在隱私規劃上若先有個最上位的個資隱私架構來通盤考量產品服務的個資狀況,無論是法規面、個資處理面、資訊安全面、內部控管面,各方都先擬定規劃有個基本方向,再慢慢往下循序地deep dive,在隱私規劃上會較全面視之與省事,今天將之前擬定規劃的個人資料隱私保護實踐架構的經驗跟各位分享。
無論你從事甚麼行業只要TA(Target Audience)是「用戶」就必須特別注意,GDPR Article 5,1 (a)提到「資料主體為合法、公正及透明之處理」,係為處理用戶個人資料的原則,於是,整理規劃適合我們公司的一個「個資隱私保護實踐架構」來說明如何實現做好資料保全的目標如下圖所示,在個人資料隱私法合規準則(Personal data privacy law compliance guidelines)之下,所提供的個人資料相關服務,需先做好資訊安全的保護(Information Security)與內部作業控管(Internal Control),及基於合法性、公正性及透明度重要的個資處理的作業流程(Personal data processing),包含:蒐集消費者甚麼資料(What to collect)、如何蒐集(How to collect)、如何應用(How to use)、使用的目的(Purpose of use)、使用多久時間(Use lifetime)、使用完後的資料保存多久(Storage life)與保存時間到了資料如何銷毀(How to disposal),以上七個處理步驟須公開透明的告知用戶,或需提供要讓用戶能有效同意或不同意的選項,根據這架構為產品個資隱私規劃的目標方向,依依來實踐。
物聯網的時代來臨面臨隱私問題的巨大挑戰,因為用戶已按下同意隱私政策,只要一連上網路用戶隱私相關個資也就傳遞出去,用戶針對按下同意的隱私政策幾乎沒有任何概念,又需考慮到用戶的情緒變幻莫測,隱私問題則是一個動態的議題,因此,若有個人資料隱私保護實踐架構,做動態調整規畫,依據項目進行或是同步進行,並非所有都一次就做到位,在產品服務設計上的用戶個人隱私保護這塊需持續進行且動態調整,且在這瞬息萬變的年代要有個彈性空間保留(如:法規異動、用戶針對個資特殊需求等),但有該架構就能清楚理解需異動變更的部分,不需要大幅的改動以造成未知的的風險或拖累產品專案推動的時程。