一、GRC简介
GRC即治理、风险管理与合规,通过解决不确定性以及诚信行事,保障企业可靠的实现目标的能力集合,是一种企业风险治理的框架模型。
治理(G)的主要工作包括:
● 建立战略与边界。
● 组织架构与权责划分。
● 政策的制定与流程管控。
● 绩效监督。
风险管理(R)的主要工作包括:
● 风险的分类。
● 风险的评估方法。
● 风险处理。
● 风险报告机制。
合规(C)的主要工作包括:
● 各种不合规风险的文档化。
● 定义流程中的合规控制点并文档化。
● 评估控制点的有效性。
● 解决发现的合规问题。
二、隐私保护治理简介
如果企业面临较大的合规压力,可借鉴数据安全管理的相关做法以及合规要求,构建隐私保护的管理体系,包括:
● 建立隐私保护政策总纲,并在管理层达成共识。
● 建立隐私保护的组织和团队、职责分工,负责隐私保护监督、审计以及与监管机构沟通。
● 建立隐私保护的政策与框架(建立文件体系及运用于实践)。
● 确定适用的法律法规清单,并将其转化为内部文件。
● 建立隐私影响评估(PIA)或数据保护影响评估(DPIA)的方法论与操作流程。
● 隐私生命周期的管理与落地(如隐私声明、收集、数据主体同意、流转审批流程、有效期管理与数据清理等)。
● 建立数据目录以及隐私运营支撑系统,用于对隐私风险进行度量,支撑隐私保护工作的例行开展,并可用于向监管机构证明自身的合规性。
● 建立数据主体请求的相关流程和系统(用于支撑用户查询、修改、删除、撤回同意等)。
● 隐私数据泄露事件的响应与报告机制。
三、数据保护治理GRC实践
这里我们将GRC风险治理方法论融入PDCA循环来讨论隐私合规的具体实践。
3.1、计划(P)
计划阶段的主要任务包括:
G:设定目标、组织职责与问责政策、制定总体政策。
R:风险识别。
C:确定合规要求,分解重组,确定内部合规基准。
3.2、执行(D)
执行阶段的主要任务包括:
G:细化政策、监督。
R:风险评估、风险控制矩阵、融入流程、风险处置。
C:内部合规基准转化为合规控制矩阵、建立/融入流程、合规改进、建立合规记录。
3.3、检查(C)
检查阶段的主要任务包括:
G:对团队努力的成果、过程、态度进行绩效考核。
R:对风险的度量,就是用数据来量化风险,可用于各业务团队间对比,表彰先进。
C:对合规有效性的检查、合规记录的检查;这里的有效性,包括但不限于隐私声明是否经过自检、是否具备数据流转审批记录、是否具备对供应商的尽职调查记录、数据主体请求是否得到处理等。
3.4、处理(A)
处理阶段的主要任务包括:
G:依据合规检查的结果、风险度量的结果、绩效度量的结果,执行决策和问责。
R:风险总结,残余风险继续转入下一轮PDCA循环。
C:合规总结,遗留的不合规问题继续转入下一轮PDCA循环。
四、隐私保护能力成熟度
隐私保护领域常用的能力成熟度评价模型是AICPA/CICA PMM,它是由美国及加拿大会计师协会制定的,是基于GAPP(公认隐私准则)和CMM(能力成熟度模型)而发展出来的隐私成熟度模型,可用于评价企业隐私保护体系的当前水平。
然而在实践中,一般是不建议直接使用外部规范的,我们需要将其进行内部转化才行。内部转化的过程中,一般选取的指标不必很全(各业务都做得比较好的指标可以去掉,只纳入风险比较高的指标),主要目的在于驱动各业务线的合规改进。转化后的成果即内部能力成熟度模型。
以下是一般性建议,在实践中,应当根据自己企业的实际情况来制定。
能力成熟度标准参考:
级别 | 能力简述 |
五级 | 持续优化级,基于量化反馈、审计的持续改进,需要大量记录作为证据 |
四级 | 可度量(隐私合规风险量化)或可管理(如可视化跟踪),能够通过有效性审查 |
三级 | 充分定义与文档化 |
二级 | 可重复的活动过程 |
一级 | 单例,基本不重复 |
内部能力成熟度参考:
细分领域 | 三级(充分文档化定义) | 四级(可度量/可管理) |
组织与政策 | 一、二、三道防线的组织体系设计与任命文件、问责制度; 相对完善的政策文件体系、流程。 | 问责记录、对政策文件的评审记录、修订记录、审计记录 |
隐私声明 | 隐私声明/通知的管理规定、模板、检查表; 检查表自检记录。 | 对自检进行量化,统一展示得分 |
选择/同意 | 充分保障数据主体的选择权,重要选项均需要用户主动勾选,不执行一揽子式同意; 记录用户对隐私声明的每个版本的同意情况。 | 数据主体的同意,最化管理,可视化或可查询 |
数据目录/分级 | 数据分级分类的政策文件; 数据目录及数据的分级分类标识。 | 数据统计与可视化管理 |
数据流转 | 数据流转的管理规定; 流转审核记录; 如涉及供应商、具备尽职调查记录、数据处理协议签署记录; 如涉及跨境,具备数据传输协议的签署记录。 | 数据记录统计与可视化管理 |
隐私设计 | 设计规范、检查表; 检查表自检记录。 | 自检结果度量 统计与分析 |
数据主体请求 | 管理规定、处理流程; 处理记录。 | 数量度量(分类型统计,如销户、更正等;分业务统计各业务请求数据); SLA度量(及时完成率等) |
风险评估 | 风险管理规定、评估方法、定级标准; 评估记录。 | 评估报告统计与分析、风险分类 |
意识教育 | 管理规定(从业人员资质要求、培训要求等); 培训/考试记录。 | 培训/考试数据量化与统计分析 |
事件管理 | 管理规定、事件处理流程、处理记录。 | 统计与分析 |
