国际企业数据隐私管理标准研究,本文主要内容关键词为:隐私论文,标准论文,数据论文,国际论文,企业论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、数据隐私管理标准对企业的意义 标准是由专业的标准制定机构(比如ISO以及各国的标准制定机构)和行业的专业性组织颁布的、对某个行业的技术、操作、流程、管理等方面进行规范的指导文件。根据是否具有约束力,标准可分为强制性标准和非强制性标准;根据标准级别分为国际标准、国内标准、地方标准、行业标准、企业标准等;根据标准化对象分为技术标准、管理标准、工作标准和服务标准。其中管理标准又可以细分为管理标准基础、技术管理标准、生产管理标准、质量管理标准和其它管理标准[1]。 数字经济时代,随着数据隐私保护问题的日益暴露,它对企业管理所发挥的作用也越来越深远广泛,这一趋势要求企业隐私管理逐渐向标准化发展。数据隐私保护问题从20世纪60年代开始逐渐进入人们的视野,为了保护个人数据,各国纷纷出台相关法律,不断创新隐私加强技术。起初,人们以为隐私保护就是单纯的技术问题,只要采用适当的技术手段就可以避免隐私泄露。随着时间的推移,人们发现数据隐私保护其实是一个系统化的工程,需要法律、行业自律、企业管理和技术手段的综合运用。尤其是到了20世纪90年代,随着电子商务的迅猛发展,消费者对企业的数据隐私管理存在诸多不满,一个重大的隐私泄露问题就可能使一个企业身败名裂,于是很多企业开始把隐私管理纳入到企业风险管理的内容当中。在这种背景之下,企业数据隐私管理标准应运而生。 数据隐私管理标准给企业设计了一套模板式的操作流程,只要企业按照标准步骤设计业务流程和管理流程,就可以从流程上控制企业的隐私保护水平。数据隐私保护工程很复杂,而设计完善的管理标准可以给企业提供一个迅速提高隐私保护水平的捷径,并且可以在国际范围内复制。 二、国际数据隐私管理标准的演进 从20世纪60年代到现在的50多年间,主要有三种代表不同阶段和导向的管理标准,分别是:“公平信息实践”(FIP,Fair Information Practice)、“隐私影响评估”(PIA,Privacy Impact Assessment)和“隐私保护设计”(PbD,Privacy by Design)。最早产生的管理标准建立在“公平信息实践”(FIP)的理念之上,通过颁布隐私保护原则的方式指导企业采取正确的隐私保护行为。20世纪90年代中期产生了一个新的管理标准理念,叫做“隐私影响评估”(PIA),主要由各国数据保护当局所倡导,让企业和其他机构在做任何一个涉及个人数据保护问题的项目之前先要做PIA,这样可以从项目初始阶段就考虑隐私保护问题,避免将来陷入隐私纠纷。之后加拿大数据保护当局又提倡更新的理念,叫做“隐私保护设计”(PbD),是一个“从摇篮到摇篮”的一体化管理思路,把PIA也纳入到PbD内。这三种管理标准出现的阶段和先后顺序不同,但是并不是此消彼长,而是处于并行状态。 1.FIP “公平信息实践”(FIP,Fair Information Practice)运动出现于20世纪60年代后期,部分欧洲国家采用了这一标准,但是在美国的应用更为广泛[2]。FIP通常以隐私保护原则的形式出现,著名的FIP例子包括1980年OECD个人数据跨境流动指南、美国的“安全港原则”和APEC的“隐私框架”。FIP虽然以隐私保护原则的形式出现,但是它的主要关注点并不在个人数据的保护上,而是从企业角度考虑如何应对隐私保护问题给企业带来的影响[3]。 在20世纪70年代,各国以及国际经济组织曾经出台了很多项“公平信息原则”,但是大多数FIP并没有真正落地,对企业和其他机构产生的约束力极为有限。很多企业只是选取FIP的部分原则在内部加以实施,而且约束力度并不大。美欧之间的“安全港”里已经有5500多家美国企业,都声称遵守“安全港”的FIP,每年确实也需要向联邦贸易委员会(FTC,Federal Trade Commission)递交自查报告。然而,FTC由于人力物力的限制,不可能保证“港”内所有企业的隐私保护行为都符合FIP原则,这也是欧盟决定让已运行十多年的“安全港”项目失效的原因之一。 (1)国际标准 OECD于1980年颁布的“个人数据跨境流动隐私保护指南”是FIP原则的著名例证。该指南是世界上第一个提出个人数据跨境流动原则的标准性文件,对欧盟“个人数据保护指令”、APEC“隐私框架”、各国隐私保护标准的制定都起到了重要的参考作用。