公司數(shù)據(jù)合規(guī)到底難在哪
　　數(shù)據(jù)代碼里隱藏“貓鼠游戲”；數(shù)據(jù)出境存在法律間協(xié)調(diào)難點(diǎn)

　　中國(guó)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的數(shù)據(jù)顯示，2021年10月，網(wǎng)站安全方面，中國(guó)境內(nèi)被篡改網(wǎng)站數(shù)量為9532個(gè)，較9月增長(zhǎng)近3成；境內(nèi)被植入后門的網(wǎng)站數(shù)量為2932個(gè)，較9月增長(zhǎng)2.4%。按網(wǎng)站類型統(tǒng)計(jì)，被植入后門數(shù)量最多的是.COM域名類網(wǎng)站。按地區(qū)分布統(tǒng)計(jì)，被植入后門的網(wǎng)站數(shù)量排名前三位的分別是北京市、廣東省和浙江省。

　　問題可能遠(yuǎn)不止于此。10月，木馬或僵尸網(wǎng)絡(luò)惡意活動(dòng)情況方面，中國(guó)境內(nèi)近442萬(wàn)個(gè)IP地址對(duì)應(yīng)的主機(jī)被木馬或僵尸程序控制，與9月相比增長(zhǎng)4成。按地區(qū)分布感染數(shù)量排名前三位的分別是廣東省、江蘇省和河南省。

　　數(shù)據(jù)安全問題仍在不斷發(fā)生。

　　11月8日，美國(guó)一款應(yīng)用程序Robinhood有關(guān)負(fù)責(zé)人表示，一名入侵者上周（11月3日）進(jìn)入了該公司的系統(tǒng)，盜竊了數(shù)百萬(wàn)用戶的個(gè)人信息。包括大約500萬(wàn)用戶的電子郵件地址外泄，另外200萬(wàn)用戶的全名外泄。入侵者還獲取了超過300個(gè)用戶更廣泛的個(gè)人信息。

　　Robinhood經(jīng)過調(diào)查后在其官網(wǎng)宣稱，“我們?nèi)匀徽J(rèn)為該列表不包含社會(huì)安全號(hào)碼、銀行賬號(hào)或借記卡號(hào)碼，并且沒有因事件給任何客戶造成經(jīng)濟(jì)損失�！�

　　個(gè)人信息作為數(shù)據(jù)安全的重要表現(xiàn)，Robinhood的這次個(gè)人信息泄露事件只是數(shù)據(jù)安全問題的一個(gè)縮影。因?yàn)椴粌H公司、機(jī)構(gòu)內(nèi)部存在泄露風(fēng)險(xiǎn)，外部攻擊也是數(shù)據(jù)安全問題的重要威脅。

　　針對(duì)潛存的數(shù)據(jù)安全問題，我國(guó)先后頒布實(shí)施了相關(guān)法律。11月1日，《中華人民共和國(guó)個(gè)人信息保護(hù)法》正式實(shí)施。全國(guó)人大常委會(huì)法工委經(jīng)濟(jì)法室副主任楊合慶解讀稱，個(gè)人信息保護(hù)法確立了個(gè)人信息處理應(yīng)遵循的基本原則，構(gòu)建了以“告知-同意”為核心的處理規(guī)則，規(guī)范個(gè)人信息處理行為，為個(gè)人信息的利用提供了公開、透明、可預(yù)期的法律環(huán)境。

　　其實(shí)，面對(duì)無(wú)處不在的網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險(xiǎn)，我國(guó)近年來先后頒布出臺(tái)了相關(guān)的法律法規(guī)。比如今年9月1日，《中華人民共和國(guó)數(shù)據(jù)安全法》正式實(shí)施。4年前，《網(wǎng)絡(luò)安全法》已開始實(shí)施。

　　作為重要的風(fēng)險(xiǎn)源頭，那些掌握著大量數(shù)據(jù)的互聯(lián)網(wǎng)公司、快遞公司、金融科技公司等面對(duì)實(shí)施的新法是否準(zhǔn)備好了？做好風(fēng)險(xiǎn)防范可能面對(duì)什么挑戰(zhàn)？

