人信息处理活动记录包括个人信息档案（业务事实）和个人信息保护措施档案（隐私管控记录。个人信息档案将应用系统、数据链路中等各处涉及个人信息授权、使用、共享的相关的记录进行索引聚合，通过业务视图的转义，还原为业务事实档案。个人信息PIA风险发现处置记录等。个人信息处理活动记录的核心职责是在个人信息去标识化的基础上，将个人信息在企业全业务流程中的流动、评估、管控记录完整还原，形成个人信息账本，做到个人信息使用“有依据、有记录、可追溯”，以满足监管检查和诉讼应对的自证、隐私风险监测是指对个人信息风险进行全面的预警和治理，做到“早发现、早治理”。其核心逻辑是通过对比业务事实行为与结构化后的合法依据发现隐私风险。隐私风险监测包括建立外部情报与隐私风险排查联动的响应和处置机制，根据业务和行业水位的变化快速部署隐私风险监测规则，主动进行风险巡检并对隐私工作提供后督能力支撑。阿里：隐私保护与业务效益正和的隐私工程框架隐私和数据保护需求应该从用户数据被采集开始就嵌入到系统和业务设计中，并扩展至个人信息处理活动的全生命周期。为提供数据采集、生产、存储、传输、使用、共享、删除全程的个人隐私保护，阿里设计了隐私保护与业务效益正和的隐私工程框架。来源：阿里巴巴（中国）有限公司图14阿里巴巴隐私工程框架14所示，为保护个人隐私权益、符合监管要求，企业需要同时采用管理手段和技术手段。阿里基于法律法规、制度流程指导隐私设计，同时使用技术和工程能力将隐私合规保护原则和策略进行具象化的系统实现。在进行隐私合规管理时，首先要对法律法规和监管政策进行研究解读，并结合企业实际需要，制定符合业务的企业制度规范和贴合业务场景的合规原则。其次，通过组织建设将相关隐私合规权责分配到特定团队和个人，并设计相应到的流程和场景合规方案，将制度规范原则具象化。在建立好相应制度、规范、流程、工具能力后，进行教育宣导和员工培训，建设企业隐私文化。在隐私合规具象化的过程中，需要通过技术和工程能力将合规流程和方案进行系统化。阿里通过研究开发数据分类分级识别、数据血缘追踪、流通规则引擎、可信数据空间等数据合规审控工具，以及差分隐私、联合分析、安全多方计算等隐私计算技术，实现了14中个人信息处理活动各环节的合规管控策略，以支持个人隐私以上隐私合规工程框架的落地，在保障个人信息权益、履行企业责任义务的同时，还实现了风险精细化管控，降低了隐私合规成本，如隐私合规专家进行隐私影响评估和场景合规评估的人力和时间成本、不合适的隐私合规策略或解决方案导致的数据可用性损耗等。以内部数据流通场景为例，阿里设计并实现了基于数据识别及分类分级、合规规则引擎、风险审计和平台合作协议的数据流通风险管控系统（如图5，对企业内部流通个人信息时的隐私风险进来源：阿里巴巴（中国）有限公司图15数据流通隐私合规风险精细化管控系统数据识别系统可以自动化识别个人信息并对其进行分类分级，以便在内部数据流通过程中高效识别刻画个人信息，并基于其敏感等级进行分层保护。基于维度属性设计的数据分类及分类对应的数据风险等级，不仅能对敏感个人信息进行单独分类和标记，还做到了贴合实际业务场景。此外，阿里还设计了数据升降级模型，解析数据处理逻辑及数据血缘，对个人信息的等级进行动态识别校准。数据分类分级识别的结果将作为数据内容的属性输入到合规规则引擎中。合规规则引擎对企业内部的数据流通行为或场景进行结构化的描述，而隐私合规专家可以基于结构化语言描述数据流通过程中的合规规则，定义数据合规流通策略及支持其流通的合规依据。当数据在企业内部流转时，阿里将调用合规规则引擎中预先定义的合规规则，对预置的有合规依据且隐私安全风险可控的个人信息内部流通行为自动放行，对无合规依据、有隐私合规风险的个人信息共享行为进行自动阻断，从而减少需要隐私合规专家人工介入评估的工作量，以提高流通效率。当合规规则引擎反馈需要人工介入评估或管理风险时，隐私合规专家将介入进行隐私影响评估，并设计相应的合规解决方案，如签署相应的协议以作为本次数据流通或共享的合规依据，或设计相应的数据共享技术方案或隐私合规管控策略保障个人信息权益。此外，隐私合规专家还可以通过合规审计看板进行隐私合规风险排查和追溯，合规审计看板还将作为企业履行个人信息权益保障义务的自证工具。通过数据识别及合规规则的预定义，以上方案提供了系统化的隐私影响评估能力，减少了大量的人工评估工作量。同时，还可以让隐私合规专家对高风险的个人隐私数据共享行为进行针对性识别和管控，以快速发现数据流通中的隐私合规风险，保障个人信息权益。OPPO：将隐私设计要求落实到产品全生命周期中OPPO作为手机厂商及互联网应用平台方，结合自身业务特点逐步建立了一套隐私工程的实践（如图6。在体系建设过程中，OPPO关注消费者、业务部门、三方合作方、监管部门等几个关联方的安全隐私需求。通过行业洞察与消费者调研掌握行业动态及消费者需求，通过培训与宣传提升人员的安全能力与意识，通过产品安全隐私特性打造来提升产品的安全隐私体验，提升产品的安全隐私竞争力。最后，OPPO还建立了检测与评价机制，对安全体系进行及时评测，发现问题及时纠正和改进，最终建立一套自证合规的体系。16OPPO

来源：OPPO在组织建设方面，OPPO建立安全隐私“三道防线”，协同推进安全隐私工作落地。第一道防线，由业务部门安全与隐私合规代表或安全系统工程师构成，主要向业务负责人及安全与合规委员会汇报，负责产品安全隐私策略的具体落地应用、自查自纠等。第二道防线，由专职的安全隐私部门构成，主要向安全与合规委员会汇报，负责安全隐私能力的建设与支持、推动产品安全隐私策略的落地。第三道防线，由审计部门担任，主要向安全与合规委员会汇报，负责产品安全隐私策略落地的审计，发现风险，推动业务整改。OPPO同时建立清晰的问责机制，督促各级部门履行自己的职责，在发生违规情形时，将由公司进行对应的问责处置。在流程制度方面，OPPO坚持将隐私保护落实到产品需求、设计、开发、运营的整个生命周期中，实践PbD要求。在产品需求设计阶段，所有新增或变更个人信息处理活动都需要完成安全与隐私合规评审。只有通过安全与隐私合规评审的需求设计方案才能进入开发流程。在产品开发过程中，开发人员应遵循企业内部的开发编码规范和安全算法使用规范。在产品上线之前，涉及个人信息处理的产品需额外通过专项合规测试和复核，确保产品实现满足最新的个人信息保护合规要求。在整个过程中，安全隐私专业团队负责把控关键节点，并持续推动合规标准更新和落实。为了确保公司从管理层到普通员工均熟知OPPO对用户数据保护的承诺及具体要求，OPPO定期组织全公司范围的课程学习、测验，由安全隐私专业团队进行专业培训，并将测试通过情况纳入考核指标。在技术工具方面，OPPO创建了可靠、可信、智能化的数据安全防御体系，运用AI、大数据等新技术，实现智能化云安全防护能力，并将安全与隐私活动贯穿产品全生命周期。同时，OPPO在安全隐私检测技术上取得了一系列突破，通过安全与隐私合规检测推动