法律犀牛

以下文章来源于出海互联网法律观察 ，作者王捷 魏彤

一个专注于互联网出海的生态赋能平台，分享互联网企业出海法律干货与心得经验，解读/分析海外法律政策与网络案件，为出海企业保价护航。连接实务人员，共享信息资源，提供最新鲜最务实的出海法律观察。

文/ 王捷 魏彤

地互联网出海实战指南——数据合规地

DPO系列：KNOCK KNOCK, DPO究竟是干嘛的？

GDPR第38条规定，“控制者”和“处理者”必须保证“数据保护官”适当且及时的介入所有与个人数据保护的有关事宜。

划重点，所有和个人数据保护有关的事项，DPO都要参与进来，并且要确保及时。

Wp29工作小组从落地角度又把这个“适当且及时”往前推了一把，“从开始阶段就咨询“数据保护官”的意见，可以促进企业的GDPR合规”。

我国涉及到“网络安全负责人“和”个人信息保护负责人“等泛DPO角色等的《网安法》和个人信息安全规范虽然没有明确指明数据保护人员需要在哪分哪秒进行介入，但通读下来我们可以从字缝里感受到，满本都写着两个字是“全流程”。

本着清晰易读的原则，我们这就要顺着这个 “从开始阶段” “全流程” 来扼要概括一下DPO都需要做些什么。

Step 1：评估前的准备工作——梳理现状（Mapping）

梳理现状，主要是指对企业中数据主体权利的情况进行全面的梳理，数据主体的各项权利是否执行到位，是各国政府合规监管的一个重点。

这是DPO的第一步，也是最为“痛苦”的一步，因为DPO不仅需要把企业各业务场景过程中涉及的隐私数据系统地梳理出来，还需要清楚全面地掌握和了解这些隐私数据在整个业务流程中的流动过程和具体处理方式，而现实却是“骨感”的，大多数互联网企业场景复杂，数据繁多，隐私数据的处理过程涉及到整个数据生命周期，包括数据收集、数据分析/处理、数据传输、数据分享、数据存储、数据销毁等各个环节，每一个环节都有不同的“坑”需要注意，要真正把这些整明白了，确实是一件需要脑力与体力并存的事情。

这同时也对DPO，这个“神圣”的职业提出了更高的要求，如果这个DPO就只知道一些基本的法律要求，而没能把企业内部业务流程与架构以及数据流动的整个周期都理解到位，恐怕也只是“纸上谈兵”了。

Step 2：合规差距分析——对整体数据处理的流程进行合规评估

合规评估，也就是“数据保护影响评估”，是GDPR针对高风险处理行为要求企业采取的重要的合规手段，也是DPO工作内容的一个重要组成部分。

数据控制者，也就是企业本人，需要通过以下四个手段和步骤来保证处理过程中的数据合规风险规避。

描述某一数据处理行为（在开始进行个人数据处理之前，项目生命周期的早期进行，并与规划和开发过程同步延续进行）；

评估该行为的必要性和合比例性；

识别并评估风险，帮助企业管理因处理行为产生的自然人权利和自由的风险，并采取降低风险的措施；

确认并记录结果，将结果整合到行动中。

最后，别忘了对上面的内容信息持续的审查哦。

常见的评估形式有隐私影响评估（Privacy Impact Assessment，PIA）、数据保护影响评估（Data Protection Impact Assessments，DPIA）。

以上内容，按照我们给企业做专业系统的培训的话，确实需要很长的时间进行解释，虽然复杂，但实操起来还是很因崔斯汀的，遇到需要数据合规评估的时候大家也可以不要犹豫的拨打我所电话，愿为您分担这份繁琐与负担。不走心的广告打完，我们来尽量用活泼生动的人类语言说一下这个实务中会接触到最多的合规评估——隐私影响评估（PIA）。

我们掰着指头数一下，围绕着被使用的个人数据，它包含什么信息属于什么类型（是不是敏感信息）、如何收集的（是自己收的不还是别人帮忙）、为什么以及为了啥目的收集（不能写“我就是好奇 ，随便收集一下“），以及全程看下来我们的哪些人对它都干什么了（此处要从收集开始算，存储、使用、对外提供直到废弃阶段都不能落下）。

最基本的这四条再根据具体情况加上一些比如出不出境（或者是不是外国来的数据）、会如何影响数据主体（我们是不是会给人家打电话弹信息）等等琐碎的问题全部答完，经过影响分析风险评估等玄而又玄的环节，最终给出评估分析和合规建议。

