解读数据安全合规跨国消费品牌数据隐私官对话StartDT奇点

　　数据安全相关立法日益健全，监管检查逐步落地，数据安全合规已成为当下企业经营绕不开的话题。
　　然而，有了安全意识，实践依旧困难重重：
　　企业内部最致命的安全合规弱点究竟在哪？
　　如何同时保障数据资产的安全和易用？
　　效率、成本与风险博弈，企业该投入多少来完成合规改造？
　　近日，受Morketing《数智未来》直播专栏邀约，某跨国消费品公司北亚区数据隐私官徐震天和StartDT合伙人、战略咨询专家何夕，与Morketing创始人兼CEO曾巧展开了一场深度对话，围绕数据安全合规，分享业内人士的独家洞察。
　　甲方乙方碰面，他们的着眼点有何不同，将激发出怎样的火花？
　　同为数据安全生态建设者的他们，又会带来哪些前沿见解？
　　数据安全保卫战已经打响！
　　8000字长文全回顾，给DT时代每一位关心数据安全合规的你。
　　嘉宾
　　曾巧Morketing创始人兼CEO
　　徐震天某跨国消费品公司北亚区数据隐私官
　　何夕StartDT合伙人、战略咨询专家
　　本文整理自嘉宾对话实录
　　数据安全立法有何启示？
　　监管落地精细化，光有意识并不够
　　曾巧：最近看到数据安全合规问题屡屡发生，比如前段时间，某知名出行服务商因数据安全问题，被处80亿罚款，二位如何看待这个问题？
　　何夕：这个事件我还是比较乐观看待的。
　　第一，数据已被定义为生产要素，而我们要让数据真正发挥价值，就必须要对数据进行确权。在这个处罚事件背后，其实是《个人信息保护法》、《数据安全法》、《网络安全法》从法律意义上对个人数据进行确权，这将有利于数据行业发展。
　　第二，我们可以发现对个人数据安全的保护越来越严格，企业需要更多地关注到自然人的数据尊严、数据权利，这也会引导未来数据营销模式发生变化，包括营销技术如何安全合规地使用，是行业需要关注的。
　　第三，案例中这家出行服务商几乎是违反了《个人信息保护法》中的大部分条款，甚至已涉及到国家安全领域，触发了刑事追责。大家逐条确认，会发现数据安全的管理和规范正在越来越精细，监管落地精细化，这是一个大趋势。
　　徐震天：这件事，我觉得有两个层面的意义。
　　第一个层面，对业界尤其是涉及到C端用户数据的企业，是一个警示。
　　中国从2017年出台了《网络安全法》，后来相继出台《数据安全法》、《个人信息保护法》及一系列法律法规。从处罚金额来看，这次可能是史上最高，受罚对象也是一个具有国际影响力的企业，这对整个企业界都有相当大的震慑力。
　　第二个层面，从本次事件的处罚依据中，我们能看到监管的一些重点。
　　例如，平台过度收集和使用个人数据这一条，可见自然人的隐私权是否得到尊重和保护，是国家监管的一个重点；其次，在违规储存的个人信息中，发现有千万级别的司机群体个人信息被明文存储，这从我们传统的理解来看是数据安全问题，但在这次事件中它更上升了一个高度；以及，在企业过往收集、使用用户数据的过程中，但并没有向用户明示，这中间是企业忽视了透明度（transparency）的概念。
　　曾巧：《网络安全法》《数据安全法》《个人信息保护法》相继推出，它们分别解决哪些方面的问题？尤为值得企业注意的点有哪些？
　　徐震天：首先这三部法律都有一个共同的上位法，就是《国家安全法》。现在大家都有一个非常明显的感知，无论是网络安全、个人信息保护还是数据安全，都需要上升到国家安全的高度来看（事件的本质）。
　　无论从时间上还是内容上来看，这三部法律都是递进的关系。先是《网络安全法》在2017年6月1日正式实施，这是国内第一部关于网络安全、数据安全、个人隐私保护的法律。
　　《网络安全法》中有几个重要的概念：
　　第一，关于网络运营者的定义，绝大部分企业都被定义成网络运营者，包括政府组织和民间组织，都要遵守网络安全法。