　　“缺乏數(shù)據(jù)安全意識(shí)”

　　王巖飛是北京市京師（深圳）律師事務(wù)所聯(lián)合創(chuàng)始人、數(shù)據(jù)合規(guī)研究院執(zhí)行院長(zhǎng)。他接觸的客戶有頭部的平臺(tái)企業(yè)，也有中小規(guī)模的互聯(lián)網(wǎng)企業(yè)，以及一些實(shí)體企業(yè)。

　　王巖飛告訴新京智庫(kù)，他們最近接了一家制造業(yè)上市公司的新項(xiàng)目，這家公司涉及的個(gè)人信息數(shù)據(jù)量非常少，主要是內(nèi)部員工的信息，但這家公司提出一定要做好個(gè)人信息保護(hù)的合規(guī)工作，“他們的合規(guī)意識(shí)很強(qiáng)，但有一點(diǎn)過于擔(dān)心了”。

　　實(shí)際上，有很多企業(yè)，包括一些巨頭的數(shù)據(jù)合規(guī)意識(shí)還很淡薄。這些企業(yè)的商業(yè)模式運(yùn)轉(zhuǎn)了這么多年，他們粗放式的數(shù)據(jù)運(yùn)營(yíng)和信息使用模式一時(shí)半會(huì)也難以改變。“老板、高管和公司員工對(duì)于個(gè)人信息保護(hù)的法律認(rèn)知還沒有到這個(gè)程度，這可能與執(zhí)法還沒有跟上有關(guān)”，王巖飛說。

　　以快遞行業(yè)為例，2018年5月1日起實(shí)施的《快遞暫行條例》第34條規(guī)定，經(jīng)營(yíng)快遞業(yè)務(wù)的企業(yè)應(yīng)當(dāng)建立快遞運(yùn)單及電子數(shù)據(jù)管理制度，妥善保管用戶信息等電子數(shù)據(jù)，定期銷毀快遞運(yùn)單，采取有效技術(shù)手段保證用戶信息安全。

　　新京智庫(kù)觀察發(fā)現(xiàn)，有一些快遞公司已將寄、收雙方手機(jī)號(hào)的中間四位數(shù)字隱去，但有一些快遞公司的快遞單仍然顯示詳細(xì)的寄、收雙方的手機(jī)號(hào)碼。

　　第34條還規(guī)定，經(jīng)營(yíng)快遞業(yè)務(wù)的企業(yè)及其從業(yè)人員不得出售、泄露或者非法提供快遞服務(wù)過程中知悉的用戶信息。發(fā)生或者可能發(fā)生用戶信息泄露的，經(jīng)營(yíng)快遞業(yè)務(wù)的企業(yè)應(yīng)當(dāng)立即采取補(bǔ)救措施，并向所在地郵政管理部門報(bào)告。

　　新京智庫(kù)梳理發(fā)現(xiàn)，仍有一些快遞公司的用戶信息在被販賣。2021年11月7日《南方都市報(bào)》報(bào)道，該報(bào)記者通過一款即時(shí)通訊軟件聯(lián)系了多位買家，其中一名叫“橘子”的人報(bào)價(jià)，實(shí)時(shí)面單超過1000張每張價(jià)格3.5元，精品面單每張4元；而歷史面單只收車載、童裝童鞋、化妝品類的，每張1.5元。

　　另一名叫“悟空”的賣家聲稱，他手里有幾十萬(wàn)歷史快遞面單，貨源是一家物流“云倉(cāng)”；為了證明自己的實(shí)力，他還給記者發(fā)了一份文檔，里面按照化妝品、母嬰、服裝等進(jìn)行分門別類，其中包括上百位消費(fèi)者的姓名、所購(gòu)商品、家庭住址和電話號(hào)碼等隱私信息，甚至還有商品的價(jià)格。

