我国隐私工程体系建设流程参考

实践案例|Amber Group：职责清晰的安全隐私治理组织架构

Amber Group的信息安全与隐私组织架构（如图1）借鉴和参考了COBIT 5.0、ISO 27001和ISO 27701等IT治理和安全隐私标准的组织架构设计指引，通过合理的层级设置和职责划分，建立决策、管理、执行和监督四个层级的运作机制，具备分工合理、职责明确、相互制衡、报告关系清晰的特点，充分体现了治理框架的全面性、合规性、先进性、可操作性和审计独立性。信息安全与隐私组织架构建立了安全委员会、信息安全与隐私保护管理组、信息安全与隐私保护执行组（信息安全与隐私部门、数据所有者、数据消费者、信息安全与隐私接口人）、数据保护官、信息安全与隐私监管组等组织，建立了清晰的职责矩阵和RACI矩阵，能够对每个隐私工作领域所需要负责（Responsible）、批准（Accountable）、咨询（Consulted）、通知（Informed）的角色进行明确定义，确保隐私工作有效地落实责任。

来源：Amber Group

图 1 Amber Group信息安全与隐私组织架构

实践案例|OPPO：安全与隐私管理“三道防线”

建立完善的安全与个人信息保护组织，各司其职，分工协作，是隐私工程体系运行的基础和驱动力。为此，OPPO成立了安全与合规委员会，负责制定安全与合规总体战略规划，统筹推进个人信息保护整体工作。安全与合规委员会下设安全与隐私管理的三道防线（如图2），协同推进安全隐私工作落地。

第一道防线，由业务部门安全与隐私合规代表或安全系统工程师构成，主要向业务负责人及安全与合规委员会汇报，负责产品安全隐私策略的具体落地应用、自查自纠等。

第二道防线，由专职的安全隐私部门构成，主要向安全与合规委员会汇报，负责安全隐私能力的建设与支持、推动产品安全隐私策略的落地。

第三道防线，由审计部门担任，主要向安全与合规委员会汇报，负责产品安全隐私策略落地的审计，发现风险，推动业务整改。

OPPO同时建立清晰的问责机制，督促各级部门履行自己的职责，在发生违规情形时，将由公司进行对应的问责处置。

来源：OPPO

图 2 OPPO安全隐私保护组织架构

实践案例|Amber Group：信息安全与隐私管理体系文件融合架构

Amber Group在隐私工程上的制度、流程和规范包括个人数据收集与处理程序、个人数据留存及销毁程序、数据主体同意管理规范、数据主体权利响应程序、数据处理记录规范、个人数据泄漏响应程序、数据跨境传输程序、数据安全与隐私保护技术规范、个人数据与隐私保护需求与架构评审Checklist、个人数据与隐私合规评估准则、PIA&DPIA报告及模板等主要内容（如图3）。这些文件共同为隐私工程的构建阶段提供规范化文档指引，也是知识管理中需要持续维护的内容。

来源：Amber Group

图 3 Amber Group信息安全与隐私管理体系文件融合架构

实践案例|蚂蚁集团：数字化的隐私合规基线

蚂蚁i-ABC隐私工程体系中隐私水位洞察域（Privacy Level Insight，PLI）（如图4）的核心是隐私合规基线的数字化，通过对于内外部的数据和信息进行分析，制定相关业务或产品的隐私合规基线，在此基础上对实际管控水位和管控效果进行跟踪和分析。隐私合规基线的设置可综合考量风险维度、业务表现、用户感受、行业水位四个维度。设置合适的隐私合规基线应当做到对监管立法执法、行业动态进行及时感知和分析，通过用户分析、投诉等信息构建用户隐私感模型，以及对企业内各业务风险域的隐私水位进行标准量化管理及数据化分析。

