华为隐私保护怎样合规

在日前举办的2022华为网络安全与隐私保护合规治理论坛上，华为全球网络安全与用户隐私保护办公室主任杨晓宁作了题为《华为网络安全与隐私保护合规治理》的分享，并首次发布《华为隐私保护治理白皮书》，与业界分享华为的隐私保护治理方法和实践经验。

杨晓宁提到，华为将网络安全和隐私保护作为公司的最高纲领。从2010年起，华为开始系统性地构建网络安全与隐私保护的端到端治理保障体系，并将管理要求融入主业务流程。华为通过三横三纵的责任体系进行合规与风险管理，纵向按照集团、地区部、国家三级运作，横向按照业务线、能力线、监督三条线运作。集团层面，轮值CEO担任GSPC主席，委员由各一级部门总裁担任，确保合规与风险管理相关工作落地。全球网络安全与用户隐私保护官（GSPO）对相关业务发布有“No go”权利。

在过去30多年里，华为在170多个国家和地区开展业务，服务全球30多亿人口，保持良好的安全记录。华为始终遵从全球适用的隐私法律，包括中国的《个人信息保护法》和欧洲的《通用数据保护条例》等。

华为的隐私保护治理方法即隐私合规17/27框架，该框架是在全球具有代表性的法律、法规与标准要求的基础上抽象出来的一套隐私合规治理方法，包含17个工作域、27个工作项。

华为在落地17/27框架的过程中，自建了自动化的IT工具，引入人工智能相关技术，完善对个人信息全生命周期的管理，并自动化地形成合规记录。

“网络空间安全与隐私保护是未来数字经济的基石之一，没有网络空间安全与个人信息保护，就没有数字经济时代的繁荣。”杨晓宁介绍说，华为在IT落地工具自设计之初，就按照支持全球各地的个人信息保护要求进行设计，支持按照国家和地区来定制数据清单模板，设置不同的流程角色、满足不同的业务场景，以支撑全球复杂的个人信息保护业务需要。

在环球律师事务所合伙人赵德铭看来，隐私政策是企业保护个人信息以及合规的核心规章制度之一，企业在编制隐私政策文件时，一定要重视隐私协议的发布主体和适用范围。

此前，江苏省消费者权益保护委员会在其官网发布了一份《新能源汽车行业不公平格式条款调查报告》，展示了其通过调查14家新能源汽车企业的47份协议，发现多家车企的用户协议与隐私政策存在侵害用户权益的问题。14家新能源车企协议一般分为用户协议和隐私政策两部分，其中有6家车企为了尽量扩大己方权利，将参与服务的关联企业或第三方都写为协议当事人却又不明确列明当事人名称，另有2家车企只用简称且协议中没有明确当事人全称，这都可能导致消费者不了解协议的交易对象。

“从准确性角度看，企业应在隐私政策文件中完整披露个人信息处理者的全称，而非仅使用产品或企业简称、商号或英文缩写替代。从完整性角度看，若关联公司共同参与服务或共享用户个人信息给关联公司或第三方的，企业应将该关联公司或第三方共同披露，并明确界定关联公司的范围，而非仅使用关联公司代称。”赵德铭表示。

赵德铭介绍说，从准确性和完整性角度，“适用范围”既应包括产品或服务的名称、类型，还应包括用户获取产品或服务的渠道、方式，以及是否包含通过产品或服务接入的第三方产品/服务等。实践中，集团企业或旗下产品服务类型较多，且需广泛运用网站、App、小程序、H5等技术和渠道提供产品和服务的企业，通常会在一般通用的隐私政策文件基础上针对不同的产品或服务、甚至不同的渠道另设单独的隐私政策文件。为符合相应的合规要求，企业应在隐私政策文件中完整、准确列明包含上述要素的“适用范围”，并明确告知是否适用于通过产品或服务接入的第三方产品/服务。