　　中國(guó)政法大學(xué)傳播法研究中心副主任朱巍對(duì)新京智庫(kù)表示，《個(gè)人信息保護(hù)法》施行前，加密、去標(biāo)識(shí)化的隱私面單還可以視為行業(yè)內(nèi)的倡導(dǎo)，但隨著該法的生效，加密、去標(biāo)識(shí)化等安全技術(shù)措施已經(jīng)成為快遞平臺(tái)必須履行的法定義務(wù)，因此隱私面單功能就必須強(qiáng)制推行。

　　中國(guó)科學(xué)院大學(xué)網(wǎng)絡(luò)空間安全學(xué)院教授張銳告訴新京智庫(kù)，其實(shí)技術(shù)上完全可以做到，只需要在源代碼中加入若干行相關(guān)程序碼而已，而且“真的很簡(jiǎn)單”。

　　現(xiàn)實(shí)是，“大老板認(rèn)識(shí)不到，這事肯定做不好”，廣東工業(yè)大學(xué)計(jì)算機(jī)學(xué)院特聘教授劉文印告訴新京智庫(kù)，企業(yè)如何在管理過程中加強(qiáng)對(duì)公司數(shù)據(jù)、員工數(shù)據(jù)、產(chǎn)品用戶數(shù)據(jù)的合法以及綜合管理，有時(shí)會(huì)發(fā)現(xiàn)投入大量人力資源可能有些問題也無(wú)法解決。

　　代碼里的“貓鼠游戲”

　　新京智庫(kù)梳理發(fā)現(xiàn)，隨著《個(gè)人信息保護(hù)法》的生效，幾乎所有App、網(wǎng)站都更新了“隱私政策”——都有彈出相應(yīng)彈窗需要用戶按下“同意”鍵。尷尬的是，很多人可能是直接選擇“同意”，而不會(huì)花時(shí)間去閱讀這些網(wǎng)站或App的隱私政策到底都是什么內(nèi)容。

　　“我也不看。因?yàn)槟悴煌�意的話他就直接退出，無(wú)法‘正常使用’”，上海大邦律師事務(wù)所高級(jí)合伙人游云庭告訴新京智庫(kù)，用戶看不看是用戶的事情，但應(yīng)用開發(fā)運(yùn)營(yíng)者必須告知用戶權(quán)利義務(wù)，這是他們的責(zé)任。由于商業(yè)模式的多樣性，這種事情也沒法特別簡(jiǎn)化，現(xiàn)在的模式應(yīng)該說，是目前情況下可以做到的比較好的方式。

　　新法實(shí)施下，企業(yè)該如何做到“無(wú)瑕疵”守法還存在類似的技術(shù)難題。劉文印表示，我國(guó)頒布的《個(gè)人信息保護(hù)法》被外媒稱為“世界上最嚴(yán)格隱私法之一”。在此之前，歐盟《一般資料保護(hù)規(guī)范》（GDPR）被稱為史上最嚴(yán)的隱私法。

　　《個(gè)人信息保護(hù)法》規(guī)定，收集和處理個(gè)人信息應(yīng)取得個(gè)人的充分同意，在23、29、39條中，共5種特殊場(chǎng)景中，要求“取得個(gè)人的單獨(dú)同意”，給用戶充分的“知情權(quán)”和“決定權(quán)”，個(gè)人有權(quán)要求算法說明具體信息，有權(quán)知道兩個(gè)第三方之間在用“我個(gè)人的什么信息，沒有我個(gè)人授權(quán)，他們之間無(wú)權(quán)使用我的個(gè)人信息”。

　　“很多場(chǎng)景下，獲取‘單獨(dú)同意’是非常困難的”，劉文印表示，是“發(fā)郵件，親手簽字，還是要本人認(rèn)證？這些信息溝通怎么自動(dòng)解析？精度和效率怎么保證”，這些都是大問題。但是，如果使用已經(jīng)開發(fā)的基于“登錄易”的生態(tài)系統(tǒng)架構(gòu)，網(wǎng)站每次都把“單獨(dú)同意”的請(qǐng)求發(fā)到手機(jī)登錄易App，即，可信用戶代理，或個(gè)人信息管理終端，用戶點(diǎn)擊“同意”后，就帶著目的地網(wǎng)站的賬號(hào)密碼去調(diào)用部署在目的地的API（應(yīng)用程序接口），目的地網(wǎng)站收到后，驗(yàn)證賬號(hào)密碼“對(duì)”就表示確實(shí)是用戶本人“同意”，很容易自動(dòng)完成。

