猎云网注:以标准高、处罚严而闻名的《通用数据保护条例》(General Data Protection Regulation,简称GDPR)已于近日生效。本文系APUS研究院从法律规则探讨、实践操作等角度,对该条例做出相应解读的第四篇,文章从项目管理的角度切入,重点介绍GDPR合规中的项目质量管理。文章来源:APUS(ID:apusapps),作者:APUS研究院。
GDPR的“实战”不仅仅是合规问题、法律问题,更是产品问题和技术问题。之前,我们侧重于从法规的理论角度对GDPR进行讨论,包括讨论了GDPR语境下的用户“同意”,也分析过实际案例,那么本期文章将从项目管理的角度切入,重点介绍GDPR合规中的项目质量管理。
在互联网领域,GDPR项目较一般开发项目而言,存在两个显著的特点:
一、GDPR的影响不仅局限于IT部门或法务部门,还会涉及到市场、财务、销售、运营、HR以及其他可能收集和处理用户个人数据的部门或个人。因此,企业针对GDPR进行的合规改造,需要协调企业里各个相关部门,是一项非常浩大的工程。
二、不确定性强。考虑到GDPR在个人数据保护上的创新,以及缺少明确案例或指南将这样的创新转化为落地的方案,尤其是,目前欧盟的监管机构、法律界都没有对GDPR的某些实施标准达成一致意见,即便在GDPR条例生效后,都存在大量模糊的、不确定的细节点。因此,整个项目的边界需要不断探索和修改,无论是在立项规划、进度预测还是项目变更管理上,都对整个项目管理提出了巨大挑战。
为了解决上述问题,很多企业会单独成立一个工作小组,将所涉及的各个相关部门的人员都加入其中。而这个工作小组在推进合规改造的项目过程中,需要不断根据实施的效果进行评估并进行调整。在这种情况下,“戴明环”(PDCA)便是一种行之有效的项目质量管理方式。所谓PDCA,就是以计划(Plan)-实施(Do)-检查(Check)-行动(Action)的循环来不断改善合规方案的过程。这样一种持续改进的项目管理工具实际上是通过了解GDPR标准并制定初步方案,到执行方案,再到检验方案合理性,最后根据检验结果做进一步调整,并启动下一个PDCA循环的过程。PDCA是一个周而复始的过程,后一个循环解决前一个循环遗留的问题,项目路径呈阶梯式上升(如下图所示)。
PDCA的优势,就是对各种问题的处理能做到有始有终,并逐步提高和完善项目方案,以妥善解决GDPR合规的推动问题和不确定问题。也就是说,用已知的信息确定初步方案,在实施中发现问题,逐渐减小不确定的边界。另外,根据单个循环周期内工作任务确定具体操作人员的绩效,用制度代替管理层去推进项目。
GDPR规定,数据控制者(Data Controller,即决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他实体)需要保证数据主体的数据访问权。根据GDPR十五条,数据主体应当有权从控制者处确认与其相关的个人数据是否正在被处理,并在确认控制者正在对其个人数据进行处理的情况下,有权要求访问与其相关的个人数据并获知下列信息:
处理的目的;
相关个人数据的类别;
…
借助PDCA循环,上述合规工作可以进行体系化的整合与构建。
1.计划:确认需求,制定方案
通常来讲,企业的合规需求大多由法务部提出。但在GDPR项目中,需要更多部门参与确认合规需求。因为一般法务部对企业的产品和研发过程并不精通,所以他们常常只能从宏观的角度上提出规则要求。例如,法务部会告诉公司,GDPR要求为用户展示数据D1、D2、D3…而这就像生产冰箱的企业中,有人说最近彩电卖的好,我们应该开设一条彩电流水线一样,只能说是一种认知,不能具化到业务需求。。所以,企业里如果成立工作小组来推进GDPR的合规改造项目,这个工作小组至少要包括法务、产品和研发人员,覆盖产品的前端和后端。经过工作小组内部讨论后,将GDPR的要求转化成落地的需求方案,比如数据访问权的实现,就会转化为,在A产品的B界面提供C选项,展示D1、D2、D3数据,C选项的展示页面为…在工作小组确定了需求内容之后,还要协同研发人员确认实现方案和排期。在此需要注意,相比前端实现数据访问权的展示页面,后端实现查询的数据库和接口的设计调整可能更加耗时,因此在排期上要提前做好规划。
2.实施:研发和上线
在工作小组确定了需求和方案后,研发团队需要将文字版的设计方案,开发成实际的产品和业务。这个过程中,质量管理需要详细监控研发过程中产品质量的变化情况。由其是做好研发过程记录,以维持体系健康运行、获得持续改进。值得注意的是,由于鉴于PDCA的阶梯上升路径,需要保证单个循环的按期推进,并快速进入下个循环。因此要尽量严格执行单个循环周期内的既定方案,不可以随意变更。除非紧急问题,一般调整可以放在下个循环改进。
一期研发结束并通过测试后,应及时安排上线,并计入检查阶段。
3.检查:暴露问题
在初步完成产品和业务上线后,一方面要检查产品和业务的实际效果,另一方面也要提出改进方案,例如用户体验的改善,例如进一步的颗粒化。这一阶段的主题是暴露问题,因此发现问题的方案就尤为重要。举个例子,如果工作小组并不知道哪种设计方案效果更好,可以分别设计两套方案,在用户中进行AB测试,并制作对比方案。
4.行动:调整与重启
PDCA循环的最后,是强化成功经验、处理失败教训并确定遗留问题的阶段。强化成功经验,是将达到项目预期的成果总结成业务标准,以便于推广到此后的工作中。比如在一期工作中,如果某项设计方案具有良好的效果,那可以在以后新产品发布或者老产品迭代时参考使用。处理失败教训,就是根据发现的问题,制定解决对策。确定遗留问题,是对下期工作安排,制定二期的目标。比如如果某项设计在上线后,评估发现效果不佳,那么就重新设计改进方案,作为下个PDCA循环的目标。
根据我们的调研,Google、Facebook、Microsoft等巨头公司,在GDPR条例正式生效前后,都对自身产品进行了多轮密集的调整,从隐私协议的文案,到展现给用户的形式,再到后台数据处理的逻辑,都有多轮变化。采用类似PDCA循环的项目管理方式,可以在多轮调整的项目中,提高项目质量管理效率。当然,PDCA循环只是一种管理方法,“人”才是项目实施的关键因素。只有指定每个循环的责任人,严格考核,才能够充分发挥PDCA循环这种模式的最大功效。
GDPR系列文章阅读:
APUS研究院|GDPR实战指南(一)写给出海的伙伴:GDPR,一个可以讨论的话题。
APUS研究院|GDPR实战指南(二)“同意”,没那么简单。
APUS研究院|GDPR实战指南(三)全球首例GDPR案件分析。
介绍:APUS研究院,致力于研究数据合规的前沿问题,持续跟进高新行业的合规热点和动态。