APUS研究院｜GDPR實戰指南（四）：淺談企業GDPR合規中的項目管理_風聞

©本文章（包括判決翻譯內容）著作權均歸APUS研究院所有，轉載請標明出處

GDPR的“實戰”不僅僅是合規問題、法律問題，更是產品問題和技術問題。

之前，我們側重於從法規的理論角度對GDPR進行討論，包括討論了GDPR語境下的用户“同意”，也分析過實際案例，那麼本期文章將從項目管理的角度切入，重點介紹GDPR合規中的項目質量管理。

在互聯網領域，GDPR項目較一般開發項目而言，存在兩個顯著的特點：

一、GDPR的影響不僅侷限於IT部門或法務部門，還會涉及到市場、財務、銷售、運營、HR以及其他可能收集和處理用户個人數據的部門或個人。因此，企業針對GDPR進行的合規改造，需要協調企業裏各個相關部門，是一項非常浩大的工程。

二、不確定性強。考慮到GDPR在個人數據保護上的創新，以及缺少明確案例或指南將這樣的創新轉化為落地的方案，尤其是目前歐盟的監管機構、法律界都沒有對GDPR的某些實施標準達成一致意見，即便在GDPR條例生效後，都存在大量模糊的、不確定的細節點。因此，整個項目的邊界需要不斷探索和修改，無論是在立項規劃、進度預測還是項目變更管理上，都對整個項目管理提出了巨大挑戰。

為了解決上述問題，很多企業會單獨成立一個工作小組，將所涉及的各個相關部門的人員都加入其中。而這個工作小組在推進合規改造的項目過程中，需要不斷根據實施的效果進行評估並進行調整。在這種情況下，“戴明環”（PDCA）便是一種行之有效的項目質量管理方式。

所謂PDCA，就是以**計劃（Plan）-實施（Do）-檢查（Check）-行動（Action）**的循環來不斷改善合規方案的過程。這樣一種持續改進的項目管理工具實際上是通過了解GDPR標準並制定初步方案，到執行方案，再到檢驗方案合理性，最後根據檢驗結果做進一步調整，並啓動下一個PDCA循環的過程。PDCA是一個週而復始的過程，後一個循環解決前一個循環遺留的問題，項目路徑呈階梯式上升（如下圖所示）。

PDCA的優勢，就是對各種問題的處理能做到有始有終，並逐步提高和完善項目方案，以妥善解決GDPR合規的推動問題和不確定問題。也就是説，用已知的信息確定初步方案，在實施中發現問題，逐漸減小不確定的邊界。另外，根據單個循環週期內工作任務確定具體操作人員的績效，用制度代替管理層去推進項目。

GDPR規定，數據控制者（Data Controller，即決定個人數據的處理目的和方式的自然人、法人、公共機構、行政機關或其他實體）需要保證數據主體的數據訪問權。

根據GDPR十五條，數據主體應當有權從控制者處確認與其相關的個人數據是否正在被處理，並在確認控制者正在對其個人數據進行處理的情況下，有權要求訪問與其相關的個人數據並獲知下列信息：

處理的目的；

相關個人數據的類別；

…

藉助PDCA循環，上述合規工作可以進行體系化的整合與構建。

01

計劃：確認需求，制定方案

通常來講，企業的合規需求大多由法務部提出。但在GDPR項目中，需要更多部門參與確認合規需求。

因為一般法務部對企業的產品和研發過程並不精通，所以他們常常只能從宏觀的角度上提出規則要求。例如，法務部會告訴公司，GDPR要求為用户展示數據D1、D2、D3…而這就像生產冰箱的企業中，有人説最近彩電賣的好，我們應該開設一條彩電流水線一樣，只能説是一種認知，不能具化到業務需求。

所以，企業裏如果成立工作小組來推進GDPR的合規改造項目，這個工作小組至少要包括法務、產品和研發人員，覆蓋產品的前端和後端。經過工作小組內部討論後，將GDPR的要求轉化成落地的需求方案，比如數據訪問權的實現，就會轉化為，在A產品的B界面提供C選項，展示D1、D2、D3數據，C選項的展示頁面為…在工作小組確定了需求內容之後，還要協同研發人員確認實現方案和排期。

在此需要注意，相比前端實現數據訪問權的展示頁面，後端實現查詢的數據庫和接口的設計調整可能更加耗時，因此在排期上要提前做好規劃。

02

實施：研發和上線

在工作小組確定了需求和方案後，研發團隊需要將文字版的設計方案，開發成實際的產品和業務。

這個過程中，質量管理需要詳細監控研發過程中產品質量的變化情況。尤其是做好研發過程記錄，以維持體系健康運行、獲得持續改進。值得注意的是，由於鑑於PDCA的階梯上升路徑，需要保證單個循環的按期推進，並快速進入下個循環。

因此要儘量嚴格執行單個循環週期內的既定方案，不可以隨意變更。除非緊急問題，一般調整可以放在下個循環改進。

一期研發結束並通過測試後，應及時安排上線，並計入檢查階段。

03

檢查：暴露問題

在初步完成產品和業務上線後，一方面要檢查產品和業務的實際效果，另一方面也要提出改進方案，例如用户體驗的改善，例如進一步的顆粒化。

這一階段的主題是暴露問題，因此發現問題的方案就尤為重要。舉個例子，如果工作小組並不知道哪種設計方案效果更好，可以分別設計兩套方案，在用户中進行AB測試，並製作對比方案。

04

行動：調整與重啓

PDCA循環的最後，是強化成功經驗、處理失敗教訓並確定遺留問題的階段。強化成功經驗，是將達到項目預期的成果總結成業務標準，以便於推廣到此後的工作中。比如在一期工作中，如果某項設計方案具有良好的效果，那可以在以後新產品發佈或者老產品迭代時參考使用。

處理失敗教訓，就是根據發現的問題，制定解決對策。確定遺留問題，是對下期工作安排，制定二期的目標。比如如果某項設計在上線後，評估發現效果不佳，那麼就重新設計改進方案，作為下個PDCA循環的目標。

根據我們的調研，Google、Facebook、Microsoft等巨頭公司，在GDPR條例正式生效前後，都對自身產品進行了多輪密集的調整，從隱私協議的文案，到展現給用户的形式，再到後台數據處理的邏輯，都有多輪變化。

採用類似PDCA循環的項目管理方式，可以在多輪調整的項目中，提高項目質量管理效率。當然，PDCA循環只是一種管理方法，“人”才是項目實施的關鍵因素。只有指定每個循環的責任人，嚴格考核，才能夠充分發揮PDCA循環這種模式的最大功效。

· APUS研究院，致力於研究數據合規的前沿問題，持續跟進高新行業的合規熱點和動態