　　劉文印表示，如果“拒絕”，甚至可以自動(dòng)投訴到監(jiān)管機(jī)構(gòu)。如果在登錄易中設(shè)置自動(dòng)授權(quán)“同意”的條件，自動(dòng)檢查信息請(qǐng)求是否滿足，就可以自動(dòng)授權(quán)，提高效率，同時(shí)留下“單次通知知情-單次同意”的日志記錄，作為證據(jù)。

　　然而，“很多企業(yè)還不知道如何才能自動(dòng)合規(guī)，實(shí)現(xiàn)上述規(guī)則，尤其是單獨(dú)‘同意’的規(guī)則在實(shí)踐中如何落地”，劉文印表示，因?yàn)檫@是一個(gè)全新規(guī)則，比普通的“同意”更難獲得，需要有單獨(dú)的通知，讓用戶知情，并明確授權(quán)“同意”，不能一開始在用戶協(xié)議或隱私政策一次性打鉤就算永久“同意”，“授權(quán)”了。

　　因?yàn)閿?shù)量上加上技術(shù)上客觀存在的難題，游云庭介紹，多數(shù)情況下，互聯(lián)網(wǎng)公司會(huì)做“踩線”的事，比如在產(chǎn)品設(shè)計(jì)時(shí)就把它設(shè)計(jì)成一個(gè)容易混淆，方便他們?cè)诮邮軐?/p>

　　查時(shí)有退路的架構(gòu)，處理成一個(gè)看似合規(guī)合理的模式。

　　為什么這么做？游云庭表示，因?yàn)檫@涉及一個(gè)監(jiān)管部門的審計(jì)能力問題。因?yàn)槟壳拔覀兊谋O(jiān)管機(jī)構(gòu)缺乏相應(yīng)的審計(jì)能力，即如何判定互聯(lián)網(wǎng)公司的某個(gè)設(shè)計(jì)是否違法，或者一旦發(fā)生數(shù)據(jù)安全違法事件，如何判定違法還需要查看相應(yīng)的產(chǎn)品設(shè)計(jì)方案及程序源代碼。

　　“如果要加強(qiáng)執(zhí)法的話，其實(shí)要提升相應(yīng)的數(shù)據(jù)審計(jì)能力，這個(gè)成本由誰(shuí)來承擔(dān)”，游云庭表示，如果由平臺(tái)公司承擔(dān)，那就變成了一個(gè)“貓鼠游戲”，把“老鼠”都抓光了，“貓”也就不用活了。

　　數(shù)據(jù)出境到底怎么出

　　一個(gè)可能更為棘手的問題是，涉外企業(yè)的數(shù)據(jù)出境問題該如何解決？

　　王巖飛介紹，他所感受到的是，企業(yè)對(duì)于數(shù)據(jù)出境問題還是有很多急需法律普及的盲點(diǎn)�！昂芏嗥髽I(yè)暫時(shí)不知道怎么做，而且有的是跨國(guó)公司”。

　　作為高校教師，劉文印所在的網(wǎng)絡(luò)安全圈子也經(jīng)常遇到來自企業(yè)界的類似困惑。因?yàn)楹芏嗑硟?nèi)外都有業(yè)務(wù)（或者國(guó)內(nèi)運(yùn)營(yíng)，用戶主要在境外）的公司就會(huì)遇到“數(shù)據(jù)出境”和“個(gè)人信息保護(hù)”的雙重問題。

　　涉及這類業(yè)務(wù)的不僅有外資企業(yè)，還有中資企業(yè)，比如在境外設(shè)有子公司的，或境外只有貿(mào)易業(yè)務(wù)的。以外資企業(yè)為例，國(guó)家統(tǒng)計(jì)局《中國(guó)統(tǒng)計(jì)年鑒2021》的數(shù)據(jù)顯示，2020年，我國(guó)共有外商投資企業(yè)戶數(shù)總計(jì)63.54萬(wàn)家，同比增長(zhǎng)1.3%。