　　第二，有一个概念叫关键信息基础设施（CII），国家层面把一些重点行业（比如金融、能源、科技、电力等行业）的网络运营者使用的IT系统定义成为国家层面的基础设施。这意味着如果基础设施遭到破坏，会对国家安全和社会稳定造成影响。
　　第三，《网络安全法》中提到了分级保护制度或者说等保。其实等保在21世纪前十年就已经被提出来了，但当时主要针对一些国企或者金融等重点行业进行保护。如今网络安全法已经把分级保护上升到国家安全的高度了，作为网络运营者，我们都有义务去遵守。
　　接下来是《数据安全法》，我认为这一部内容写得非常具体，企业内部在搭建数据管理机制时，《数据安全法》提供了一整套行动指南、行为准则，包括数据分类、组织建设、改造措施等，在这部法律中都有详细的说明。
　　到2021年11月1日，《个人信息保护法》正式施行，我认为这是时代的必然产物：最开始，我们有一个非常大的网络空间概念，《网络安全法》出台；后来，聚焦到数据上，《数据安全法》发布；数据中有非个人信息和个人信息，而中国是一个拥有14亿人口的超级大国，企业在日常运营中会涉及到海量的个人信息。除了安全性以外，人的隐私权作为重要的人格权，也应该要受到法律保护。
　　通过这一系列法律的施行，包括三部法律中均有提到的数据跨境传输的问题，我们也可以非常明显地感知到监管层面的意图和要求。
　　何夕：没错，大家不能仅仅只关注到《个人信息保护法》。从《网络安全法》到《数据安全法》再到《个人信息保护法》，这是一个层层递进的关系。
　　《网络安全法》要求运营者合法合规地收集和使用个人信息；《数据安全法》则需要企业从自身角度规范数据处理活动，在开发使用数据的同时要保障数据安全；《个人信息保护法》把企业数据处理活动范围进一步缩小了，企业需要建立个人信息的保护机制，确保个人的尊严、权利得到安全保障，这些都是企业需要关注的重点。
　　另外，这些法律法规的背后，都有具体的落地动作。比如工业和信息化部的524行动（信息通信服务感知提升行动），对同意的告知机制有非常详细的说明，另外如《数据出境安全评估办法》、推荐算法的管理规定等等，这些都是需要企业在提高意识的同时多加注意的。
　　搜索奇点云视频号，收看直播回放
　　曾巧：一个数据泄露监测平台曾有统计显示，2020年1月1日至今共发生数据泄露事件21620起，涉及的行业包括金融、互联网、电商、教育等行业。以徐总多年的从业观察，中国企业对待数据安全、合规的态度是什么样的？数据合规的建设水平目前到了怎样的阶段？
　　徐震天：这个问题可以从时间维度和行业维度来看。
　　首先在时间维度上，2000年2010年，对于国内绝大多数企业来说，在数据合规和隐私保护上的态度、认知是比较懵懂的状态。但对于一些强监管行业，比如说银行，这个行业有非常严厉的一系列监管要求，又譬如说外企，它们会按照总部的要求，开始做一些数据安全相关建设性的工作。
　　2011年2016年，这段时间与前十年相比有了较大的变化，大部分企业开始有了数据安全意识，这是社会发展的必然产物。这个阶段，国内移动互联网生态蓬勃发展，诞生了很多互联网企业和品牌企业，在发展的过程中也会收集、处理海量的用户个人信息。站在企业的角度来看，要开始摸索思考如何保护这些数据，保障用户的权利与体验。
　　而2017年到现在，国内绝大多数企业，特别是面向C端消费者的企业，在消费者数据使用和隐私保护层面开始有了更多落地层面的动作。这一方面是来自法律层面的监管约束，另一方面是社会舆论层面的要求。总之，在数据隐私保护方面，现在企业的意识已经上升到了一个新阶段。
　　其次从行业维度来看，一类是行业本身有强监管要求的，譬如金融、医疗、涉及到关键基础设施的行业等等，它们在满足国家法律要求的同时，其所在行业本身也做了很多事。
　　另一类是本身监管属性没有那么强的品牌企业，它们在业务过程中收集到海量数据，而法律法规倒逼了这类企业加强自身监管要求。为了合法合规地发展生意，品牌企业都是会去主动遵守、修炼内功的。