指南提出的个人数据保护的八原则被广泛引用,它们是:有限收集原则、数据质量原则、目的具体原则、有限使用原则、安全保障原则、开放性原则、个人参与原则和问责原则[4]。 APEC于2004年出台的“隐私框架”也是一种FIP标准,提出了隐私保护九大原则:避免伤害原则、通知原则、个人信息利用原则、选择原则、个人信息完整性原则、安全保障、访问原则、修改原则和问责原则。这九大原则与OECD的八大原则并没有本质上的区别,而且前者的严格标准还要低于后者,这也是由于亚太区域经济体发展水平和文化差异过大,使得隐私框架原则的规定比较笼统。“隐私框架”自2004年出台以来一直没有对亚太各国产生明显影响,而旨在使隐私框架落地的CBPR体系自从2012年正式推出后,正在有条不紊地进行中,有望对广大亚太企业产生深刻的影响。 国际标准化组织(ISO,International Standardization Organization)在世界标准化建设中具有非常重要的地位,各国企业都把通过ISO专业认证作为提升其市场竞争地位的重要手段。ISO的SC27分技术委员会专门负责信息安全领域标准的制定,下设5个工作组,其中第5工作组(WG5)成立于2005年,主要负责隐私保护相关标准的制定。 WG5制定了3个针对隐私保护的标准:ISO/IEC 29100“隐私保护框架”(Privacy Framework)、ISO/IEC 29101“隐私参考体系架构”(Privacy Reference Architecture)和ISO/IEC 29190“隐私保护能力评估模型”(Privacy Capability Assess Model)[5]。其中ISO/IEC 29100“隐私框架”(2011年)属于基础标准,对隐私保护涉及的术语、参与方、原则、场景以及保护体系都进行了详细的界定,是隐私保护领域最为全面的一个标准。“隐私框架”提出了11个隐私保护原则,所以把它归为基于FIP的标准。11原则分别是:同意与选择原则,目的合法具体原则,有限收集原则,数据最少化原则,使用、持有和披露原则,准确性与质量原则,开放性、透明性与通知原则,个人参与和访问原则,问责原则,信息安全原则及合规原则[6]。 ISO/IEC 29101“隐私参考体系架构”(2013年)列出了个人数据加工过程涉及隐私保护的要素,并把这些要素通过一个体系架构呈现出来,并强调在设计信息技术时就要考虑到这些隐私保护要素。从这个落脚点来看,该标准已经不是单纯的FIP标准,而是已经具备了PbD的一些理念。 ISO/IEC 29190“隐私保护能力评估模型”(2015年)针对企业从事个人数据加工业务时的隐私保护能力设计了一个高水平的评估指南,细化了评估程序和评估标准,并指导企业把隐私能力评估融入到企业管理中去,也具备了PbD的一些特点。 (2)国内标准 一是美国联邦贸易委员会(FTC,Federal Trade Commision)于1998年颁布的FIP原则,包括通知、选择、同意、准确、安全、强制执行等核心隐私保护原则。该FIP也是之后“安全港”项目的基础。1995年美国信息基础设施工作组制定的“隐私保护指南”(The Information Infrastructure Task Force Privacy Guidelines)和国家通讯与信息管理局(The National Telecommunications and Information Adminstration)出台的“隐私保护绿皮书”[10]也都是基于FIP理念之上的。除了国家部门以外,行业协会和隐私认证企业也公布了自己的FIP标准,并且和隐私认证计划联系起来。在线隐私同盟(Online Privacy Alliance)出台了“网络隐私守则的指引”,要求成员根据指引进行自律,修订或制定网站的隐私政策。美国两大隐私认证公司TRUSTe和BBB Online也推出了各自的隐私保护标准,并据此认证会员企业,为其颁发隐私信赖标准。 二是日本于2006年颁布了自己的隐私保护标准JIS Q15001,主要基于OECD1980年的“个人数据跨境流动指南”,并且引入了“PDCA管理周期”理论(计划plan、执行do、检查check、处理act)。日本把JIS Q 15001与认证体系(Privacy Mark System)结合起来,已经认证了一万多家单位。