国际化合规那些事儿-下

书接上文,上篇简介了合规的概念和价值思考,最后提到了合规的解决模型,本篇重点介绍下国际化合规主要解决哪些问题?解决模型是什么?是如何分阶段落地的?

下篇:具体落地

一、三层合规

三层合规主要解决做什么的问题?

广义的合规非常广泛,从技术可落地角度,个人将国际化合规要做的事情,按照层级抽象为: 产品合规、数据合规和流程合规 三大部分,三层程递进关系。

  • 第一层:产品合规 —— 在用户产品层面上,实现法律要求赋予用户的权利。涵盖告知权(法规声明功能)、携带权(用户数据下载功能)、变更权(用户信息修改功能)、删除权(用户注销功能)等等。这个层面做完后,用户可感知侧的功能和权利都拥有了,因此,这一层个人也叫做用户感知层面合规或者对外合规。

  • 第二层:数据合规 —— 在数据处理层面合规。涵盖从数据的收集、传递、存储到使用都符合法律规定。相较于感知合规而言,数据层合规是做到了真正意义的合规,也是最难的一部分,包括PII数据治理,PCI隔离区建设等等。

  • 第三层:流程合规 —— 在流程和制度层面合规。涵盖合规事故响应、处理、上报机制,信息安全管理,开国合规管理等。这一层是在产品和数据真正合规的基础上,保证处理流程的规范和高效

那么针对产品、数据和流程这三个层级,在真正落地层面上就变为三件主要事情
1、产品合规:完善用户八大隐私权力所要求的的产品功能。
2、数据合规:治理隐私数据采集、传递、存储和使用的链路。
3、流程合规:隐私管理配置化、标准化、平台化。

实际落地过程中,结合国际上主流的法规(比如GDPR,CCPA等)以及我们主要的业务国家(比如巴西LGPD,俄罗斯OPD等),对用户隐私权利法规进行细化,最终映射如下主要技术和产品需求

解决什么问题

二、解决模型

基于三层合规的要求,国际化合规实际上要解决的是:产品、数据和流程三个层面,快速满足不同业务、不同国家的法规要求

针对这个目标我们就必须解决三个问题:

  • 需求:产品,数据和流程三个层面分别有哪些具体要求。
  • 抽象:这些具体要求有哪些共性,是否能够抽象出来一些原子能力
  • 产品:原子能力是否可以快速组装成为一个合规产品,来提供服务。

综上,国际化合规模型最核心的职能总结为一句话:解读各国法规,抽象出支持法规的原子能力,高效、低成本的组装出不同业务、不同国家的法规套件

结合诉求,抽象出了上篇中的解决模型
解决模型

解读一下整个模型
最底层是 法规解读,进行法规和框架解读,产生用户权利和数据合规标准,最终形成 【法规(国家) → 用户权利→ 产品形态】的三级映射表,这一步最靠前也是最核心,也是最重要的一步

中间层是 原子能力实现,这里最核心考虑点是各个权利落地时候的复用性,比如用户注销、数据下载如何做到公司通用,简而言之就是如何尽可能的提高成熟度,进行中台化和平台化。

最上层是 合规套件,这里主要考虑如何快速加载和组装隐私合规能力,也就是通过什么样的形式打通整个合规能力。此处设计了一个独立的、可定制的、多语言的隐私合规组件,供不同国家,不同业务方加载调用。

三、四阶段落地

明确了做什么,怎么做?接下来就是如何分阶段、高质量的落地。

饭要一口一口吃,事要一步一步做,毕竟合规作为一个负向收益的项目,如何在不影响业务发展的情况下,抽出合适的人力,在合适的时间点分阶段完成,就变的非常重要

国际化合规从2019年开始做,基于2020年8月巴西LGPD生效的硬性时间点,整个项目拆解为四个阶段落地

  • 阶段一:2019-06到2019-12 临时处理阶段。这个阶段就是只处理高优合规的,暂时不做系统性的建设,比如处理了美加APP下架,法规条文异常等问题。

  • 阶段二:2019-12到2020-03 MVP阶段。这个阶段目标拉齐uber,做到敌有我有的一个跟进探索阶段,保证不会被竞品攻击。

  • 阶段三:2020-03到2020-07 LGPD阶段。目标LGPD生效前,完成合规的体系化建设和完善,并过德勤的外部审核。

  • 阶段四:2020-08到2021-06 合规中台阶段。在满足基本要求和主要法规基础上,进行中台化建设提效。法规上可以高扩展支持GDPR、CCAP等;产品上可以快速支持外卖等业务,放量全球;同时,针对一些特殊法规和要求进行支持,比如支付的PCI认证,ISO27001/27701认证等等。

截止目前,前三阶段已经交付上线,并且放量了除俄罗斯外的全部已开国国家。

四、运行效果

开发过程一把辛酸泪,此处不表,最终落地了端隐私SDK组件和后端隐私合规中心,最终效果如下图,通过SDK包装了整个合规和隐私相关功能

隐私SDK入口

入口

详情页面

解决模型

具体功能页面

解决模型
解决模型

五、后续规划

路漫漫其修远兮,合规不仅仅是一次需求的交付,更重要的是保护好用户的隐私。

国际化合规后续除了要解决目前已有的合规问题,也会从外部认证(比如支付PCI认证,整体的ISO27001/27701认证等),舆情监控,隐私管理平台等多角度、全方位的来护航滴滴出海大船。

六、来不来玩

滴滴国际化横向技术团队,负责滴滴出海过程中通用的技术开发和架构治理,不仅拥有收银支付、价格治理、i18n、国际化合规等多个方向,还有拥有30亿+次/小时的调用量。

最后两个名额了,要不要来活水来体验下,请戳

国际化出行平台工程师/架构师 活水链接
PHP/Go研发工程师(国际化支付) 活水链接
Java研发工程师/专家(国际支付) 活水链接

崔小拽 wechat
欢迎您扫一扫上面的微信公众号,订阅小拽的博客!