【CPO交流】隐私专员处理多重法规、本地化规范和数据泄露#PrivacyNama2022

在Medianama的PrivacyNama 2022活动上，四位隐私官员分享了他们如何帮助组织采用“数据友好型”方法的见解，以及公司在处理数据时面临的挑战。他们讨论了一系列主题，从数据本地化和跨境转移到管理数据泄露。本文基于2022年10月7日举行的虚拟讨论，将帮助读者更好地理解隐私官的角色和职能。

会话时间戳：3:08

会议主席：Rahul Narayan（最高法院律师）

演讲者：Ali Khan（ZS Associates Inc.治理、风险、合规与审计负责人）、Ivana Bartoletti（Wipro全球数据隐私官）和Monika Tomczak Gorlikowska（Prosus N.V.首席隐私官）、Raditya Kosasih（Gojek集团数据保护官）

MediaNama在Mozilla、Meta、沃尔玛、亚马逊、德里NLU通信治理中心、Access Now、互联网与社会中心以及印度广告标准委员会的支持下主持了这些讨论。

作为隐私专员工作

当被问及她作为一名隐私官员的工作时，伊万娜·巴托莱蒂说：“无论是谁，现在都知道，没有一个安静的时刻”。她补充道，隐私官的角色不仅限于制定数据处理协议或监督隐私计划，还延伸到组织如何在与其他学科的交叉点应用隐私。她强调了律师和IT专业人员合作解决问题的重要性。早些时候，律师和IT专业人员不会相互理解，但现在，对于从事人工智能工作的程序员来说，从法律和道德的角度理解公平的含义变得非常重要。

处理多个数据保护机构

关于这一点，巴托莱蒂强调了三点：

• 官员需要了解报告数据泄露的不同流程
• 即使对于“可识别数据”的含义，不同的司法管辖区也会有不同的含义
• 让成员专注于特定司法管辖区是一个好主意，这有助于快速推进计划。团队需要广博的知识。

没有法律学位的数据官

会议主席拉胡尔·纳拉扬（Rahul Narayan）问阿里·汗（Ali Khan），成为一名隐私官是否有必要成为一名律师。他回答说，这不仅仅是为了遵守法律要求。还有其他事情需要考虑，“……你需要有一个RoPA，当你有信息共享时，你需要让SCC发挥作用，当你的系统中有关键敏感的可识别数据时，你必须执行DPI，以及它放在哪里等等。”

合法性在个人数据的安全性以及数据是否被滥用等方面发挥作用。“因此，作为一名律师，我想我喜欢关注个人同意这一点。”他分享了一个例子，在RBI宣布应用程序无法在没有明确授权的情况下存储客户的卡信息后，应用程序选择了默认存储支付信息的选项。阿里质疑这是否可以称为“默示”同意

隐私专员的角色

• Khan认为，隐私官的角色应该从构思的时候就开始，甚至在设计阶段之前。他说，这通常不会发生在野外工作的人身上。

隐私专员应担任审计员

Khan表示，隐私官员不应充当非官方警察。他补充道，“执行”规则的心态不是正确的做法。

我们认为，风险和合规性是您的第一道防线和第二道防线，它们是业务的推动力，审计是您的第三道防线也是持续改进的工具。这还取决于审计和合规专业人员的个人行为，以及他们希望如何让企业感到舒适。我们是推动者，我们为您提供了可以作为改进工具的洞察力，（我们）不是拿着标尺站着说您已经越界的人。

在一家投资公司担任隐私专员

• Monika Tomczak Gorlikowska表示，她帮助公司投资的公司成熟、创建、开发和改进他们的隐私计划。
• 她确保这些公司能够根据既定的集团政策证明某些标准。
• 她同意阿里的做法，并表示他们投资公司是为了“用这种方法说服他们能够有机增长”，并最终创造一种最终目标是让隐私成为增长的推动者的局面

“所有这些都是拉动而不是推动，这很大程度上取决于你给这些公司带来的能力”——莫妮卡·托姆扎克·戈尔利科夫斯卡

“因此，审计确实是我们使用的最后一种方法，我认为我们也成功地说服了我们的公司，你知道审计是他们识别需要改进的领域的一种手段，我们与我们的审计职能部门进行了大量合作，以确保双方都正确理解这一模式。”

“隐私官的角色延伸到提供公司“有一个框架，在这个房间里有一个特定的人，这个人将是该组织的隐私领导者，这取决于该组织的规模和位置，谁将在那里，谁将能够使用正确的语言与他们的业务和技术同行、产品和技术人员进行有效的沟通，拥有正确的技能，我认为正如我们所提到的，世界是一个就监管发展而言，没有一个更容易的地方。”——莫妮卡·托姆扎克·戈尔利科夫斯卡

最低隐私标准的概念

• Narayan问Gorlikowska，在与不同司法管辖区打交道时，是否有隐私规则的最低标准。她回答说：“我们有一套最低标准，这些标准在很大程度上基于一些基于公平信息原则的全球公认原则和一些更为全球公认的原则”。她补充道，由于公司在不同的司法管辖区运营，它们受到不同的要求，比如欧洲的GDPR或巴西的LGPD。“但有一套共同的标准必须遵守，无论当地司法管辖区是否有此类要求。”

