南财个保月丨数据治理脚步加快，合规服务商迎来“风口”？

南方财经全媒体记者 吴立洋 北京报道

编者按：

伴随着数字经济发展，对个人信息的采集和利用成为一种“刚需”。个人信息保护不断涌现出新问题，随意收集、违法获取、过度使用、非法买卖个人信息等情况“野火烧不尽”。数据的挖掘利用与个人信息保护之间张力扩大，急需专门法律对个人信息处理活动提供规范样本。

2021年11月1日，《个人信息保护法》正式施行，转眼间即将实施一周年。南财合规科技研究院长期关注个人信息保护议题，持续跟踪报道立法进程、监管动态，反映公众呼声。借此机会，将推出“南财个人信息保护月”系列活动，探讨《个人信息保护法》实施以来的落实情况以及对企业带来的影响。将围绕“守门人”条款的落实、用户个人信息权益的实现、数字广告行业的变革、数字经济发展与合规的平衡等多个维度推出20余篇系列稿件，刊出个人信息保护特刊，并且举办线下高峰论坛。

法律的生命力在于实施，在完成立法后，《个人信息保护法》需司法和执法接力，也需要企业恪守法律要求。我们希望能借助媒体的力量，持续追踪问效，推动个人信息权益的保障，提升全社会个人信息保护的水位线。

近年来，中国构建个人信息治理框架的脚步逐渐加快，《数据安全法》《个人信息保护法》等上位法和《信息安全技术 个人信息安全规范》《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》等部门规章与技术标准相继出台，对个人信息采集、传输、存储、使用生命周期各方面的合规要求逐渐清晰。

值得注意的是，在合规治理体系不断完善的时期，我国数字经济发展也迎来爆发期，据中国信息通信研究院发布的《中国数字经济发展报告（2022年）》显示，2021年我国产业数字化规模达到37.18万亿元，同比名义增长17.2%，产业数字化转型持续向纵深加速发展。

各行业数字化进程日渐深入的过程中，大量数据资源得到挖掘和释放，监管框架的不断完善一方面为企业利用数据制定了标准，另一方面也催生了大量的合规需求。除了积极加强内部合规体系建设外，越来越多的企业也开始选择寻求外部力量的支持，希望借助专业合规服务机构从第三方视角审视自身合规水平，满足合规要求。在这样的背景下，数据合规服务市场迎来了快速发展。

压力催生需求

“不可回避的是，近年来数据合规市场发展的核心动力来源还是强监管。”尚隐科技CEO张仁卓在接受南方财经全媒体记者采访时表示，此处的监管压力不仅来自于国内，实际上世界范围内都在加强对数据和个人信息的合规要求，中国的《个人信息保护法》、欧盟的GDPR等关键性法律法规在此过程中起到了较强的牵引作用。

强监管带来的影响是多层面的，卫士通信息产业股份有限公司副总经理张剑表示，一方面监管部门对企业数据安全、APP个人信息采集、数据跨境等方面的实际监管动作带来的压力相对直接和明显；另一方面随着社会安全意识的不断提升，一旦发生数据安全或合规方面的问题，舆情带来的企业形象和商誉影响，也会对经营主体产生不小的间接压力。

在《数据安全法》与《个人信息保护法》正式落地的2021年，滴滴出行、BOSS直聘和满帮集团等公司因网络安全审查被要求停止新用户注册，因不满足合规要求使得自身业务运营受到直接影响，使得企业实实在在感受到监管侧加强合规治理的决心。

执法司法案件的快速增长也是监管加强的表现之一。工信部发布的数据显示，其2021年组织对208万款APP进行了技术检测，通报违规1549款，下架514款。最高人民检察院发布的数据则显示，截至今年8月，全国检察机关累计办理涉案企业合规案件3218件，较4月新增合规案件2229件，涉案企业合规案件快速增长。

值得注意的是，监管压力在企业内部的传导也是自上而下的，来自高层的背书促使企业得以在短时间内将合规要求落实到业务线中，并持续加强合规建设。

IBM商业价值研究院与牛津经济研究院合作进行的一项涵盖47个国家近7200名企业高管的调查结果显示，相比全球其他国家和地区，中国企业高管格外重视数字化转型中的安全与合规性问题，83%的受访中国高管认为拥有跨多个云的安全工具至关重要，80%认为把数据安全嵌入企业整体云基础架构至关重要。

TalkingData法务总监兼数据合规官葛梦莹告诉记者，《个人信息保护法》的一大特点是确定了较高的罚款比例，以及企业直接负责的主管人员和其他直接责任人员的法律责任。高层管理者在面对这样严格的法律责任时，普遍倾向于重视企业经营过程中的个人信息保护等方面的合规情况，并加大合规建设力度和投入。

合规“救火队”

事实上，在这场几乎将中国整个数字产业囊括在内的合规大考面前，能够早早做到无懈可击的企业可谓寥寥无几。

某互联网公司安全管理人员曾在交流中向记者表示，经历过近二十年“野蛮增长”，早期很多企业对采集来的用户信息采取的都是粗放式管理，除了涉及企业核心利益的数据能够得到一定程度的重视，大部分数据库的安全防护机制、权限设置等都存在明显不足。

