诸子云 | 活动：4.22深圳数据安全合规研讨会

本次线下会议由诸子云深圳分会主办。活动有幸邀请深圳数据交易所、深圳卓建律师事务所、太平保险、晨星资讯、传音、深圳矽递科技、慧泽保险、天虹数科、安克创新科技股份有限公司、联易融数科集团、宝能汽车、中国平安财产保险股份有限公司、腾讯安全、艾贝电商、雅乐居、集贤科技、长城证券股份有限公司、招商期货、平安科技、奇安信、顺丰、太平洋产险、小鹏汽车、金元证券、碧桂园物业、华润集团、普联技术有限公司、TCL、东呈酒店、红途科技、Kaamel等企业的安全专家共同参与。

卓建律师事务所魏安迪、深圳数据交易所陈一芊、平安科技丁克淦、TCL陈东、Kaamel蔺毅翀、红途科技李晓文等六位专家分别进行了分享。

《网络安全法》、《数据安全法》、《个人信息保护法》三部上位法都对数据出境的相关合规问题进行了非常严格的规定，去年开始《数据出境安全评估办法》、《个人信息保护认证实施规则》等一些比较具体的细则出台，也说明了数据出境的合规要求需要进行落地和实际操作。

数据出境比较典型的场景示例：境内企业在境外进行投资时，需要向境外转账大笔金额，因此会受到境外反洗钱的监管，企业需要解释这笔资金的合法性来源，并向监管提供相应的资料，这就会涉及到境内一些个人信息的出境；还有在香港的总公司需要收集大陆子公司的数据，也是比较典型的场景。

数据出境具体的合规要求，目前来说主要关注个人信息和重要数据。个人信息方面，首先是要得到个人信息主体的同意，其次在出境前需要进行个人信息保护影响评估，需要输出个人信息保护影响评估报告，保存期限是三年。除此之外，根据个人信息保护法，要在数据出境安全评估、个人信息保护认证、个人信息出境标准合同中择其一。重要数据方面，数据出境安全评估一定要做。

企业如果想要数据出境满足合规要求，首先要识别数据出境场景，重点关注四个模块，人力资源、系统产品、供应链/采购、国际交流合作。梳理完出境场景后，企业就需要根据自身情况看具体要履行哪些合规要求，比如是否是关基，是否需要处理重要信息等。

需要做数据出境安全评估的情况有几种，一是涉及到重要数据，二是关键基础设施运营者，三是看个人信息出境的数据量有多大。

企业数据出境首先要做数据出境安全风险评估，而数据出境安全评估比较重要的内容是提交数据出境自评估报告；如果企业不需要申报数据出境安全评估，可能会涉及到个人信息保护认证，依据是个人信息保护实施细则。

如果企业出境的场景是单次的，可以签署数据出境标准合同，流程是先进行个人信息保护影响评估，然后签署个人信息出境标准合同，最后在标准合同生效10个工作日内向所在地省级网信部门备案。最后，建议企业针对数据出境建立一个长效的数据跨境管控体系。

数据交易场所运营机构里，场内数据交易相关方分为两个部分，一个叫做数据交易主体，其包括数据卖方、买方和数据商，还有一个叫第三方服务机构，其为数据交易活动提供服务，包括律师事务所、安全检测机构等。

需要注意的是，按照深圳相关规定，数据商对数据的真实性和来源合法性负有责任，所以如果想要来场内交易，标的物不是自己所拥有的情况下（即提供保荐服务），建议上市前先对交易标的进行合规自查，其次是要和被代理方签好协议，明确相关责任，以降低自身风险。

交易标的主要分为数据产品、数据服务和数据工具；数据交易流程分为交易准备、交易磋商、交易合同签订、支付结算和争议处理。

数据交易相关的法律政策比较重要是的2022年底发布的“数据二十条”。“数据二十条”主要回应了三个问题，第一是“数据产权不清晰”的问题，国家的回应是要“建立保障权益、合规使用的数据产权制度”；第二是“相关立法不明确，数据难以合规流通”的问题，国家的回应是“建立合规高效、场内外结合的数据要素流通和交易制度”；第三是“数据交易缺乏激励”的问题，国家的回应是“建立体现效率、促进公平的数据要素收益分配制度”。