东南亚的数据保护

• 当被问及各国在制定隐私法时如何看待GDPR时，Raditya Kosasih表示，欧洲国家和南亚国家的环境截然不同。“欧盟的人，我认为他们在分享信息时非常谨慎。例如，就像孩子的照片一样，这是关于儿童的数据，但不是未成年人的数据，所以他们在分享这些数据时非常谨慎，但亚洲的人，他们喜欢在社交媒体上分享一切。所以我认为，当你想在欧洲采纳这些原则并将其纳入当地法律时，你需要非常小心，因为我认为人的特点非常不同，评价的类型也可能非常不同。”他补充道。他接着说，在印度尼西亚，基于社会工程的事件仍在发生。Kosasih说：“人们试图打电话给某人，表现得好像是代表一家公司或银行，并试图获取人们的个人信息——这种事情仍在发生，这仍然是印度尼西亚和东南亚其他国家的主要问题。”。

“因此，我认为，如果你想采用隐私的黄金规则，比如GDPR，你需要非常小心，确保公民或公众也有良好的意识或数字素养。在你采用这些原则之前，确保他们真正理解数据隐私法，因为否则我认为你可以制定法律，但执法尚未到位。“–Raditya Kosasih

处理数据本地化和跨境数据传输

• Gorlikowska表示，没有一家公司能够为处理跨境转移和数据本地化规范提供灵丹妙药。她说，数据本地化可能是一件昂贵的事情。

“在我过去的专业[经验][…]中，我经历了在全球范围内遵守许多数据本地化制度的创伤，因为你知道，对于所有系统和大型集中化企业来说，这并不简单，它花费了大量资金，有时你基本上需要重新调整整个项目的治理。”

• 她说，在土耳其，没有允许数据在国外传输的规则，而不是严格的本地化要求。Gorlikowska接着补充道，创建一套标准，使“集团内部”的转移成为可能，这是一个非常重要的过程，需要进行多次“更新”。
• 巴托莱蒂说：“有一种追求技术主权的动力，一种在独立世界中，我们都处于相互依存的世界中的想法，我们可以成为技术主权，一种主权的想法，这是一种封闭，而不是在全球供应链中站稳脚跟的能力。”
• 在谈到包括敏感健康信息在内的个人数据的传输时，汗表示，他们在一些经营的市场面临严格限制。他补充道，有些国家有行政合规要求，不允许某些数据传输，但有些国家甚至“出于技术原因而实施限制”。

“……让我们看看中国，跨境数据传输在那里是一个巨大的问题。这是一个我们无法以任何方式避免的不断增长的市场，我们需要与监管机构合作并学习如何满足合规要求。因此，在一些地方，你必须坚持，否则你就无法运营”——阿里·汗

• Kosasih表示，东南亚国家正在努力促进跨境数据传输，但他们希望通过一套规则来保护消费者利益。

处理数据泄露

• 处理数据泄露不仅仅涉及在特定时间段内向监管机构报告。Khan说，这还涉及到查明哪些个人数据被泄露、如何被泄露、其影响以及如何避免此类事件。
• 他还表示，在违规事件发生时，监管机构希望一家公司保持透明，这就是阿里的团队会做的。
• 然而，还有一个问题是，为什么公司要站出来，而不是“压迫者”

在数据泄露时“行业、当局以及一个合作论坛需要团结起来，说你知道我们支持你，我们都是一个整体，理解痛苦，我们理解伤害，让我们一起恢复，让我们勇敢地接受我们都是受害者，直到我们不接受这种痛苦的时候，我认为我们正在给网络威胁行为者一个机会找到窃取我们数据的途径”

• Kosasih表示，在发生数据泄露的情况下，隐私专员的职责是指导团队朝着正确的方向前进，并“确保团队能够妥善控制问题，确保公司集团内不会发生进一步的数据泄露”。

你将如何起草一部“完美”的数据保护法？会议主席问小组成员

• Kosasih将补充“当地的细微差别也与该国人民的特点有关”。为了确保法律得到正确解释，Kosasih还将增加法律实施的方式。
• 戈尔利科夫斯卡表示，如果她要起草法律，她将促进问责制，促进创新，避免法律中的官僚主义。
• 巴托莱蒂说：“首先，对我来说，必须以人民的自治、人民的自由和人权为中心”。下一步，她将为创新沙盒实验以及将人权和尊重个人尊严结合起来增加相关条款。
• Khan表示，他将专注于透明度、监管机构、组织和政府的平等问责，并增加创新和合作元素。

未来的隐私

• 巴托莱蒂认为，世界各地的立法机构都在试图遏制算法的威力，“在编辑我们看到的新闻、就资金分配做出政策决策或决定我们是否获得贷款方面，增加权力”。
• Khan说：“……安全方面的一方在兄弟会内部进行了大量合作，隐私是一条建筑线，对吗？我们仍然需要论坛和场所，在这里我们可以相互联系、合作和交流，讨论我们的痛点，共同发展”
• Kosasih表示，即将到来的挑战将是“我们如何做到非常透明，比如确保我们在此类领域如何使用数据和处理数据方面对用户透明。”
• Gorlikowska表示，隐私官员需要与人工智能团队和数据团队合作，在更大的桌子上赢得一套。她强调了采取更为原教旨主义的方法的重要性——比如帮助组织中的重要人物理解公平等原则

本文：https://cioctocdo.com/privacy-officers-handling-multiple-regulations-lo…