数据合规的艺术，从隐私政策说起
 陈Alan AI与数据合规 
 在小说阅读器读本章
 去阅读
 在小说阅读器中沉浸阅读
 以下文章来源于也谈数字乌托邦
 ，作者Echo
 也谈数字乌托邦
 .
 聚焦国内外个人信息保护司法案例，反观个保「真问题」。
 草拟/修订隐私政策是一个基础的信息披露的过程，是产品对外敞开的一扇窗户，法务是守窗人。用户、监管通过这扇窗户来窥探产品的合法合规性。这扇窗户对外呈现的大小、样式、材质，从应然层面，需要根据法律法规、司法行政的动态有所变化，故而表面上看，市面上不同产品之间隐私政策的写法、展示形式有“趋同”的趋势，比如说，如果首次登录不同意隐私政策的内容，需要提供游客模式；用户查看隐私政策的步骤不能多于4次点击，等等，但实然层面，这扇窗户背后透露了产品实际承载的不同功能不同具体场景下处理个人信息的考量。纸面底下有暗流。草拟/修改隐私政策和捋顺产品功能是同时进行的，在这个过程中，法务起到嫁接实然和应然、提示风险的作用，但具体能否落实是一个综合考量的过程。从这个角度上，数据合规像更像是门难以有精确结果的、需长期迂回衡量的艺术。最基本的操作，需从产品现状出发，尽心尽责披露信息、提示风险、推进产品整改。在这个过程中，需和技术、研发、产品沟通确认状况。自身的现状还好梳理，难的是外部情况，比如，接入的第三方SDK，其本身可能也会再委托他人处理，会出现“俄罗斯套娃”的情况，从企业的角度可以通过跑代码的方式来确认是否接入了某第三方SDK，但难以确认第三方SDK实际处理了什么个人信息。更多时候，收集、处理的个人信息的颗粒度取决于业务实际需求，这里面有成本的考量。比如，A产品和B产品使用的是同一套技术，A产品搜集个人信息的变化可能会影响B产品，或者A产品未来某个计划中的场景需要使用到更细颗粒度的个人信息，需要综合衡量，难以直接基于当下这个点去剔除某些个人信息的收集和处理。此外，个人信息的定义是动态的、场景化的，需要时时留意司法行政动态，关注监管打击动态，提示风险，及时整改产品、调整隐私政策。举例而言，当下IMEI这样的设备信息需要在隐私政策中披露已成常态，但最初这样的要求还是给人以“太宽泛”、“万物皆可个人信息”的感受，这里面的逻辑是：目前手机终端及其APP大多都是跟设备的，从而对应手机号，个人专属性比较强，因此IMEI这样的设备信息属于个人信息。再比如，去年有法院判定，某公司摇一摇广告使用的加速度传感器，和其他信息相关联可以识别出特定的自然人。这份判决书中写到：“某公司未向用户提供关闭开屏广告“摇一摇”功能的选项，实质上是剥夺了用户拒绝处理者处理其个人信息的权利。”基于此，首先从最小必要的角度，需要评估产品某个功能是否需要收集用户的加速度传感器数据？再从收益的角度，由此带来实现某个功能的收益能否覆盖掉收集加速度传感器数据可能带来的风险？综合考量下来，为应对未来潜在的监管风险和用户投诉，需要同时做两个动作：在产品本身，增加关闭加速度传感器搜集的设置，让用户可以选择退出；在隐私政策中，提示用户关闭加速度传感器的步骤。总体而言，个人信息的合规蛮动态化的，存在比较大的不确定性。内部：产品功能和场景不断更新，可能会出现新的侵犯个人信息权益的风险，研发、产品、技术和法务之间亦存在信息差；外部：司法、监管对个人信息的定义和打击会变化。企业需要探索一套合适的管理机制，长期跟踪、定期调整。从法务这个守窗人而言，需要更多耐心和勇气去沟通、确认场景的具体情况、留意内外部变化的消息。END