此外,韩国于2008年推出了eprivacy Mark的认证计划,已经认证了17000多家单位;该认证主要基于日本的JIS Q 15001标准。 三是英国标准化机构(BSI,The British Standards Institute)于2009年推出的隐私保护标准BS10012。该标准主要参考OECD的个人数据保护八大原则,与日本的JIS Q 15001有很多相似之处,但是一般认为JIS标准比BS标准更加严格一些。我国台湾地区在隐私保护方面主要采用英国标准BS 10012,是因为JIS标准更难获得。 四是中国基于FIP设定的标准。中国虽然还没有颁布全国性的个人数据保护法律,但是已经拥有了多项从地方到全国性的隐私保护标准。辽宁省大连市于2007年和2012年先后制定了DB21/T 1522《软件及信息服务业个人信息保护规范》和DB21/T1628《个人信息保护规范》;2007年成都市软件行业协会发布了《成都软件及信息服务业个人信息保护规范》;2008年西安软件园(数字园)发展中心颁布了《陕西软件和信息服务业个人信息保护规范》。2014年中国广告协会网络互动协会发布了第一个关于我国互联网定向广告中的隐私保护行为的行业标准《中国互联网定向广告用户信息保护行业框架标准》。 2012年我国拥有了首个全国性的隐私保护标准《信息安全技术公共及商用服务信息系统个人信息保护指南》。它是由全国信息安全标准化技术委员会提出,由中国软件评测中心牵头,联合多家单位制定的。该标准显著的特点是区分了敏感信息和一般信息,提出了八项个人信息保护原则,即目的明确、最少够用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确。 我国的港台地区在隐私保护标准制定方面也不甘落后。香港已经制定了一些针对性较强的保护规范,包括:《身份证号码及其他身份代号实务守则》、《雇主监察雇员活动须知》和《人力资源管理实务守则》等。台湾地区在隐私保护方面主要采用英国标准BS 10012。另外,台湾工业策进会协助构建了“台湾个人资料保护与管理制度(简称TPIPAS)”,该制度与认证体系结合,合格的企业被授予DP Mark。 2.PIA (1)PIA概念 “隐私影响评估”(PIA,Privacy Impact Assessment)的概念出现于20世纪90年代中期,在2005年左右达到成熟。PIA有以下几个特点:以一个项目为基础,不同于企业隐私战略;属于事前预测,而非事后调查;评估范围涉及隐私的各个方面,包括个人的隐私、个人行为的隐私、人际沟通的隐私,也包括个人数据,但不仅限于个人数据;评估不仅考虑企业的利益,还要考虑企业战略伙伴的利益,与内部的风险评估不同;评估要考虑人们的需求、公共政策以及法律要求,不仅仅是合规性的评估;评估既要分析问题,又要拿出解决方案,不只是隐私问题分析;评估强调过程,包括信息交换、组织学习和方案的适应性研究,不只针对隐私影响声明。评估要求企业高层领导的参与,而不只是包括由中层员工和律师列出来的检查清单。 PIA的出现有两个推动力:一是公众对于政府部门和企业日益增多的隐私侵害行为开始表示关注和不满,越来越多的民众想知道企业是如何控制它们对个人数据的滥用。二是隐私监管部门和隐私保护倡导组织都呼吁企业采用隐私保护技术。因此,PIA可以被看做是大企业对消费者权利的让渡。 采用PIAs是理性管理技术自然发展的结果。很多政府部门和企业不注意采用隐私保护措施,没有严格按照隐私政策约束企业员工的行为,结果遭到媒体的攻击,给自身带来了不好的影响。于是,企业逐渐意识到隐私保护已经成为企业战略的一个重要组成部分,因此,很多企业把隐私保护问题纳入了风险管理框架。 (2)基于PIA的隐私管理标准 欧洲标准委员会(CEN)制定了一些基于PIA的管理标准。“射频技术PIA流程标准”(Information Technology-RFID Privacy Impact Assessment Process)于2011年公布,提供了开发PIA模板的标准化程序,以及与射频技术相兼容的PIA方法工具。“射频技术通知-经营者提供的额外信息”(Information Technology-Notification of RFID-Additional Information to be Provided by Operators)帮助经营者为每次技术的应用制定精确的、易于理解的信息政策,让经营者利用隐私影响评估工具分析使用射频标签可能出现的隐私风险,给数据主体提供化解这些风险的措施。