　　还有一类企业，其实它们并不怎么涉及到用户的数据，但伴随着数据安全意识的提升、法律法规的健全完善，他们也在提升对于自身数据资产的保护能力。
　　数据安全弱点如何克服？
　　建规范，进系统，强组织
　　曾巧：StartDT（奇点云GrowingIO）在服务过许多客户后，您发现企业通常会在哪些环节存在数据安全合规的弱点？
　　何夕：在不同阶段，其实企业会有不同的弱点。我们看数据安全发展阶段，大体上可以分为三段：
　　第一个阶段，以系统为中心的安全，这时候强调基础设施安全和信息安全合规；
　　第二个阶段，数据分享安全；
　　第三个阶段，以数据为中心的安全。
　　企业需要看看自己处于哪个阶段，每个阶段在数据安全合规上面临的问题和弱点都不一样。
　　比如企业在第一个阶段，主要是防止数据泄露；第二阶段需要去建立数据分级分类规范，形成权限控制、数据分享流程等管理体系；第三个阶段主要会遇到防攻击、数据产品合规、数据确权等问题。
　　从大的数据安全角度来看，企业数据安全合规有三要素，分别是规范、系统和组织。大部分弱点都出现在这三要素上，企业可以做个自查。
　　在规范层面，譬如有没有做到数据分类分级的规范，有没有建立数据安全的管理制度，有没有风险管理预案，以及出了事故之后，有没有补救的基本规范流程。
　　有了这些基本的规范之后，才能把数据安全合规的要求固化进企业系统中去，比如说设置数据使用的OA流程，进行相关数据权限的管理。
　　除此之外，企业还需要按照法律法规的要求，对组织进行调整，例如设立安全责任人，定期开展企业数据安全培训，对外完成监管合规的认证，对内开展相关审计等等。
　　曾巧：站在从业者的角度来看，徐总您觉得品牌在利用数据、保护数据、消费者隐私等层面，当前的痛点是什么？
　　徐震天：以我个人的从业经验来看，主要是有两个：
　　其一，企业商业模式快速发展，与法律监管要求之间存在时间差。
　　比如国内互联网生态发展非常领先，例如营销领域有许多领先的玩法。但法律（存在的）目标就并不是为了预测商业模式，因此本身不具备很强的预测性。往往我们会先有商业模式，后有相关的立法。从实际情况来看，就是商业模式先行，相关法律法规会在后续建立、完善，定义商业模式中的风险判断及合规要求。如果这当中的缓冲期（立法从公布到生效的时间）很短，企业方在安全合规层面的应对就难免有些被动。
　　举个例子，其实在5年前，一个消费品牌在广告营销环节获取消费者的DeviceID，这在当时的法律上是没有明确禁止的，后来PIPL（《中华人民共和国个人信息保护法》简称）出台后，我们才把这种行为定义为数据提供，明确了任何一方去申请和使用这个数据都需要消费者同意，再在实际的商业场景中去改进。
　　企业的商业模式在快速发展，而法律法规通常不能预知一些新发展、新变化，因此企业既要合法合规地做生意，保障用户的体验，还要维持自身业绩的增长。这是很多品牌企业都会面临的一个难题。
　　其二，找到平衡，很多时候企业需要在效率、成本、风险这三者中间做好平衡。
　　比如这几年比较流行的隐私计算，它就可以解决多种场景下个人数据使用的难题，数据可以做到可用不可见。但这个技术本身投入需要比较大的成本，站在企业的角度会去衡量做这件事的ROI有多少。
　　合规永远是底线。当安全合规与成本、效率发生冲突的时候，如何找到一个平衡点对企业来说是个难点。
　　曾巧：针对徐总提到的痛点和刚才您谈到的三个环节，StartDT在这些场景有哪些解决方案？
　　何夕：从痛点出发，可以分为两类，一类满足合规监管的需求，另一类是容忍度评估，在生意和安全的平衡中做评估。
　　奇点云（StartDT）一直有提供数据安全治理的一站式服务，从数据安全治理的咨询，到产品，以及具体的实施，来帮助企业解决数据安全合规过程中的各种疑难杂症。
