写在前面
距离上次更新已经过去三个月,打破了自己至少维持月更频率的承诺,但确实前段时间由于公司内部EO合规的事情分身乏术,上半年那些存在草稿箱的文章还都停在了春节期间的进度。不过这几个月全身心投入在EO合规事项中,也让我对这个法案本身以及数据合规工作产生了一些新的想法,最近EO项目暂时进入平稳期,是时候把之前的思考记录一下了。
感受1:GDPR常读常新。在高密度地场景合规分析以及高强度地同技术团队多次深度沟通后,感触特别深的是GDPR真是博大精深,很多当时觉得难以分析的场景,最后发现答案竟在灯火阑珊处。EO里有很多例外和豁免场景对企业来说很重要,但EO法案和最终规则里的表述往往是简单的“行政性和辅助性”的情况下可以适用。这个时候如何判断这一点就成了关键,而GDPR的7个原则简明扼要地提供一个分析框架。很多时候没有那么复杂,只要问自己四个问题:(1)数据处理的依据是什么;(2)目的是什么;(3)这个字段非要不可吗;(4)有没有其他的方法实现这个目的?”答案自然浮现。
感受2:Compliance in Context。借用Helen Nissenbaum教授“Privacy in Context-场景隐私”的概念,在EO合规项目中,由于存在可解释空间较广的例外和豁免场景,企业有动力将自己的每一个业务流、数据流拆分出来一个个分析是否可以适用,在这个过程中为了套入“必要性”,很多以过往历史遗留问题难以解决的不必要数据处理行为借着此EO合规项目竟然顺水推舟纳入了治理范围。不仅如此,在其他新业务的评估中,也发现业务方会使用同样的逻辑跟你沟通为什么这个场景下需要处理这样的字段,“场景必要”的概念就这么自然而然扎根了。
感受3:合规人员对缺少技术能力的焦虑,背后反映出的可能是对自己合规判断能力的不自信。在和产技团队沟通中,会遇到各种各样的技术名词、路径、选型,有时候很容易沉迷在这些细节觉得没有技术这块就玩不下去。但实际上合规人员要做的是根据法律的要求设置合规目标,至于怎么去实现、要不要实现,那就是专业技术人员把方案、成本盘出来后,合规人员做判断和取舍的问题。如果一味追求在技术细节上怎么实现法律要求,其实是没搞清楚自己的角色。举个例子,合规人员想知道用户前端数据上报的数据链路、范围、频次,需要的是把法律要求上报的范围、频次、传输链路解释清楚,对这些事情的解读和判断是做数据合规领域的核心能力,而不是跟技术去比怎么能高效地把前段上报请求的某些内容删掉。说白了,这些事情,技术上可以很简单、也可以很复杂,有很多实现路径,但作为合规人员,重要的是你对于哪些字段要删、哪些频次要改、哪些传输的链路是需要调整的判断。就像电影《F1》中说的那样“除了驾驶之外,其他都是噪音”,对于合规人员来说去除“噪音”提炼出具体的合规要求是需要不断修炼的功课。
感受4:流程和制度虽然繁复但对于合规工作来说不可或缺。回想起来自己第一次做ISO27001和27701标准认证的时候,会觉得标准框架里领导层承诺这个要求有些空洞,流程/制度繁杂刻板,在现实的合规工作里仅凭这些很难展开。但是在做此次EO项目的时候,会愈发的认同这套标准框架,它可能不是做数据合规的最优解,但可以保证合规的底线。比如如果提前在领导层面确认下合规目标,那之后和各个相关方沟通时就会更加顺利。再比如流程和制度虽然看起来繁琐,但可以明确责任边界,固定办事流程,落实之后相关方可以意识到有这么一件事有一些合规要求、有这么一个团队在负责,那么久而久之合规的要求便自然地落实在各个业务当中,并且通过流程的方式保留记录,在面对监管问询和外部审计时也是一个有力的合规支撑材料。
感受5:汇报的关键是找到你的听众。此次EO项目合规治理除了常见的法务/合规/安全侧之外,可能还牵扯商务运营、财税、产技的协同调整,是一个公司整体层面的大项目,作为牵头方不免需要和公司各个部门沟通。在各种“拉通对齐”之后,信息不断经过多次传达、抽象提炼带来很多细节的减损,最终导致大家可能对一件事情的理解不一致,而汇报是一个特别好的机会去重新澄清需求与现状,以便各方在对这件事情的基本理解上不出大的偏差。不同分工角色团队的关注点不一样,这个时候作为合规人员,你不可能拿着一份完美的项目资料去四处pitch你的“客户”,说服他们按照你的需求来做,而是需要定制化地将他们关注的重点提炼出来、对关键的疑问提前预判并做好回应。比如技术团队对法案的出台背景和各种条纹细节不是很关注,可以大胆删去你精妙的法律分析部分,而是单刀直入回应他们的需求---哪些字段落入管制、合规底线是什么、具体需要做哪些事、项目节奏如何等。