“与射频技术相关的PIA方法”(Information Technology-Analysis of Privacy Impact Assessment Methodologies Relevant to RFID)同样也建议把射频技术的隐私影响评估纳入到企业的标准管理流程中去。 美国国家标准机构(ANSI,American National Standards Institute)于2009年公布了一项基于PIA的隐私保护标准,叫做“金融服务隐私影响评估标准”(Financial Services-Privacy Impact Assessment)。该标准认为PIA是个非常重要的金融服务和银行管理工具,金融机构在建立网络信息系统时就应把与消费者数据加工相关的隐私保护问题考虑进去。标准指出,PIA不同于隐私合规审计,不但要调查企业的隐私保护行为是否合规,更要找出隐私保护的方法。 在加拿大,安大略省和不列颠哥伦比亚省的隐私保护当局是PIA的早期推动者,阿尔伯塔省紧跟其后,现在几乎所有省都积极采用了PIA标准。1999年,加拿大安大略省内阁通过了“信息技术项目计划的PIA指南”。1998年,不列颠哥伦比亚省颁布了关于广泛采用PIA的指南。在指南的铺垫之下,“信息自由与保护隐私法案”修订版于2002年颁布,要求各单位在使用新系统、开展新项目、拟定新法律之前都要采用PIAs。从1998年开始,B.C省就建立了PIA的摘要数据库,截止2007年已经达到了150条。阿尔伯特省于1999年通过了健康信息法案,强制要求健康卫生领域的公共机构采用PIAs,而其他公共机构并没有限制,但是中央机构——阿尔伯特服务机构——出台了关于使用PIA的指南。加拿大国家层面开始推行PIA则始于21世纪初。2002年,加拿大秘书处财政局(Treasury Board of Canada Secretariat)颁布了PIA指南,又于次年颁布了PIA工具。 2004年8月,澳大利亚维多利亚州隐私保护当局颁布了“隐私影响评估指南”,新南威尔士州也支持PIA的应用,但是缺乏资源和政府承诺。2006年,联邦隐私保护当局颁布了“PIA指南”。 1999年1月,新西兰隐私保护当局公布了“信息匹配隐私影响评估指南指导说明”(Guidance Note in Information Matching Privacy Impact Assessments),专门针对新西兰隐私保护法案中关于信息匹配项目提出的具体要求。该说明在2006年进行了更新。2002年,隐私保护当局又出台了“隐私影响评估手册”。 2002年,英国内阁倡议在涉及隐私保护问题的公共服务使用PIAs;2007年,英国信息专员公署启动了一个学习全世界PIA法律、政策和实践的项目,并颁布了一份PIA手册。 3.PbD (1)PbD概念介绍 “隐私保护设计”(PbD,Privacy by Design)是比PIA更广泛的管理概念,并且把PIA也纳入到设计框架中。PbD概念最早可以追溯到1995年荷兰与加拿大数据保护当局的一份报告,后来由加拿大安大略省隐私保护专员Ann Cavoukian大力倡导。欧盟委员会也认为PbD可能成为改善隐私保护的重要手段之一,“国际数据保护与隐私专员大会”(IDPPCC,The International Data Protection and Privacy Commissioners' Conference)于2010年在耶路撒冷召开的年会上已把PbD作为保护隐私的重要方法。 PbD具有以下几个特点:对于可能侵犯隐私的潜在系统,PbD采取了一种整体性的、对价值敏感的规范性处理方法;传统的隐私保护方法基本上是在事后修补技术漏洞,而PbD却是一种“从摇篮到摇篮”的方法,隐私保护设计贯穿系统的设计、应用和处理全过程;PbD不是一劳永逸的,而是随着技术和情况的发展而不断推出新的设计,替换旧的版本;PbD把隐私保护技术作为重要的隐私保护手段,但是同样重视企业管理、商业流程甚至空间布局;PbD允许数据主体在数据控制者中拥有自己的代言人,全程参与系统的设计与运行。 PbD理念融合了技术因素和非技术因素,本质上属于一种社会-技术体系。