最后部分是场内数据交易合规审核的难点和解决思路。第一个难点是数据交易所的审核责任边界在哪里？从《数据安全法》来看，从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录；从《交易管理暂行办法》来看，交易所要审核交易准备环节买卖双方提供的信息。对交易所来说，未来发展趋势是以自动化审核代替人工审核，并且实行不同交易标的不同审核标准。

第二个难点，交易标的的合规评估标准是什么？针对数据交易合规评估标准不明确，入场交易成本高的问题，可以通过建立动态诚信合规体系，对数据商、律所、律师等主体实行动态评级预警，同时在推动落地场内数据合规评估标准、行刑衔接激励、动态协同监管等方面，实现交易成本降低，场内交易效率提升的目标。

第三个难点，谁来评？如何保证评估质量？为此，深圳数据交易所开展了场内数据交易合规师认证活动，鼓励更多对数据交易行业感兴趣的专业人士加入，通过交流、培训、考核，为市场培养一批新时代的数据交易合规人才。加入活动，不仅可以与行业专家一起交流，还能及时获取数据交易行业最新资讯、研究成果和合作机会。

全球隐私监管的态势越来越严格，TCL在面临这样的趋势时主要关注五个方向，非法处理、违反数据处理原则、违反安全、违反数据主体权利、违反通知义务。

外部客户明确提出了隐私保护要求，比如过分收集数据，消费者会拒绝使⽤该产品，比如消费者因顾虑隐私会停⽌使⽤产品，消费者认为企业应保护好其个⼈数据。此外，合作伙伴会要求提供隐私合规证明，客户会要求提供隐私合规说明，隐私也成为了进入市场的重要因素。

面临这些问题需要内外兼修，在内主要是要建组织、建流程、建平台，以支持整个数据的采集和内控管理；在外主要是提升隐私数据框架的成熟度、多做认证，以及提升外部感知⼒。主要体现在四个方面：透明可控、用户受益、安全保障、合法合规。

TCL隐私管理体系框架包括了12个工作域，保障了整个策略流程以及整个规程方案的整体落地，管理体系按照三五法则来做，其中，在流程上包含数据主体权利响应（DSR）流程、隐私事件响应（PIR）流程、隐私影响评估（{PIA）管理流程、第三方数据保护管理流程、个人数据跨境转移风险评估（TRA）管理流程。

TCL构建了SPbD安全隐私管理平台，通过整合TCL在软件研发安全领域多年积累的流程、⽅法、⼯具、知识库等经验，实现覆盖产品软件全⽣命周期的安全隐私⻛险控制，并且实现可量化管理，赋能项⽬团队实现⾼效可信的持续交付能⼒。

阿波罗计划里，TCL把整个对外隐私、感知力、行权往上放；中间整个软件层面，会把PIA的评估需求会落入到功能进行牵引，这样功能上就会产出各种安全的开发工作，再通过平台逐步做牵引，通过隐私评估平台做支撑；下层是平台线，能够保障好整个产品软件的安全隐私风险管理，对此进行统一整理的是泰坦风险管理平台。

TCL在采集数据时会在产品线添加感知、告知的功能，比如在用户体验改善和隐私协议上；采集好的数据会经过云上方案，TCL会根据相应的规则将数据脱敏，之后按照3+1+x的策略方案进行存储。

TCL获得的认证：

自2019年以来，TikTok在海外多个国家和地区受到了监管的问询和调查，在部分国家因为用户隐私保护问题甚至受到了监管的处罚，罚款主要聚焦在两点：儿童隐私保护和数据跨境。去年TikTok内审内控团队跨境使用了用户数据，其通过《华尔街日报》几名记者的IP信息关联内部给媒体爆料的员工，该数据跨境访问行为被媒体爆出后将其近几年构建用户信任的努力功亏一篑。这也是TikTok美国听证会的前因。

以TikTok为代表，中国本土企业想要出海可能面临的不仅仅是一个数据合规的问题，甚至还会牵扯到国家安全。而隐私合规问题在带来媒体关注的同时，企业也将面临更多的负面舆情风险。

