目    录

第Ⅰ部分  隐私、数据和业务

第1章  隐私工程：起源和发展  3

1.1  隐私是什么  4

1.2  数据如何流入公司及在公司内部流转  7

1.3  隐私为何如此重要  9

1.3.1  真实的罚款案例  9

1.3.2  早期快速发展可能导致后期的隐私问题  11

1.3.3  隐私调查不仅仅是“减速带”  13

1.3.4  隐私保护流程能够释放更多的商业机会：一个真实的案例  18

1.4  隐私：思维模型  20

1.5  隐私如何在宏观层面影响公司业务  23

1.5.1  隐私和安全：新冠病毒版本实例  23

1.5.2  隐私和监管合规要求：一套循环流程  24

1.6  隐私技术和工具：组织和个人的选项与抉择  26

1.6.1  “内部构建与购买”问题  27

1.6.2  第三方隐私工具：真的有效且可扩展吗  28

1.6.3  购买第三方隐私工具的风险  32

1.7  本书未涉及的内容  32

1.8  工程师的角色如何转变，以及如何影响隐私计划  33

1.9  本章小结  34

第2章  理解数据和隐私保护  37

2.1  隐私保护及其内涵  37

2.1.1  为何隐私保护如此之难  38

2.1.2  实地部署隐私工程：组织和个人必须完成的工作  39

2.1.3  隐私、数据系统和策略执行  41

2.2  这种情况可能发生在所有公司  43

2.3  数据、业务增长战略和隐私  46

2.4  示例：当隐私受到侵犯时  48

2.4.1  Equifax公司  48

2.4.2  美国人事管理办公室(Office of Personnel Management，OPM)数据泄露事故  49

2.4.3  LabCorp和Quest Diagnostics泄露事故  51

2.5  隐私和监管环境  52

2.5.1  法规如何影响产品及其用户  53

2.5.2  隐私计划应该如何帮助公司为不断变化的隐私法律做好准备  54

2.6  隐私和用户  54

2.6.1  成为美国公民及隐私保护  55

2.6.2  当今的用户及其隐私问题  55

2.7  构建隐私工具之后困难的部分：构建隐私计划  56

2.8  在构建隐私计划时，建立隐私至上的文化  59

2.9  本章小结  61

第Ⅱ部分  主动隐私计划：数据治理

第3章  数据分类分级  65

3.1  数据分类分级及客户背景  66

3.2  为什么需要数据分类分级  67

3.2.1  数据分类分级是数据治理的组成部分  67

3.2.2  数据分类分级工作：如何帮助调整优先级  69

3.2.3  围绕数据分类分级的行业基准  75

3.2.4  非结构化数据和数据治理  75

3.2.5  数据分类分级工作是公司成熟之旅的重要历程  76

3.3  如何通过实施数据分类分级活动改善隐私保护水平  79

3.3.1  数据分类分级工作和访问权限管理  79

3.3.2  数据分类分级、访问管理和隐私保护：示例1  81

3.3.3  数据分类分级、访问管理和隐私保护：示例2  82

3.4  如何基于隐私法焦点开展数据分类分级工作  83

3.4.1  数据分类分级是隐私法律法规监管合规要求的抽象概念之一  83

3.4.2  数据分类分级用于解决隐私法律法规监管合规要求的解读之间的矛盾  84

3.5  数据分类分级流程  85

3.5.1  与跨职能利益相关方合作开展数据分类分级工作  86

3.5.2  规范并重构数据分类分级活动  88

3.5.3  数据分类分级流程：微软模板  89

3.6  数据分类分级示例  91

3.7  本章小结  93

第4章  数据清单  95

4.1  数据清单是什么以及为什么公司需要它  96

4.2  机器可读标记  98

4.2.1  什么是数据清单标记  98

4.2.2  数据清单标记：具体示例  99

4.3  创建基线  103

4.4  技术架构  104

4.4.1  结构化和非结构化数据  104

4.4.2  数据清单架构能力  107

4.4.3  数据清单工作流  109

4.5  理解数据  111

4.5.1  元数据定义流程  112

4.5.2  元数据探查流程  113

4.6  启动数据清单流程的最佳时机  115

4.6.1  为什么实现数据清单流程如此困难  115

4.6.2  数据清单：越早越好  116

4.7  数据清单不是二进制流程  118

4.7.1  第1级数据清单  118

4.7.2  第2级数据清单  119

4.7.3  第3级数据清单  120

4.8  成功的数据清单流程是怎样的  123

4.8.1  数据清单成功的客观指标  123

4.8.2  数据清单成功的主观指标  124

4.9  本章小结  125

第5章  数据共享  127

5.1  数据共享：公司为什么需要共享数据  128

5.1.1  数据共享示例：出租车公司  128

5.1.2  数据共享示例：在线广告  129

5.1.3  广告中的隐私  133

5.2  如何安全地共享数据：安全是隐私工程的天然盟友  135

5.2.1  跟踪美国总统Trump  136

5.2.2  保护移动状态数据  137

5.2.3  保护静止状态数据  138

5.3  隐私安全数据共享的混淆技术  141

5.3.1  数据共享和美国国家安全  142

5.3.2  数据匿名化：精确度和留存之间的关系  143

5.3.3  数据匿名化技术：精确度和访问权限之间的关联  145

5.3.4  数据匿名化：将通用ID映射到内部ID  147

5.4  与第三方共享内部ID  149