该体系包括三个部分:隐私加强技术(PETs,Privacy Enhancing Technologies)、隐私影响评估(PIA,Privacy Impact Assessment)和物理环境(Physical Environment)。 隐私加强技术从20世纪60年代就开始应用于隐私保护领域,但是效果差强人意,原因有:一是企业缺乏应用PET的动力,除了降低利润以外,还不一定提高消费者的忠诚度;二是消费者缺乏隐私保护的意识,使用PET的数据主体并不多;三是隐私保护不只是一个技术可以解决的问题,还涉及企业管理、法律等社会性的问题。然而不可否认,隐私加强技术种类丰富,如果应用恰当,还是可以起到有效的保护作用。 隐私影响评估也被纳入到PbD体系当中。PIA具有预估性,可以在企业隐私保护系统设计之初就对企业可能遇到的隐私风险进行全面的评估,并制定应对策略。PbD是一种“从摇篮到摇篮”的隐私管理理念,PIA可以从设计隐私保护系统之时起帮助企业贯彻PbD的理念。 物理环境是PbD理念的创新之处。PbD认为隐私保护不只存在于看不见的技术和系统中,还存在于看得见的物理空间中。比如火车上的座椅如果摆放为同样朝向而不是面对面就可以给旅客以更多的私人空间;又比如美国机场的安全扫描仪放置于一个独立的空间内,使得在后面排队的人看不到正在扫描的人的信息,也从空间上保护了个人隐私。诸如此类,企业在保护隐私时应该把空间物理环境考虑在内,处处体现尊重个人隐私的设计理念。 (2)基于PbD的隐私管理标准 一是W3C。万维网联盟(W3C)是网络技术领域最具权威和影响力的国际中立性技术标准机构,由设立在欧洲数学与信息学研究联盟(ERCIM)、美国麻省理工大学(MIT)、日本庆应大学(Keio University)和中国北京航空航天大学的四个全球总部联合运营,拥有来自各国政府、科研机构、标准化组织、行业等将近400家会员单位。W3C最重要的工作就是发展Web规范,其标准被称为W3C推荐标准。 万维网联盟于2012年颁布的“网络应用隐私最佳实践”(Web Application Privacy Best Practice)共提出了13个“最佳实践”标准,第一项就是“遵循PbD原则”。该原则要求企业默认实施对隐私的保护,隐私保护设计需突出以用户为中心,提高隐私保护的透明度,不应以拒绝给用户提供服务而迫使用户放弃隐私保护权利。 该标准的PbD原则包括以下几点:主动的而不是反应式的、预设性的而不是补救性的;把隐私保护作为默认的设置;把隐私保护嵌入到设计中去;实现正向效果而不是零和效果;实现对个人数据整个生命周期的保护;透明性与公开性;尊重用户隐私,以用户为中心。 二是GSMA。全球移动通信系统联盟(GSMA)是全球移动通信领域的行业组织,拥有来自220个国家的1000多个成员单位,包括近800家移动运营商以及230多家移动生态系统中的企业。针对移动通信行业中的隐私保护问题,GSMA于2012年发布了“移动应用开发的隐私设计指南”(Privacy Design Guidelines for Mobile Application Development),于2015年发布了“移动隐私保护原则”(Mobile Privacy Principles)。这两项标准专门针对移动通信领域的隐私保护问题,在该领域具有权威性,且都属于基于PbD的管理标准。 “移动应用开发的隐私设计指南”要求企业在开发手机应用程序时尊重用户的隐私。PbD理念体现在程序开发商应从设计开发之初就主动地考虑如何保护用户的隐私,而不是出现问题后再修修补补。指南鼓励程序开发商把用户利益放在首位,帮助他们至少要了解以下情况:应用程序会访问、收集或使用哪些个人信息;收集个人信息的用途和原因;用户如何选择和控制其个人数据的使用。 “移动隐私保护原则”专门针对移动通信中的隐私保护问题而设,比如“位置信息”就是移动服务中特有的隐私保护问题。该标准采用了PbD理念,要求通信服务企业在提供服务和应用软件时应尽可能对个人数据提供全程的保护,让相关企业和用户都熟悉隐私保护的管理。 三、国际数据隐私管理标准的发展趋势 从20世纪60年代至今,数据隐私保护标准虽呈现出形式多样、层次不一的特征,但是仍然有规律可循。 1.从技术标准向管理标准发展 在数据隐私保护领域最早出现的标准是技术标准。由于数据隐私问题一开始就与网络技术密切相关,因此早先人们认为用隐私保护技术就可以解决个人数据保护的所有问题。在这个阶段,大量的隐私加强技术(PETs)被发明出来,并开始应用于企业实践。 