感受6:精读的意义目前无法取代。上一篇的EO文章中我提到,此次法案中管制的很多企业经营中的典型场景,都需要建立在概念的厘清、例外与豁免的适用以及数以百计官方案例的综合判断中抽丝剥茧地逐案分析,而目前市面上基于Fact Sheet的粗略分析和AI总结没办法支撑这样的判断工作。前段时间在一次律师、咨询公司举办的EO14117研讨会上,一位自称已经在帮助企业做EO合规的专业律师在Q&A环节中对一个听众提出的问题进行分析时错误地给出了结论,为什么说很快确认这个结论是错误的,因为观众提问的这个场景笔者之前也有过同样的疑问,最后在法案规则中的征求意见稿意见回复中找到了答案,这个场景立法者花了两大段的笔墨阐释为什么要这样规定,但凡是认真阅读过司法部最终规则全文的人都会对这两段印象深刻。
但发生这种情况我也并不感觉震惊,这只是我们随处可见的“摘要文化”的又一例证。有时候感觉数据合规已经成为一个新闻转发机器和AI总结者组成的职业,我们阅读新闻稿、公众号,从直播讲座中收集知识点,通过别人的或AI的视角来解读法规,构建专业知识体系从未如此容易。讽刺的是,合规是一项注重文档、证据和精确语言的工作,然而我们却将削弱这些东西的职业捷径合理化。
在信息过载的世界中,“摘要文化”是有道理的,我不认为每个人都应该阅读所有内容,也承认这是一个不现实的期望,但我们有没有考虑过我们在牺牲什么?在吃了多次AI总结或者劣质机翻二手信息的剩饭之后,我发现想解决合规疑问最省事的方法就是带着问题亲自回到法规原文中寻找答案,那些改变合规判断的细微差别、埋藏在序言或脚注中的举例和解释,只有在通过与文本的持续深入接触后才能获得准确理解。按照自己逻辑内化后形成的判断能够帮助我们在面对各个相关方对于场景合规性判断的挑战和质疑中保持信心。说到底,精准就是力量。
感受7:想考一个PMP的证书。在做EO14117项目的过程中,最想考的证书不是CIPP系列,也不是CISSP、CISA,而是PMP(Project Management Professional,项目管理专业人士资格认证)。合规判断做出之后,下一步更重要的是牵动各相关方将合规要求转化落实,而在一个大的组织中,由于分工拆的非常细,所以一个项目往往会牵扯很多相关方,这个时候如何保障项目按照你的合规治理节奏推进并最终准时交付是一个充满挑战的事情。而PMP提供了一个思考框架,从人/过程/环境三个视角出发,凝聚人心、制定框架、定期跟踪,适时复盘调整
最后想说
虽然在做EO14117合规工作,但并不认同EO14117规则本身,它像是千禧年“互联网无国界”承诺的终结,虽然知道无国界一直是一个理想化的情况,但目睹昔日“灯塔”坦露真容,仍不免喟叹。之后会持续跟进这个法案的执法情况,并关注其对于以全球化为生的美国互联网公司来说会造成什么深远影响。
除了EO之外,希望未来有更多精力可以投入在数据跨境和AI合规的研究和实践中。在数据主权越来越被频繁提起的新常态下,数据跨境愈发如履薄冰,TikTok在爱尔兰新近受罚,对中企跨境数据访问及补充措施之认定,提出了更为严苛的要求,而欧美隐私框架在特朗普免职数位法官后,其存续与否尚存疑问,同时越南、马来西亚、俄罗斯、巴西、沙特等新兴国家新修订隐私法案,更使全球数据跨境规则如乱麻般复杂。同时,AI监管的全球图景亦日趋多元,版权、隐私、合法权益、安全与伦理,各国立场莫衷一是,此种分歧对企业而言也很棘手。最近接触的各种各样AI项目,让我对AI会多大程度改造未来互联网的交互方式有了新的想法,过去的法律和新制定的AI规则是否能适应这些新场景,值得观察。
声明:本文来自越洋网事,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