来源：蚂蚁科技集团股份有限公司

图 4 蚂蚁i-ABC隐私工程体系隐私水位洞察域架构

实践案例|蚂蚁i-ABC隐私工程体系：专家经验策略化与大模型紧密结合

i-ABC隐私工程体系是技术驱动的隐私工程，核心是解决隐私保护传统模式中依赖专家经验判断的效率问题和对个人信息识别的准确度问题。

专家经验策略化是指将专家的知识和经验转化为一种可以被机器理解和执行的策略或者规则。这种策略或者规则可以帮助专家在判断个人信息处理活动合法性的时候，将传统隐私保护活动中的事前审核方式，从人工逐个判断，转化为由机器批量处理，指数级提升事前管控审核的效率。

与大模型紧密结合，是指在处理数据时，充分利用大数据和机器学习等技术。这些技术可以帮助更好地理解数据，发现数据中的模式和规律，以及提供使用者更自由、更高效的人机交互模式。例如，对个人信息活动中涉及的个人信息的进行提取，对个人信息类型进行判断，或通过智能助手的形式辅助隐私保护业务运营人员进行法规影响、业务风险、产品隐私体验等专家判断。

实践案例|OPPO：可靠、可信、智能化的数据安全防御体系

OPPO以六层防御系统为基础，打造数据安全防御体系（如图5）。运用AI、大数据等新技术，实现智能化云安全防护能力，并将安全与隐私活动贯穿产品全生命周期。同时，OPPO在安全隐私检测技术上取得了一系列突破，通过安全与隐私合规检测推动合规要求的切实执行，为用户建立稳固的安全防线。

除了专注于提高隐私合规检测能力，OPPO也积极探索隐私保护技术的产品应用。例如，在产品的部分场景中使用了本地差分隐私技术，实现了数据的匿名化处理，为用户提供先进的隐私保护能力，回应用户的隐私保护期待。

来源：OPPO

图 5 OPPO数据安全技术防御体系

实践案例|星纪魅族：产品定制的隐私工程知识库

星纪魅族集团在隐私工程落实中重视人力资源管理和知识管理，由个人信息保护部门牵头，联合产品、设计、研发、测试多个不同部门制定了一套适用于本公司的个人信息保护知识库以及培训材料，并保证其在产品内统一、持续地推行。

星纪魅族集团以产品实践为样本来锤炼知识库，强调实践出真知，在每个终端产品类型的合规落地中积累知识与经验。个人信息保护部门提出应当满足个人信息保护法律要求以及符合行业实践的个人信息保护功能需求，产品和设计部门会结合公司的终端产品特性、交互设计规范等形成标准的统一产品方案，研发部门以代码方式实现统一产品方案，继而形成个人信息保护功能实现的标准化工具，测试部门则基于个人信息保护部门提供的测试用例形成标准化的测试方案、自动化测试工具。整套闭环的合规需求、产品设计方案、标准工具和测试方案经过一款产品落地的打磨后会进入到隐私工程知识库，成为未来开发新功能的重要输入。

在隐私工程知识库形成后，星纪魅族集团启动了针对产品设计、研发及算法工程师的隐私工程培训，且完成隐私工程的培训与考核是试用期通过的前提条件之一，以使相关岗位人员具备隐私工程的必备技能，实现知识库内容的融会贯通，在开发新产品、新功能时自然导入个人信息保护要求。比如，产品及设计的隐私工程必修课包括PbD理念、通用设计指南与设计用例（如告知同意的设计、基础模式的设计等）、常见的欺骗性隐私设计等等。以此确保隐私工程能力成为该岗位员工的必备技能。

实践案例|蚂蚁i-ABC隐私工程体系：隐私影响评估域

隐私影响评估域将隐私保护的要求整合到DevOps工作流程中，与研发集成、数据安全等多个部门紧密合作，在追求隐私合规性和数据可用性的同时保障开发和运维的敏捷性。隐私影响评估域整体的架构可分为两层（如图6）：（1）对客服务层。抽象并提炼可复用的隐私PIA技术组件，通过低代码接入的方式针对不同的业务场景快速搭建PIA评估流程，以高效支撑复杂业务的开展。明确全链路统一的产品/场景信息标准，各环节审核与业务需求评估打通，尽量做到一个产品或业务全链路只审一次；（2）平台能力层。抽象PIA的评估模型和策略模型，构建基于隐私各业务领域特征的检测、策略审核的平台能力。