Step 3：形式上达成符合监管

说起来这里其实可以算是整篇下来最为大众所熟悉的一个DPO工作部分了。就相当于一被听说是设计师，立刻会被父老乡亲要求“随手帮我画个logo呗”，一般被发现是数据保护官的那一秒，“正好我app的隐私协议不知道怎么写呢！帮哥个忙回头请你吃饭”。此处吐血.jpg

隐私协议也就是privacy policy，正是广大形式合规文档的代表，注册页面和设置按钮里一键跳转的高调存在。啥叫形式合规，就是落在纸面上白纸黑字，（当然也有黑纸白字的），做的好不好直接展示给每个用户和监管爸爸的那一部分。这些文档写不好，不好意思，你数据中台做的再精致，框架技术做的再完美，不好意思，那些真的没前台的活计显眼。

老话说的好，好的隐私协议各有各的好法，稀烂的隐私协议也烂得各有不同。通常来讲，一份用户隐私协议中需要提到的点包括但不限于：收集和存储的数据类型（有没有涉及到敏感信息）、收集目的、获取同意的方法、处理的方式、施加的保护措施（尤其是对敏感个人数据进行了怎么样的措施来进行保护）、是否会转移数据到监管要求以外地区以及用户有哪些数据主体权利和如何行使。结合具体的适用法，如GDPR, CCPA, 个人信息安全规范等等，来进行具体调整。如果产品定位指向不止一个国家和地区，对不同管辖法的协调适用也是不可避免的一步检查工作。

当然说归说，如果不落地到具体产品上，除了以上这些宽泛的概念，讲出花来也说不清DPO写pp到底要关注什么强调什么，所以下期直接插播一篇案例分析，我们拎出来pornhub黑纸白字的隐私政策是怎么把“你的这些个人信息我拿走用一下ho”这件事写清楚的。

说了这么多，希望没有给大家造成“形式部分的数据合规仅局限在隐私政策”的误导，用户政策、个人数据保护策略、隐私影响评估报告、数据转移策略及流程（尤其在涉及跨界的时候）乃至于数据泄露应急预案都是其重要的组成部分。但是鉴于企业是否需要这些部分文档需要具体产品具体分析，甚至具体情境具体分析，我们在此就不细说了。

时间线外的第四步：产品合规

如果说我们前面提到的三条，都是聚焦在出现问题及时响应解决（reactive），下面这个工作内容可以说不太一样，在主动性和广度上，都进行了一定的升华，算是从产品设计的整体角度来做数据合规设计（proactive）。

GDPR的第25条倾情引入这个主动设计的概念，企业要遵循通过产品设计来达到隐私合规（Privacy by Design，PBD），将数据合规融入设计中（Privacy embedded into design），并实现全生命周期的保护（Full lifecycle protection）。

是不是听起来有点抽象，我们来举个例子。数据最小化原则大家是不是更熟悉一点，不管是欧洲美国还是我国的数据保护法律法规，基本原则中都反复强调，企业在采集或处理个人数据时，要分析必要性，尽可能减少个人数据的采集和使用。这个原则的落实就需要我们在产品设计的全流程中分分钟询问内心：我在实现产品功能的路上是不是做到尽量不碰或少碰个人数据来？这个质问自己的痛苦过程，回归到理论上，就是一种Privacy by Design。

更具体一点来说，在产品需求分析、技术方案设计、产品研发、测试以及发布上线，持续的监督和评估等等环节中，落实数据隐私合规的意识需要一直在DPO脑海中浮现，并对不同的环节和情形做出合适的评估，倒是可以说是对DPO这个法律+技术+产品的复合型职位的特征的非常好体现。

给大家放一个DPO大体思路的checklist在这里感受一下大致思路，again，还是要强调具体产品具体分析。

（1） 梳理企业内数据现状；

（2） 进行PIA, DPA等数据合规评估；

（3） 保证符合监管，尤其落实在用户协议和隐私政策等形式合规上；

（4） 最终目标是变被动响应为主动，搭建产品整体思路上的数据合规设计 。

/ / 往期回顾 / /

“回锅肉”的3D打印技术与IP的碰撞

区块链——打开知产新世界的密钥

陈申军专访：弃医从法，跨界新天地

微软很忙：左手打官司，右手打“僵尸”

律所招聘||23家律所在线招聘，快来看看吧

犀牛预警第六期| 海外涉华知产诉讼最新动态

原标题：《DPO究竟是干嘛的？看完你就懂了！》

阅读原文