一：隐私合规外部趋势和挑战

监管法律、部门规章、技术规范等多层级、多维度的隐私合规体系。自上世纪70年代起，个人信息保护立法逐渐发展成全球行动，目前已有140多个国家和地区制定了相关法律。我国针对个人信息安全经历了从间接保护到直接保护，通过出台《个人信息保护法》以及其他法律、行政法规以及规范性技术标准文件，构建起了我国个人信息保护的法律框架。

隐私合规监管多样化、常态化、处罚力度增强。个人隐私安全已成为这个时代最重要的话题之一，APP生态蓬勃发展，渗透到人们工作、生活的各个领域，成为用户信息数据的入口和核心载体，近年来，APP侵犯个人隐私安全受到国家和社会公众高度关注。随着相关安全法规/政策/标准/行动的落地，各个监管部门不断开展APP专项治理工作。

作为云计算服务商也面临着APP的开发运营者的职责，一方面，要承担起保护用户隐私的责任，另一方面，如果违反，会对企业造成危害。App违法违规收集和使用个人信息，导致个人信息泄露，不仅给用户人身财产造成损失，也对企业商誉造成影响，甚至对信息安全造成严重的威胁, 因此对App的隐私合规治理迫在眉睫。

二、隐私合规义务痛点和难点

目前整体隐私合规的问题类型集中在：隐私政策问题、违规采集/使用、产品功能问题。

1、隐私政策问题：包括隐私政策死循环、隐私政策默认同意、隐私政策无“不同意”等高频问题。

2、违规采集/使用问题：包括过度/不合理采集、超频次信息采集等。

3、产品功能问题：包括个性化推荐不合规，开屏广告不合规，App具有分发功能但未告知所分发的App版本、开发者、权限等。

根因分析概括为以下原因：

1、监管和标准因素，如：监管多门各方监管尺度不同。

2、测试验证因素，如：是否进行测试、测试是否有效、测试问题是否修复等。

3、隐私政策功能因素，如：隐私政策告知方式等信息披露方式不符合监管要求。

4、人员意识因素：如：合规意识和知识缺乏，存在对隐私和合规要求理解不到位、存在偏差。

三、隐私合规整体布局和实践浅析

隐私合规整体将从前期的培训、需求、设计、开发、测试、发布、运营和响应全生命周期进行设计。

以下从隐私合规视角重点从以下环节进行浅析：

1、需求设计：除了进行PIA评估外，PbD（privacy by design）是在产品的设计过程和实际操作中融入隐私保护的理念，尽可能少的借助或不借助个人信息，同样帮助企业实现业务场景需求或营业目的。

2、设计阶段：主要包括常规的安全技术评估和第三方SDK引入评估，其中第三方SDK引入评估从以下方面进行：

• 来源安全性评估：由第三方SDK提供方自承诺完成数据安全与隐私保护的背景调查，以评估供应链遵从性评估。
• 代码安全性评估：由外部专业安全测评机构针对第三方SDK的代码质量和安全漏洞进行测评，并出具评估报告。
• 隐私行为评估及审计：由安全部完成SDK隐私调用和个人信息数据安全评估，并实施隐私风险审计行为。

3、发布阶段：主要为产品上线前的隐私合规基准检测。这里理想化可以做到自动化测试，但在具体落地执行过程中，由于业务的形态和业务实际逻辑不通，基本上均需要人工+自动化的处理方式。在自动化检测之后需要介入人工核验和自查，一般由测试工程师担任。

4、运营阶段：通过线上化的隐私审计及时发现问题并闭环解决。这里的线上化隐私审计功能是从隐私字段、隐私行为和隐私权限进行综合设计的自动化审计功能。