来源：蚂蚁科技集团股份有限公司

图 6 隐私影响评估域架构

架构实施层面可落实为四个步骤（如图7）：

（1）定基线。依据法律法规的规定、监管指导意见、行业标准，结合企业具体的业务场景和产品特性，制定契合企业业务流程的隐私合规基线，针对数据全流程中可能涉及到的收集、使用、存储、共享的场景提前设定好隐私管理的标准和要求。

（2）建卡点。从个人信息全生命周期分析，结合企业实际的产品研发运营的活动，盘点所有要纳入PIA事前管控的关键链路，以建立与生产或研发流程相融合的正向个人信息影响评估体系。在关键链路基础上，针对领域对象进行建模和抽象，进一步产出可复用的隐私组件和模板，从而快速完成管控链路收口。

（3）布策略。过程管控中通过策略布控和运行来保证隐私评审的结果能够在实际链路中生效。可构建隐私策略平台作为隐私管控策略集中布控和运营的中心，与业务相关生产应用系统进行链路打通。

（4）评效果。通过前面三个步骤的实施，完成了事前评估和链路管控，通过应用、链路中提前预设切面等采集方式，对链路中发生的数据实际处理情况进行收集和反馈，做到实时地监控，从而对业务实际效果进行反馈评价。

来源：蚂蚁科技集团股份有限公司

图 7 隐私影响评估策略管控

实践案例|星纪魅族：基于硬件终端产品软件开发生命周期建立隐私工程

手机、眼镜和智能汽车均是硬件制造行业，一般会按照瀑布式开发流程来进行推进，以减少项目风险，保障交付。而基于硬件的软件产品，包括操作系统、操作系统上运行的应用，更多还是采取迭代式软件开发周期。基于特殊的开发流程，星际魅族设计的隐私工程流程是遵循整个硬件的开发周期，但会限定于在软件开发的范围内增加隐私工程的流程，并结合软件开发周期的迭代特性，贯穿终端硬件的整个生命周期。

根据《信息安全技术 个人信息安全工程指南》，结合星纪魅族集团的特殊软件生命周期，制定以下隐私工程流程（如表1）：

表 1 星纪魅族隐私工程流程

来源：湖北星纪魅族集团有限公司

实践案例|星纪魅族：隐私设计组件化

合规设计指南与用例。根据《个人信息保护法》《信息安全 个人信息处理中的告知和同意的实施指南》《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》，对于应用首次运行时的告知同意的设计要点包括：a. 应用首次运行时，通过弹窗形式主动展示个人信息保护政策、涉及的权限调用等核心内容；b. 个人信息保护政策文本链接有效且文本可以正常展示；c. 个人信息保护政策不会造成阅读困难；d. 个人信息保护政策单独成文；e. 在固定入口展示个人信息保护政策，且进入主界面不超过4次的点击可查看；f. 不得默认勾选；g. 由用户主动选择同意或不同意（包括设置退出、上一步、关闭、取消的按钮等方式）的选项；h. 不得采取误导、欺诈、胁迫等方式影响用户同意；i. 选择同意与不同意的途径和方式应该同样方便；j. 个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，会重新取得用户同意；k. 同意之前不得收集任何个人信息，也不得申请任何可收集个人信息的权限；l. 应当提供便捷的撤回同意路径。

产品设计方案。提供标准的产品交互设计指南，包括应用首次打开的弹窗样式与隐私设置。统一设计弹窗样式、文案内容（包括必要权限和可选权限）、选项名称和颜色、字号，作为标准的产品设计方案，提供给产品和设计部门参考使用。隐私政策文本明确要求字号、行距、边距、加粗格式，保障用户可以清楚阅读和理解个人信息保护政策内容。在产品设计方案中规定隐私设置、隐私政策、个人信息收集清单、第三方信息共享清单的入口名称、访问路径等。

