Day 14 依个资隐私架构如何实作个资保护

在隐私规划上若先有个最上位的个资隐私架构来通盘考量产品服务的个资状况，无论是法规面、个资处理面、资讯安全面、内部控管面，各方都先拟定规划有个基本方向，再慢慢往下循序地deep dive，在隐私规划上会较全面视之与省事，今天将之前拟定规划的个人资料隐私保护实践架构的经验跟各位分享。

以个资隐私架构了解如何实作个资保护

无论你从事甚麽行业只要TA(Target Audience)是「用户」就必须特别注意，GDPR Article 5,1 (a)提到「资料主体为合法、公正及透明之处理」，系为处理用户个人资料的原则，於是，整理规划适合我们公司的一个「个资隐私保护实践架构」来说明如何实现做好资料保全的目标如下图所示，在个人资料隐私法合规准则(Personal data privacy law compliance guidelines)之下，所提供的个人资料相关服务，需先做好资讯安全的保护(Information Security)与内部作业控管(Internal Control)，及基於合法性、公正性及透明度重要的个资处理的作业流程(Personal data processing)，包含：蒐集消费者甚麽资料(What to collect)、如何蒐集(How to collect)、如何应用(How to use)、使用的目的(Purpose of use)、使用多久时间(Use lifetime)、使用完後的资料保存多久(Storage life)与保存时间到了资料如何销毁(How to disposal)，以上七个处理步骤须公开透明的告知用户，或需提供要让用户能有效同意或不同意的选项，根据这架构为产品个资隐私规划的目标方向，依依来实践。

藉由个资保护实践架构做动态调整隐私规划

物联网的时代来临面临隐私问题的巨大挑战，因为用户已按下同意隐私政策，只要一连上网路用户隐私相关个资也就传递出去，用户针对按下同意的隐私政策几乎没有任何概念，又需考虑到用户的情绪变幻莫测，隐私问题则是一个动态的议题，因此，若有个人资料隐私保护实践架构，做动态调整规画，依据项目进行或是同步进行，并非所有都一次就做到位，在产品服务设计上的用户个人隐私保护这块需持续进行且动态调整，且在这瞬息万变的年代要有个弹性空间保留(如:法规异动、用户针对个资特殊需求等)，但有该架构就能清楚理解需异动变更的部分，不需要大幅的改动以造成未知的的风险或拖累产品专案推动的时程。