然而,单凭技术不足以起到很好的隐私保护效果。首先,企业缺乏使用PETs的动力;其次,企业没有全盘的隐私保护设计而只有单个隐私保护技术的嵌入对保护用户隐私起到的效果非常有限。 从20世纪90年代中期开始,人们对管理标准的关注超越了技术标准。标准制定的重心从保护数据主体转移到企业应对隐私保护要求的策略上来。随着全世界对隐私保护问题越来越了解和关注,针对企业和其他机构的隐私保护要求也越来越高。由于企业受到的投诉和指责增多,人们才意识到把隐私保护也纳入到企业的风险管理的体系当中的重要性。在这个背景之下,针对隐私保护的管理标准就不断涌现出来。 2.从单一标准向综合标准发展 随着时代的进步和发展,隐私保护标准的内容也从单一性向综合性发展,从扁平化向立体化发展。起先的隐私保护技术标准通常非常具体,就是针对某个技术环节,如互联网接口和手机应用程序开发而制定的隐私保护要求。而管理标准立足于企业,需要考虑到企业与数据主体的互动、与国家法律的契合,于是视角更广,内容更具立体性。 即使是管理标准,也同样从单一性向综合性发展。最早的“公平企业实践”(FIP)标准主要以隐私保护原则的形式出现,缺少可操作性,形式较为单一。之后出现的“隐私影响评估”(PIA)标准要求企业从项目开始之前就对可能出现的隐私保护风险做全面的、预先的评估,评估范围之广、参与人员之多,都体现出PIA标准的综合性。PIA之后出现的PbD标准综合性更强,容纳了技术、PIA和物理环境,是迄今为止涉及面最广、综合性最强的隐私保护标准。 3.DPA开始主导标准的设计 最早的技术标准主要由各国标准制定机构、国际的专业组织,比如ISO、3GPP主导制定和推广。管理标准的FIP阶段则主要由区域经济组织比如OECD、APEC和各国政府来推动。然而从20世纪90年代开始,各国的数据保护当局(DPA)逐渐成为管理标准创新和推动的主要力量,PIA标准和PbD标准都是由DPA倡议的,并且通过国际DPA组织推广到世界各国。DPA是各国专门负责隐私保护的独立机构,具有较强的专业性;而各层次范围的DPA合作组织使得先进的标准可以更快速地传播到世界范围,加速了标准的世界化进程。DPA是现在以及未来世界隐私保护领域的重要力量。 四、国际数据隐私管理标准对我国的启示 1.引入国际数据隐私管理标准有利于企业符合东道国法律要求 在数字经济时代,企业管理与数据隐私保护的关系越来越密切。世界上很多企业已经把数据隐私管理纳入到风险管理的内容当中,并且设立了首席隐私官以及企业隐私专员的岗位,专人负责隐私管理以及处理相关投诉。 我国的文化不注重保护隐私,至今尚未出台一部全国性的个人信息保护法律。然而,世界上已经有90多个主权国家颁布了个人信息保护法律,尤其是欧洲国家,针对个人数据的保护以及跨境流动制定了严格的法律条款,GOOGLE已经因此受到欧盟国家的制裁和罚款,FACEBOOK也遭到了欧洲公民的联名起诉。面对各国法律的约束,国际性企业不得不开始研究保护东道国隐私的法律,提高企业数据隐私保护水平,以避免遭到法律的制裁。于是,企业针对数据隐私保护采取了一系列措施,比如设立专门人员监管企业的数据隐私保护问题,对企业人员加强数据隐私保护培训等等。引入国际先进的数据隐私管理标准有利于企业进行标准化流程设计和操作,以较短时间提高企业的隐私保护水平,并与世界隐私管理标准接轨,使得企业行为符合大多数国家隐私保护法律的要求。 2.我国企业应引入更为先进的PIA标准和PbD标准 国际数据隐私管理标准发展经历了三个阶段,从单一的FIP标准发展到更为全面和综合的PIA标准和PbD标准。参照国际数据隐私管理标准的发展历程,我国的管理标准还处于初级阶段,即上个世纪六七十年代开始盛行的基于“公平信息实践”(FIP)的管理标准。FIP标准内容笼统,企业缺少可操作性,在企业隐私管理实践中效果有限,因此被更新的PIA标准和PbD标准所代替。我国企业要想在数字经济时代参与国际竞争,就必须提高隐私管理水平,积极引进具有先进管理理念的PIA标准和PbD标准。 引进先进的隐私管理标准可以通过企业自主申请认证和国家引进国际先进标准两种渠道来实现,而后者的影响力更广。相关政府机构可以与欧盟、加拿大等发达国家的数据隐私保护当局(DPA)建立联系,引进其PIA和PbD标准理念;相关行业主管机构可以与W3C和GSMA等行业权威标准机构建立合作,向国内企业介绍和推广先进隐私管理标准。