企业在发展到一定规模，同时在隐私合规上投入大量人力物力之后仍然避免不了被海外监管部门处罚，究其原因是企业在国内经营的风格形成了企业做事惯性，即很多管理者会习惯性按国内的监管执法特点去衡量海外的监管环境，以致水土不服产生很大的误区和误判；其次，海外的监管机构，其执法逻辑区别于国内；最后是危机管理的区别，国内的处理方式一般是删帖、静默等冷处理，但这样的应对方式在国外往往只会适得其反。

从组织层级的角度来看，美国分为国家安全层面、联邦层面、州层面和集体诉讼。国家安全层面，首先是国会，国会没有管辖权、执法权，它的作用是推动立法，给监管机构施压；接着是CIFUS-财政部，在资本、企业投资并购方面具有管辖权，TikTok就是在收购musical.ly时未向CIFUS报备而被处处针对。

联邦层面最活跃的是FTC，其职能类似于国内的商务部，FTC有两大执法利器，一是FTC Act，主要关注消费者权益保护；二是COPPA，关注儿童隐私保护。在Facebook和Cambridge Analytica的数据分享案件中，Facebook 因不当处理用户数据被FTC处罚了50亿美金。另一备受关注的案件是EpicGames，EpicGames

海外隐私合规事件的发生逻辑和国内亦有差异。海外用户的隐私权保护意识相对较高，比如其在行使其权利请求时，若公司不及时回应，用户在感知其隐私权被侵犯时，用户会投诉到监管机构；同时海外也有专门的安全与隐私研究机构和个人，在识别到企业隐私合规问题时，会通过发帖的方式将发现的问题扑到社交媒体上；此外还有律师团体，当其发现企业有实质性侵害用户权益的证据时，就会发起集体诉讼。

当然，也有企业在遇到合规事件全身而退的案例，比如Zoom。2020年在外部安全研究机构曝出Zoom的安全合规问题时，Zoom的时任CEO Eric亲自下场发了公告，要求所有人在90天之内不发布任何新功能，而是只专注于解决安全合规问题，同时他们还引入了多名外部专家，持续改进其隐私合规实践，从多角度满足业务所在国家和地区的监管要求。时至今日，似乎已经没有人记得Zoom曾经也有过非常多的安全合规问题。

对于甲方而言，数据在这时代的重要性赋予了全新的使命，即除了要做好数据安全、数据合规外，国家安全也是大家需要关注的重点，因此数据隐私应当被看作是一项公共政策挑战，而不仅仅是一个信息安全问题。保护个人数据的目标和创建一个公平、和谐、公正的社会相关。

红途科技治理框架的最底层是数据，其包含两部分内容，数据的发现和数据分类分级；往上是安全，需要守护数据生命周期的安全并将风险左移；基于安全接下去是隐私，合规场景落地、合规自评估是其主要内容；最终无论是安全还是合规，企业品牌都是在铸造信任的能力。

在数据治理方面，红途基于数据的流转，可在应用侧做到全域数据的自动发现，同时能够对非结构化的数据进行梳理。此外，通过半自动化加人工的方式，可以识别页面上的数字，还可以把数据的标识和分类分级送到后台，帮助分析已经标识的数据到底是怎么流转的。

在暴露面方面，基于红途全链路的能力，可以看到内外部用户访问了什么样的应用，调用了什么样的接口或服务访问到了后台的数据库，这样就可以梳理出相应的应用服务接口和组件。

风险左移方面，对数据进行了相应的梳理，对数据的暴露面做了相应的识别，在评估了脆弱性，通过内置的引擎和大量级数据做的自定义规则后，就可以判定是内部违规事件，还是外部攻击事件。

隐私合规方面，在对数据进行了分类分级之后，可以清晰地知道其到底是支撑个人信息，还是重要数据，还是业务数据，这些数据都在哪里？什么类型？什么量？何时被谁使用？如何流转？都能真正支撑到相应合规场景的落地。