　　隨著數(shù)字經(jīng)濟(jì)全球化的推進(jìn)，數(shù)字貿(mào)易日益成為區(qū)域經(jīng)貿(mào)協(xié)定的重要內(nèi)容，我國(guó)數(shù)字貿(mào)易金額也越來越大。商務(wù)部的數(shù)據(jù)顯示，“十三五”時(shí)期我國(guó)數(shù)字貿(mào)易額由2015年的2000億美元增長(zhǎng)到2020年的2947.6億美元（約合人民幣2萬(wàn)億元），增長(zhǎng)47.4%，占服務(wù)貿(mào)易的比重從30.6%增長(zhǎng)至44.5%。

　　“比如，有一家叫‘XX思維’的在線教育App，因?yàn)槭占�了太多個(gè)人信息，三天兩頭收到監(jiān)管部門的通知整改”，劉文印說，因?yàn)樵揂pp的不少用戶在境外，不僅要符合中國(guó)的法律，海外也得合規(guī)，包括符合歐盟GDPR的規(guī)定。

　　對(duì)于金融企業(yè)來說，也有一些問題亟待解決。王巖飛介紹，金融企業(yè)不僅要履行反洗錢法律責(zé)任，如果某家商業(yè)銀行是在海外注冊(cè)的，不僅要做好反洗錢合規(guī)工作，基于其歸屬地的法律，還需要把信息對(duì)沖過去，就又涉及數(shù)據(jù)出境問題在不同法律之間怎么協(xié)調(diào)處理問題�！拔矣X得是個(gè)難點(diǎn)”。

　　急需解決的問題不僅于此。游云庭表示，當(dāng)企業(yè)在為數(shù)據(jù)出境感到困惑時(shí)，我們的監(jiān)管部門力量還無(wú)法匹配。即當(dāng)所有涉及數(shù)據(jù)出境的企業(yè)都要求到監(jiān)管部門備案時(shí)，監(jiān)管部門能否都及時(shí)審批過來？如果不能，那企業(yè)數(shù)據(jù)出境業(yè)務(wù)怎么開展？

　　游云庭表示，新法普及確實(shí)增加了企業(yè)運(yùn)營(yíng)成本，而且部分企業(yè)也出現(xiàn)了一些恐慌，尤其是做境內(nèi)外投資的。現(xiàn)在找他們律師咨詢或做合規(guī)工作的是還有錢的企業(yè)，如果本身就是微利經(jīng)營(yíng)，手里沒有現(xiàn)金流的企業(yè)，“它可能就不做了”。

　　企業(yè)做好數(shù)據(jù)合規(guī)面臨的挑戰(zhàn)

　　面對(duì)新規(guī)，企業(yè)做好個(gè)人信息保護(hù)，數(shù)據(jù)合規(guī)又可能面臨哪些挑戰(zhàn)？

　　上市公司索信達(dá)控股有限公司（下稱“索信達(dá)”）數(shù)據(jù)管理領(lǐng)域?qū)＜翼f海晗告訴新京智庫(kù)，新監(jiān)管趨勢(shì)及行業(yè)趨勢(shì)對(duì)數(shù)據(jù)安全管理提出了更高要求，但像銀行業(yè)要做好數(shù)據(jù)安全工作還面臨不小的挑戰(zhàn)。比如，要求管理內(nèi)容更豐富，具體體現(xiàn)在非結(jié)構(gòu)化數(shù)據(jù)納入管理范疇、客戶隱私數(shù)據(jù)保護(hù)成為重點(diǎn)、數(shù)據(jù)安全分級(jí)管理成為必要、海量數(shù)據(jù)脫敏比較關(guān)注、分布式的基礎(chǔ)設(shè)施災(zāi)備、更多相關(guān)的法律法規(guī)保證等。