　　合规监管的需求，更多向外的，也就是需要符合法律合规；而容忍度更多是向内的，数据安全的问题不要影响到企业生意。那么企业必然要这两者之间寻找平衡。奇点云会根据评估结果，为企业制定实际可落地的数据安全规划，包括隐私政策更新、数据安全Milestone的设立、未来数据安全体系的实施规划等等，这些都是安全咨询服务需要提供的。
　　同时，奇点云也提供相应的数据产品，从数据采集、数据存储、数据加工等层面保障企业数据的安全合规。
　　譬如在分析环节，企业在使用一些海外的用户行为分析工具时，因为这些平台在国内没有数据中心，则必然要将采集来的数据直接传到国外的服务器上，这违反了数据出境安全的规定。我们提供GrowingIOUBA（用户行为分析平台），帮它从数据采集到分析全链路做到合规；
　　在数据存储上，我们发布了数据安全引擎DataBlack，可以实现全链路、全智能、全场景地守护数据资产全生命周期安全，包括实现数据自动化的加解密等等，保障数据资产在使用中没有安全合规风险。
　　此外，对于有了规划和产品但还是不太清楚应该如何落地的企业客户，我们也提供实施的服务。举个例子，在企业内部数据，涉及到个人数据、重要数据、敏感数据，我们会制定出安全策略和规则，对数据进行分级分类。
　　以我们现在正在服务的一个集团品牌为例，敏感数据在进入数据中台之前就要完成加密，只有在中台上获得授权的人才可以解密，并进而分析和使用数据。在实际落地过程中，我们不能仅考虑规则怎么设定，还需要在产品上去做实现，包括提供一些安全相关的智能算法，并且保障整个业务流程不受影响。这就是奇点云（StartDT）在提供的咨询产品实施一站式安全治理服务。
　　数据安全改造从何开始？
　　分级分类是关键
　　曾巧：通常来说，国际性大品牌在数据隐私保护上有哪些有效措施？以及对于其他零售、快消品品牌方面您有什么建议呢？
　　徐震天：仅从个人从业经验上谈几点内容：
　　第一个，在组织层面，一定要设立相关的组织和人，最好是专业的人做专业的事，这一点在业界已经达成共识了。《个人信息保护法》也明确规定了要设定个人信息保护人的角色。
　　第二个，在文化层面，数据安全合规永远不是公司某一个人（例如法务IT）的事，而是全公司、全员的事情，包括CEO和实习生，都要有数据合规的意识。因为数据是贯穿公司整个业务生态和环境中的。那对于DPO（数据隐私官）来说就有一个职责，要在企业内部建立数据安全合规的文化，让全员都具备这样的意识，方能真正达到比较成熟的（安全合规）状态。
　　第三个，在技术层面，在中国这么发达的互联网生态下，技术可以解决很多商业模式的问题，那换个角度想，技术其实也可以解决很多合规的问题。所以我也趁此机会向大家特别是品牌方的伙伴们呼吁，品牌方不要吝啬在数据安全合规技术方面的投入，技术能帮助我们解决很多现实的问题。
　　曾巧：如果企业即将开始数据安全合规的治理动作，在兼顾安全、效率和业务增长的前提下，奇点云建议从哪一步开始，如何规划与落地？
　　何夕：从我们的实践经验来回答这个问题，数据安全治理可以分为三类要素：
　　第一类要素管理要素，也就是基于对法律法规的理解，从公司内部管理层面实现法律层面的合规，这个部分需要律师、咨询顾问来帮助企业落地；
　　第二类技术要素，要在底层实现全链路的数据安全，保护数据免受未经授权的一些访问和操作；在技术和产品之上，还有一个安全策略问题，即我们不仅要在技术原理上实现对数据的保护，还要从策略上对产品进行规范，例如充分保障自然人的被遗忘权、拒绝权、携带权等等。这个环节需要安全专家顾问以及专业的数据产品及技术开发来解决；
　　第三类基础要素，也就是围绕基础设施展开，我们要保证数据是被安全存储和计算的，可以安全地迁移、更新、备份。在这个环节通常由云厂商及数据平台团队来保障。