此外，合规标准的满足也并非朝夕之间即可完成，在企业参照法律法规要求搭建合规体系时，往往需要横跨安全、法务、业务等多个部门，且需要根据自身采集的信息类型、规模和具体业务情况适用不同的标准，加上业界可供参考的实践有限，缺乏技术和经验积累的企业往往举步维艰。

在这样的背景下，寻求外部帮助成为不少企业提升合规效率，降低管理成本的选择。通过结合技术能力与法律能力，合规服务提供商将数据全生命周期管理、合规检测、用户行权、供应商风险等功能进行整合，帮助企业搭建内部合规体系，以一站式合规管理平台或自动化合规检测工具等形式，降低企业数据处理行为中的合规风险。

“作为第三方，我们在介入企业合规事务时，更希望引导客户总体业务逻辑层面考虑合规框架，而非仅仅应对某个法规或某部法律的要求。”据张剑介绍，首先，合规服务商需要理清客户掌握的数据资产规模和前期合规处理情况，例如用户个人数据获得的授权情况，这样在进行二次处理和使用时才能明确合规红线和需要调用的资源。

其次，要结合企业实际开展的业务类型和数据特点，有针对性地规划数据保护强度和保护手段；再次，围绕从用户同意到各数据流通环节的组织体系，再到数据存储删除的标准和期限，以及紧急状况的应急措施，帮助企业搭建一套完整的闭环管理逻辑。

“之所以要强调数据全生命周期管理，是因为数据流转的不同过程采用的合规标准是一一对应的，前期在获取用户授权时承诺的处理措施，需要在后端兑现，而业务模式的调整带来的数据处理方式的变化，也需要及时反馈到前端的隐私政策、授权同意机制等方面。”张剑表示，第三方合规服务商所能提供的，就是将整体的合规逻辑以一套成熟的技术和平台体系落地，形成覆盖企业全局的合规管理方案。

价值转向

虽然数据合规业务实践已经在业界广泛开展，但不少接受采访的参与者也向记者表示，无论是对服务提供方还是需求方，合规带来的收益在短期内是无法做到立竿见影的，受限于业务复杂度、经费预算等方方面面的因素，共同构建完整的合规体系注定是一个道阻且长的过程。

TalkingData产品VP闫辉告诉记者，目前市场上全球化企业对数据合规的重视度最高，会优先考虑合规性再开展业务，而互联网企业和国内某些行业公司则倾向于在业务和数据合规间找寻平衡点，再逐步增加数据安全技术和措施。

但对中小企业而言，购买第三方合规服务的成本显然需要其反复掂量。上述互联网公司安全管理人员告诉记者，对于经费相对有限的企业，其首选的做法是在内部组建合规力量，一般设计法务、网络安全等部门的人员，即便要从外部获得支援，通常也是选择在原有安全机制的基础上进行升级或扩容。例如，购买升级数据库防火墙，为敏感个人信息数据进行脱敏等等。

“说白了就是缺啥补啥，参照最核心的合规要求比如网络安全登记保护进行技术升级。”他进一步表示。

张仁卓也坦言，在落地数据合规的过程中，部分企业是从法务部门的角度驱动，部分是从安全或技术部门的角度驱动，但从当下实践结果来看，当法务与技术联合驱动时，推进落地的速度更快。“但能够有能力负担一整个数据合规框架体系的基本都是大型企业，中小企业的客户还没有见到。”

但毫无疑问的是，数据合规已成为当前IT乃至整个数字经济领域一条增长迅猛的赛道，据IDC今年6月发布的数据治理系列报告显示，中国数据治理平台市场2021年规模达23.9亿元，数据治理解决方案市场2021年规模达26.6亿元，且预计2022年的市场规模增长将远高于2021年的年度增长。

高增长背后的主要动力无疑是监管导向的强力驱动，但在基本的合规诉求外，服务商们也在积极需求自身的价值增量与转向。

张剑表示，数据市场的拓展和治理离不开对数据权属的界定及其对应的权利义务关系，数据作为一种资产，其所有权并不一定完全属于企业，数据权属的成还可能包括用户、公众等等，在这样的权属关系逻辑下，企业自身角度的合规自证并不能完全取信于监管和公众，如果能结合第三方他证的角度达成各方信任关系，数据资产的交易、流通等等市场行为将获得更多保障。

“就目前来看，基于个保法知情同意的基本要求，数据的授权通常都是短途的，个人信息主体不可能隔着四五个服务商将数据再授权，这也是为什么部分企业要采用匿名化、去标识化等手段对数据进行脱敏的原因。”张仁卓表示，如果能有一个可信第三方作为桥梁，构建用户、监管和企业间的合规生态，彼时引入相关合规管理系统的动力将不仅出于自上而下的监管要求，更是企业本身一种商业价值层面的自发需要。

策划：曹金良 陈磊

统筹：王俊

记者：吴立洋

更多内容请下载21财经APP