　　同時(shí)，對(duì)金融公司也提出了更高的管理能力要求。韋海晗介紹，比如對(duì)數(shù)據(jù)安全要求更高，數(shù)據(jù)泄露影響也更大，面對(duì)海量的數(shù)據(jù)進(jìn)行全面的安全分級(jí)管理。一些新的大數(shù)據(jù)產(chǎn)品對(duì)于數(shù)據(jù)安全設(shè)計(jì)存在缺陷，更多依賴于企業(yè)自身數(shù)據(jù)安全管理能力，分布式的災(zāi)備和恢復(fù)要求也越來越多。

　　如果管理能力沒有相應(yīng)“升級(jí)”可能面對(duì)的就是管理成本急劇上升。IBM公司今年7月底發(fā)布的《2021年數(shù)據(jù)泄露成本報(bào)告》數(shù)據(jù)顯示，數(shù)據(jù)泄露的平均成本從上一年度的386萬(wàn)美元上升到424萬(wàn)美元，同比增長(zhǎng)近10%。這是近七年來最大的單年成本增長(zhǎng)。也是IBM發(fā)布該報(bào)告17年來的最高成本。

　　該報(bào)告進(jìn)一步指出，與無(wú)關(guān)遠(yuǎn)程工作的數(shù)據(jù)泄露相比，與遠(yuǎn)程工作有關(guān)的數(shù)據(jù)泄露事件的平均成本高出107萬(wàn)美元。因遠(yuǎn)程工作而導(dǎo)致數(shù)據(jù)泄露的企業(yè)百分比為17.5%。此外，與遠(yuǎn)程工作人員最多為50%的組織相比，遠(yuǎn)程工作人超過50%的組織識(shí)別和遏制數(shù)據(jù)泄露事件所需的時(shí)間要多出58天。

　　從行業(yè)來看，該報(bào)告指出，醫(yī)療保健行業(yè)的數(shù)據(jù)泄露平均總成本從2020年的713萬(wàn)美元增加到2021年的923萬(wàn)美元，增幅近3成。醫(yī)療保健行業(yè)的數(shù)據(jù)泄露成本連續(xù)11年位居首位。

　　“這就要求管理技術(shù)也要更先進(jìn)”，韋海晗說，比如利用大數(shù)據(jù)技術(shù)獲取企業(yè)不同類型的安全數(shù)據(jù)，識(shí)別潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)和威脅，非結(jié)構(gòu)化數(shù)據(jù)的安全保護(hù)策略和技術(shù)實(shí)現(xiàn)方案，分布式的數(shù)據(jù)加密技術(shù)、數(shù)據(jù)脫敏技術(shù)，以及更全面、靈活的數(shù)據(jù)文件訪問技術(shù)，基礎(chǔ)設(shè)施災(zāi)備和恢復(fù)技術(shù)等。

　　因而，韋海晗認(rèn)為，數(shù)據(jù)安全管理的工作是貫穿于整個(gè)數(shù)據(jù)管理體系之中的，關(guān)系到整個(gè)數(shù)據(jù)管理體系的搭建。從整個(gè)數(shù)據(jù)管理角度看，數(shù)據(jù)安全管理工作包括數(shù)據(jù)安全管理標(biāo)準(zhǔn)、數(shù)據(jù)安全事故處理、數(shù)據(jù)安全分級(jí)、數(shù)據(jù)安全審計(jì)。

　　“數(shù)據(jù)安全分級(jí)是數(shù)據(jù)安全管理體系構(gòu)建的重點(diǎn)核心，數(shù)據(jù)分類又是數(shù)據(jù)安全分級(jí)的基礎(chǔ)和依據(jù)”，韋海晗建議，在系統(tǒng)技術(shù)支撐上，可以將數(shù)據(jù)安全分級(jí)管理體系嵌入到類似元數(shù)據(jù)平臺(tái)、數(shù)據(jù)資產(chǎn)管理平臺(tái)上去做。

　　而張銳表示，很多平臺(tái)企業(yè)，即便是科技企業(yè)在技術(shù)上的投入還是太少，他們的系統(tǒng)也沒有太先進(jìn)。很多公司實(shí)際上的先進(jìn)技術(shù)研發(fā)人員遠(yuǎn)沒有他們所宣稱的那么多，“可能是干體力活的居多”。