　　从切入口来看，当前有很多企业会采取小切口的模式去跑，从亟需解决的方面入手，比如说CDP（客户数据平台）MA（营销自动化）等涉及到私域运营投放、用户数据分析等环节，必须要满足PIPL（《个人信息保护法》）的要求。这些问题都是与业务直接相关的，我们就要尽快对症下药。
　　还有一种方式，在我们实践和服务下来可能会更推荐。直接从顶层规划入手，建立分类分级的管理规范，这也是三大要素里最核心的。分级分类的规范不仅可以让企业满足PIPL的合规要求，在未来还有很强的拓展性，比如说应用到企业内部的敏感数据、财务数据的合规。这种方式相比我们只在某个领域来做合规，会更长远，更利于企业长期可持续的数据安全合规。
　　曾巧：那么在整个数据链路的设计中，如何让数据既能得到安全保障，企业使用数据时又能方便调取？
　　何夕：我们还是需要把合规和容忍度放到台面上，一起来考量。企业第一优先要考虑的一定是数据合规，不合规就没有办法把数据用起来。其中最为核心的问题就是按照分类分级的规范，去设计并实现数据从采集、存储到加工等全链路的合规，最起码能满足国家法律法规的要求。这是第一优先级。
　　当合规的问题解决了之后，我们再解决易用性的问题。易用性的问题常常出现在流程、组织的设计等方面，包括是否需要引入数据安全的算法，采用怎样的加解密和脱敏的技术。
　　举个例子，怎样保证在开发人员看不到公司原始的财务数据的基础上，还能进行有效地开发，并且开发的数据时可用的。解决这个问题的通常做法是，数据第一时间进行加密，加密后完成计算，只有拿到授权的人才能去解密。这样的操作能有效避免数据泄密问题。总的来说我们还是需要先要考虑最基础的可用性，然后在业务实践的过程中，不断迭代、提升易用性。
　　曾巧：徐总站在甲方的角度，企业在数据安全合规层面，您希望选择怎样的服务商？
　　徐震天：从甲方的角度来看，数据安全处于不同阶段的企业，对服务商诉求是不一样的。
　　对于数据安全合规成熟度不是特别高的企业，往往先需要一个服务商，来提升数据安全合规的意识，并帮助企业建立一整套框架，包括组织机制、规范流程、工具使用等等。这类服务商可以是有数据安全咨询能力的专业机构，它们能提供这样的服务。在建立大框架后，先从中选择核心的、最有痛点同时也是与业务最相关的领域，把数据安全合规的治理启动起来，再去深耕。
　　对于发展到一定阶段的企业，它们在组织内部流程、工具使用、人员意识上都已经达到不错的水平，这时候往往需要解决非常细、非常具体的问题，比如说广告主如何合法合规地与媒体方共享数据？面对这类具体问题，它们更需要一个能落地的专业服务商来解决。
　　还有一些大型的集团企业，其本身的数据能力已经很强了，会更需要一个独立的第三方机构（作为见证人）来出具一些审计报告，能提供给用户或监管方。
　　曾巧：对于好的第三方供应商，有没有一些共性的提炼？
　　徐震天：我认为第三方的供应商一定要懂得甲方的业务，这是至关重要的一点。也就是说，你不能只懂数据安全、数据隐私，而要真正理解企业的业务。
　　第二点，希望服务商能帮助企业找到自己的弱点并解决。很多甲方也并不知道自己的痛点在哪里，作为服务商，如果能清晰地将这些痛点展示出来，协助甲方一起找到背后的问题根源所在，一起解决问题，会是更理想的服务商。
　　最后，希望服务商对企业、对项目会有ownership，既要有高大上的方法论，也要有可以落地解决实际问题的能力。
　　正如跨国消费品牌北亚区数据隐私官徐震天所说，企业不仅仅要创造利润，还有着积极承担社会责任的义务。在DT时代，数据安全合规值得每一家企业、每一个经营者重视并落实到行动，也值得每一位公民关注。
　　未来，StartDT及旗下奇点云、GrowingIO将继续坚守数据安全，不仅确保自身产品的自主可控、安全合规，更以先进可靠的数据技术帮助客户实现数据资产全链路安全，让数据在安全合规的跑道充分发挥其价值，支撑企业一同应对数智世界的挑战。