数据出境方面，主要针对国内数据出境到国外，包含量级、数据类型的识别，红途都能给这些合规场景在落地时提供相应的支撑。除此之外，红途科技创新能力包含数据流转链路、数据资产管理、风险管理，以及合规自评估表单。

问题一：监管机构、行业都颁布过各种各样的标准，民间组织能否多添一份力？

答：去年年底深圳交易所做了一个数据安全合规评估办法这样的团体标准，是目前国内首部关于数据合规的一个标准，企业可以拿到这套标准，可以自己进行审计，也可以聘请第三方按照标准来进行审计；其次，深圳数据交易所已经申请了深圳市地方性场内数据交易合规评估标准，未来通过实践会将其推向国标；还有数据经纪人标准会在4月29号进行启动仪式。

问题二：对于企业要不要成立一个专门的监管对接部门，大家有什么建议？

答：相对比较好的模式应该是安排专人对接监管部门，此人可能不负责具体的事项，但一定要搞清楚谁是谁，来干什么的，因为监管体系很复杂，省、市、地方，因此具体的这些事情要有相应的管道，要有人能控制住具体的时间和方寸，而如果长期不维护的话，可能会受影响。

答二：对接政府部门最好通过pr的团队去处理，不要直接对接技术，因为技术的话术并不能直接反映情况；另外在处理海外业务时，需要专门的客服去回应，比如法务部门派出的就比较好，因为技术容易陷入中文翻译的困境，同时法务在打交道的理解思维上比技术更好；对接监管部门最好还是做成内部的应急机制，安排专门的管道、通道在必要时对接。

答三：平安集团在对接监管单位时会由科技会牵头，不管是监管报送的数据，还是客户的投诉信息，最终都会汇总到科技会，因为很多时候要去解决问题，或者去找出问题的原因，需要多个团队跨部门协作，因此由统一的科技会来组织推动和落实这些事情最好。

问题三：从安全这条线转到数据合规，其整个发展前景如何？

答：从网络空间安全人才，到数据安全人才，以后可能还有隐私合规人才，这种种tittle就好像一个个谜团，而其实呢，安全本来就是一个小众的圈子，所以叫合规也行，叫安全也行，叫隐私保护也行，叫渗透测试也行，没必要为了其中某个区域的划分而特地另起轨道。

答二：技术转合规很难。当下大多数专职于合规的，要么是以前监管单位过来的，他们本身就熟悉政府语言，要么是具备大量甲方实践经验的，这部分人最适合做监管机构和甲方之间的补充。而其实呢，数据安全和合规到最后还是数据问题，把数据搞清楚了，这大概率还是一个技术活，它的核心是技术，所以技术出身的人转数据合规，要知道数据是怎么回事儿。这样，随着行业发展，这些技术人员的价值会越来越大，个人觉得做技术的人以后在数据安全和隐私合规方面会有良好的发展前途。

答三：做到数据安全后发现，数据其实天然具备业务属性，因此安全人员想做好数据安全就要尽可能的接近业务、理解业务。比如用数，我们要想到用户到底是怎么用数据的，数据的标识是什么，分类分级是什么，这是对安全人员从业生涯的一种扩展，即真正把安全做到数据和业务里。

答四：想做好数据合规，至少要具备三方面的能力。一是了解法律法规，国内国外都要了解；第二是技术必不可少；第三是要懂业务，业务流、数据流都要掌握。数据合规是一个很大的蓝海，现在正缺这样综合性的人才，就是在某一领域擅长，其他领域知晓基础内容的人才。

答五：从最开始对数据有监管报送的要求，到之后的数据资产化，到现在的安全合规，其之后的前景很难讲，但数据的重要性一定会被发掘起来。从数据层层面本身来讲，它是一个中间状态，其底层是技术平台的支撑，上方是业务的支撑，数据层属于中间环节，因为原来可能关注的是业务层的内容，现在就需要下传到技术层。

从人员的发展来讲，技术往业务的过度是一个很好的机会，原来数据层面的人才可以往上发展，比如向管理、业务层面再去做更多的了解，知道数据到底是怎么被用的，以及会面临哪一些数据安全合规的问题，这是对工作前景规划一种较好的手段。

活动相关资料欢迎大家在知识星球下载~