　　企業(yè)在做好數(shù)據(jù)合規(guī)工作時(shí)不僅內(nèi)部，外部也同樣面臨挑戰(zhàn)。

　　游云庭表示，在《數(shù)據(jù)安全法》和《個(gè)保法》等新的法律規(guī)范生效之下，執(zhí)法能力不強(qiáng)也在一定程度上限制了企業(yè)的發(fā)展。比如，有的企業(yè)有數(shù)據(jù)跨境需求，但當(dāng)他們咨詢或者請(qǐng)相關(guān)部門予以指導(dǎo)時(shí)，相關(guān)部門告知“這塊暫時(shí)不管”，因?yàn)檫@是“優(yōu)化營(yíng)商環(huán)境”的范疇。

　　游云庭介紹，這是他在《數(shù)據(jù)安全法》生效后兩三天遇到的真實(shí)經(jīng)歷。他認(rèn)為，這說明相關(guān)的監(jiān)管部門不能說沒有準(zhǔn)備，而是新法生效后，一下子涌現(xiàn)那么多企業(yè)需要辦理數(shù)據(jù)合規(guī)的相關(guān)業(yè)務(wù)，他們受理不過來�！八麄円膊粫�(huì)去接（企業(yè)）鍋的，萬(wàn)一你（企業(yè)）這些數(shù)據(jù)有問題呢？”

　　企業(yè)要有國(guó)家安全思維

　　那企業(yè)該如何做到合規(guī)經(jīng)營(yíng)？

　　中國(guó)信息通信研究院互聯(lián)網(wǎng)法律研究中心主任方禹向新京智庫(kù)表示，企業(yè)首先要強(qiáng)化數(shù)據(jù)合規(guī)意識(shí)�！秱�(gè)人信息保護(hù)法》所構(gòu)建的很多規(guī)則，在一定程度上是對(duì)企業(yè)進(jìn)行“補(bǔ)課”，過去“重發(fā)展、輕保護(hù)”的經(jīng)營(yíng)思路需要做較大調(diào)整，而調(diào)整的起點(diǎn)就是個(gè)人信息保護(hù)意識(shí)的形成和強(qiáng)化。

　　“還要持續(xù)合規(guī)”，方禹說，個(gè)人信息保護(hù)本身具有動(dòng)態(tài)性，合規(guī)也是一項(xiàng)持續(xù)性動(dòng)作，企業(yè)確定個(gè)人信息保護(hù)總體框架后，需要結(jié)合技術(shù)發(fā)展、業(yè)務(wù)變化等持續(xù)開展合規(guī)工作，以符合個(gè)人信息保護(hù)的安全狀態(tài)。

　　從技術(shù)操作層面而言，劉文印建議，企業(yè)需要優(yōu)先梳理、盤點(diǎn)自己的數(shù)據(jù)資產(chǎn)。首先要知道自己都有什么（數(shù)據(jù)），才能有針對(duì)性地提出管理和合規(guī)的策略。同時(shí)，通過合規(guī)性檢測(cè)來確定自身的問題點(diǎn)，然后再制定適當(dāng)?shù)摹⒂行У闹卫硎侄魏惋L(fēng)險(xiǎn)管理方式和目標(biāo)計(jì)劃，從而有效執(zhí)行實(shí)現(xiàn)合規(guī)化。

　　“網(wǎng)絡(luò)安全治理和風(fēng)險(xiǎn)管控每一個(gè)步驟都是為了減少安全威脅”，劉文印認(rèn)為，企業(yè)經(jīng)過有效的梳理后進(jìn)行集中治理并定期不斷循環(huán)升級(jí)，從而形成一種生態(tài)模式。網(wǎng)絡(luò)安全的鏈條很長(zhǎng)，主要涉及三個(gè)要素，即人員、流程和技術(shù)。因此，企業(yè)在培訓(xùn)和優(yōu)化流程時(shí)，也需要在技術(shù)上提高，特別是著重提高可以優(yōu)化、減少人員犯錯(cuò)流程的技術(shù)和能自動(dòng)執(zhí)行合規(guī)的技術(shù)。