研发标准化工具。研发部门设计开发统一的工具包（包括SDK和API两种接入方式），可以提供标准弹窗样式、隐私设置的界面、读取隐私政策的最新内容、隐私政策更新时重新同意的弹窗。同时，为了统一管理隐私政策版本，公司内部使用了隐私政策编辑和发布平台，确保隐私政策与数据处理活动保持一致。

实践案例|Amber Group：隐私工程的集成与实施要点

隐私通知与交互界面开发。Amber Group在隐私通知与交互界面分层设计层面会与产品经理进行深入的沟通，在业务便利性和隐私保护中间取得良好的平衡，以满足PbD的“正和非零和”原则。一个隐私通知的有效传达，可以采取隐私通知组合来达到用户界面的最优解。具体包括从静态隐私通知文本、增强告知、即时提示、单独同意、隐私图标和符号，以及隐私政策更新的通知。

产品、数据库开发与隐私管理平台配置。在产品与数据库开发过程中，主要是配合开发人员和DBA进行实际开发实施。隐私技术团队主要完成以下工作：

（1）数据收集点实施。确定Web、App和小程序的同意记录收集技术，可以选择嵌入隐私管理平台的Javascript、SDK，或者利用隐私管理平台的API进行同意记录的推送，做到同意记录的有效留存。

（2）移动应用合规管理SDK集成。隐私管理平台的移动应用合规管理SDK集成，需要在隐私管理平台上配置好App弹窗和隐私偏好中心的界面、文本、颜色、Logo，并配置好地理位置规则（PIPA、GDPR、CCPA等）。配置导出SDK后，交由开发人员集成到App中。

（3）数据主体权利响应实施集成。数据主体权利响应需要在隐私管理平台上进行地理位置规则配置、数据主体身份认证配置、响应流程指引话术、企业内部响应工作流等相关配置。最终呈现的数据主体权利响应页面交由开发人员集成到产品首页的底部，并以超链接的方式嵌入隐私政策的“联系方式”章节。

（4）数据表设计。通过建立用户中心数据表，作为用户数据的集中数据库，通过唯一标识符作为多个数据库表之间的外键，用于连接其他应用系统和模块，降低敏感个人数据分散存储在多个数据库表中的风险，也降低隐私数据管理难度。

（5）个人数据时间戳标记。根据数据分类分级情况，金融交易类数据一般会采用UID+交易数据的方式存储，有较为独立的库表结构，可以方便数据归类进行处置。时间戳方面，应从该条交易数据产生时就打上时间戳标记，定期对数据库表的时间戳进行轮询，产生数据删除或匿名化的任务待后续处理。

（6）数据库字段加密。识别需要实施数据库字段加密的个人数据字段，并采用云供应商的应用加密SDK和KMS完成数据字段加密工作。

（7）数据展示脱敏。根据企业脱敏标准完成产品前端的敏感个人数据展示脱敏，以及后端日志数据的脱敏。

实践案例|蚂蚁i-ABC隐私工程体系：隐私风险监测域

隐私风险监测域（如图8）对涉及个人信息处理的业务活动持续开展隐私风险识别、评估、处置等治理活动，通过隐私监测规则的集中管理和布控，实现隐私风险的监测、识别和评估处置的全链路管控，支撑业务部门方便快捷地布控隐私监测规则，并对规则筛选出的对象进行集中治理。

企业可基于业务隐私风险的垂直领域分析，抽象出企业重点关注的垂直风险领域，如端及SDK、小程序开放生态、算法及个性化推荐、生物识别等等。每一个风险域，都对应特定的风险监测对象，基于风险监测对象和风险分类，从底层平台提供相应的隐私风险的监测能力。

来源：蚂蚁科技集团股份有限公司

图 8 隐私风险监测域架构