5.4.1  用例1：最小会话(不需要关联用户活动)  150

5.4.2  用例2：每个数据集一个会话(在数据集中关联同一用户的活动)  151

5.4.3  用例3：跨数据集的会话(在数据集之间关联)  151

5.4.4  恢复假名值  152

5.5  衡量隐私影响  153

5.5.1  K-匿名化技术  153

5.5.2  L-多样性  156

5.6  隐私损害：这不是演习  158

5.6.1  Facebook和Cambridge Analytica案例  158

5.6.2  共享数据及其弱点  159

5.7  本章小结  159

第Ⅲ部分  构建隐私工具和流程

第6章  技术隐私审查  163

6.1  什么是“隐私审查”  164

6.1.1  隐私影响评估(PIA)  165

6.1.2  数据保护影响评估(DPIA)  166

6.2  实施法律隐私审查流程  172

6.3  提出技术隐私审查的理由  174

6.3.1  时间和范围  174

6.3.2  技术审查涵盖了法律审查无法涵盖的内容  175

6.4  将技术隐私审查整合到创新流程中  178

6.4.1  应该在哪个阶段开展技术隐私审查工作  178

6.4.2  如何实施技术隐私审查  180

6.5  技术隐私审查流程扩展  185

6.5.1  数据共享  185

6.5.2  机器学习模型  186

6.6  技术隐私审查示例  188

6.6.1  即时消息应用程序和互动应用程序之间是否存在关联  188

6.6.2  口罩和接触追踪  190

6.7  本章小结  192

第7章  数据删除  193

7.1  为什么公司必须删除数据  194

7.2  现代数据收集架构是怎样的  195

7.2.1  分布式架构和微服务：公司如何收集数据  196

7.2.2  如何存储和访问实时数据  197

7.2.3  归档数据的存储  197

7.2.4  其他的数据存储物理位置  198

7.2.5  数据存储如何从收集发展到归档  200

7.3  数据收集架构的工作原理  201

7.4  删除账户级别的数据：出发点  203

7.4.1  账户删除：构建工具和流程  203

7.4.2  大规模的账户删除  204

7.5  删除账户级数据: 分布式服务的自动化和扩展  205

7.5.1  注册用于删除的服务和数据字段  207

7.5.2  数据删除的调度机制  209

7.6  敏感数据的删除  210

7.7  数据删除由谁负责  213

7.8  本章小结  215

第8章  导出用户数据：数据主体访问请求  217

8.1  什么是数据主体访问请求  218

8.1.1  DSAR相关法律法规监管合规要求赋予用户什么权利  221

8.1.2  DSAR请求实现流程概述  222

8.2  构建DSAR流程  224

8.2.1  构建DSAR系统的关键步骤  224

8.2.2  构建DSAR状态仪表盘  226

8.3  DSAR自动化、数据结构和数据流  228

8.3.1  DSAR的组成部分  228

8.3.2  立方体方法：DSAR数据的子集  230

8.3.3  DSAR模板  232

8.3.4  DSAR模板的数据源  234

8.4  面向内部的屏幕和仪表盘  236

8.5  本章小结  243

第Ⅳ部分  安全、扩展和人员配备

第9章  构建同意管理平台  247

9.1  为什么同意管理非常重要  248

9.1.1  同意管理和隐私相关法律法规监管合规要求  248

9.1.2  同意管理和科技行业的变革  250

9.1.3  同意管理和公司业务  252

9.2  同意管理平台  253

9.3  用于同意管理的数据模式模型  256

9.3.1  有助于构建CMP的实体关系  256

9.3.2  实体关系模式：CMP数据库  257

9.4  用户同意代码：对象  263

9.4.1  用于检查同意状态的API  264

9.4.2  用于检索披露信息的API  266

9.4.3  用于更新披露同意状态的API  269

9.4.4  处理多个披露的API  271

9.4.5  将API注册到同意服务  274

9.4.6  同意服务的有用定义  275

9.5  CMP中的其他有用功能  276

9.6  将同意管理集成到产品工作流中  278

9.7  本章小结  281

第10章  处置安全漏洞  283

10.1  通过减少攻击面保护数据隐私  285

10.1.1  管理攻击面  285

10.1.2  测试如何导致安全和隐私风险  286

10.1.3  企业安全和隐私风险模型  290

10.2  通过管理边缘访问保护隐私  296

10.2.1  Target数据泄露事故  296

10.2.2  MongoDB的安全弱点  304

10.2.3  授权管理最佳实践  306

10.2.4  持续监测账户和凭证是十分重要的手段  314

10.2.5  远程工作和隐私风险  315

10.3  通过修补访问控制方面的漏洞保护隐私  317

10.3.1  IDOR漏洞的工作原理  317

10.3.2  IDOR漏洞的测试和缓解措施  320

10.4  本章小结  321

第11章  扩展、招聘和监管考虑  323

11.1  隐私工程的成熟度模型  325

11.1.1  识别  327

11.1.2  保护  330

11.1.3  检测  336

11.1.4  补救  339

11.2  隐私工程领域和技能  340

11.3  隐私和监管环境  342

11.4  本章小结  346