　　對(duì)于金融機(jī)構(gòu)而言，索信達(dá)的數(shù)據(jù)治理專家魏強(qiáng)向新京智庫(kù)表示，需建立個(gè)人信息保護(hù)的制度體系，明確工作職責(zé)，規(guī)范工作流程，完善IT系統(tǒng)，設(shè)計(jì)并實(shí)施覆蓋個(gè)人信息全生命周期的安全保護(hù)策略，需要從敏感個(gè)人金融信息的收集、傳輸、存儲(chǔ)、使用、刪除、銷毀等處理的整個(gè)過程采取措施進(jìn)行全生命周期的保護(hù)�！氨热缱裱�明確和最小必要原則對(duì)個(gè)人信息收集進(jìn)行規(guī)范；采用加密等安全措施傳輸和存儲(chǔ)個(gè)人敏感信息，避免泄露等”。

　　王巖飛認(rèn)為，做好新時(shí)代下的數(shù)據(jù)合規(guī)，企業(yè)還需樹立兩種思維。首先是樹立國(guó)家安全思維，這對(duì)很多企業(yè)來說都是非常重要的，但是大部分企業(yè)都沒有。因?yàn)槠脚_(tái)企業(yè)采集的信息，不僅包括用戶個(gè)人信息，還可能包括天氣、地理等數(shù)據(jù)，只有樹立了國(guó)家安全思維，才能在數(shù)據(jù)出境工作中不踩國(guó)家安全“紅線”。

　　其次是樹立刑事風(fēng)險(xiǎn)的思維。很多企業(yè)家可能都會(huì)想，如果可以賺10億元，但只罰3000萬(wàn)元，那他就愿意去冒違法的風(fēng)險(xiǎn)。但是他們忽略了一個(gè)問題，就是《刑法》中有好幾個(gè)涉及個(gè)人信息保護(hù)、數(shù)據(jù)安全的罪名。

　　有些違法行為可能就不只是罰錢了事，“我們?nèi)ツ杲邮值膸灼鹦淌掳讣�，就是金融企業(yè)各板塊的員工相互導(dǎo)數(shù)據(jù)，他們完全沒有意識(shí)，認(rèn)為這是合理的”，王巖飛說。

　　北京大學(xué)法學(xué)院教授薛軍向新京智庫(kù)表示，企業(yè)在遵守《個(gè)人信息保護(hù)法》，包括《數(shù)據(jù)安全法》的過程中，需要有一定的意識(shí)，即促進(jìn)統(tǒng)一的執(zhí)法標(biāo)準(zhǔn)的形成，比如一些指導(dǎo)性意見或行業(yè)準(zhǔn)則的出臺(tái)。這樣才能使得大家在一個(gè)“水位線”上，在同等的、合規(guī)的標(biāo)準(zhǔn)上來展開競(jìng)爭(zhēng)，這樣才能真正促進(jìn)行業(yè)的健康、良性發(fā)展�！疤貏e是在個(gè)人信息保護(hù)的合規(guī)監(jiān)管力度、標(biāo)準(zhǔn)的拿捏上，是不是能夠?qū)崿F(xiàn)一體的、統(tǒng)一的執(zhí)法標(biāo)準(zhǔn)”。

　　方禹建議，從監(jiān)管角度來說，行政指導(dǎo)就尤為重要。大多數(shù)國(guó)家和地區(qū)都組建了個(gè)人信息保護(hù)專門機(jī)構(gòu)，其關(guān)鍵作用之一是對(duì)個(gè)人信息保護(hù)進(jìn)行指導(dǎo)。行政指導(dǎo)的相對(duì)柔性，能夠與法律的相對(duì)剛性實(shí)現(xiàn)有機(jī)結(jié)合，促進(jìn)個(gè)人信息保護(hù)復(fù)雜性的解決。基于指導(dǎo)經(jīng)驗(yàn)，將一些成熟的做法、普遍接受的做法固化為監(jiān)管細(xì)則。

　　新京報(bào)記者 肖隆平 查志遠(yuǎn)