个保法3周年 | 当下入局数据合规是逆风翻盘还是高位站岗？

数据合规近年来已然成为了法律界执业的“香饽饽”，不谈数据合规就如同吃海鲜不剥壳，无论是真懂、装懂还是懂王，多多少少都要评上两句。本期我们邀请了两位数据合规界的博主，从他们入行故事说起，系统全面且高屋建瓴地解答了常见的问题和困惑：数据合规是什么、在做什么？其保护的核心利益是什么？相较于其他业务领域，这是否是一条避开内卷弯道超车的赛道？如何入局数据合规及人工智能？

何老师：企业法务，公众号“数据何规”主理人，拥有超2万的关注者。

兔子老师：数据合规律师，知名公众号“新江湾的周日”主理人，DLaw Hub数据法知识库创始人，该数据库聚集了30多位内容贡献者，且吸引了上万用户浏览。

王木木：现役合规律师。要疯不疯，努力进化中。

君君君宝宝：前诉讼律师，已转业法务。疯度看心情，努力不退化。

小宇宙 | 苹果播客（Podcasts） | 喜马拉雅 | 网易云 | QQ音乐 | 荔枝

Part 1 两位嘉宾的入行故事

何老师：正反馈让我坚持下来。有时候，一个陌生读者直接打赏100块钱，甚至有时候查看打赏者的信息，发现对方是某律所的合伙人，这种感觉非常好。我的公众号下面有广告位，滑过有几分钱，点进去有几块钱，每个月我大概有几十块钱的收入，虽然不多，但这证明了我的内容有一定的价值。通过这个公众号，我还可以跨越年龄的限制，认识一些比较资深的人士，有些问题我真的搞不懂时，可以向他们请教，他们也很乐意与我分享。总的来说，这一切归结为三个字：正反馈。

兔子老师：我也同意这一点，而且数据合规这个领域前辈较少，所以晚辈发声的机会更多，也能获得及时的反馈。我记得很清楚，2022年我首次将知识库上线，发了一篇公众号文章。那天我刚刚落地北京，中午吃饭时发布了文章，吃完饭一看，微信消息爆炸了。那天直接加了五十个人为好友，有学校的博士，也有律所的合伙人，那种成就感非常强烈。

通过这个平台，我们还能做很多事情。比如创建知识库平台、为DLaw Hub搭建网站、撰写各种报告、整理知识等。我希望能通过这个平台做一些与众不同的事情。比如我们之前做的APP监管统计表格，很多律师告诉我，那个表格对他们太有用了。他们可以直接拿表格中的数据为客户做分析，效果非常好。虽然长期维护这个表格很耗费人力，但我至少为大家提供了一个样本，有兴趣的人可以继续往下做。

今年上半年，我们还发布了一份关于中国网络领域行政执法处罚的报告，详细梳理了全国范围内的处罚案例。当时还请了很多学者帮我写推荐语。报告发布后，很多地方的网信办或通信管理局的老师直接联系我，说报告写得很好，询问是否可以用于内部培训或合作项目。虽然那个项目后来不了了之，但那些反馈让我这个初出茅庐的年轻人感受到与外界广泛连结的喜悦。

实际上，很多人问我，DLaw Hub这个平台将来会不会商业化。我暂时没有这个打算，我认为这个平台现在这样挺好，可以继续运行下去。它不仅为我聚集了许多有共同兴趣的小伙伴，大家周末还可以一起吃喝聊天，我觉得这样挺快乐的。

Part 2 数据合规的前世今生

兔子老师：一方面是因为这个领域很新，在这样的大环境下，它可以容纳很多新入行的同学，包括一些想要换赛道的法律从业者。另一方面，有很多营销号，我印象很深的是经常能看到很多公众号发布某某行业现在爆火、急需人才的消息，这可能会引导大家往这个行业走。

随着技术的发展，数据在整个生产和技术行业中占据了越来越重要的地位。几年前我们谈论的是大数据模型和个人化推荐，而现在讨论的是生成式AI，这些技术都需要大量的数据支持。当大量数据被引入时，必然会引发各种问题，这也带动了数据合规领域的兴起。

何老师：我比较崇拜的一位老师曾经说过，如果我们和那些前辈争论“意思表示”，可能一辈子都争不过他们，因为他们已经积累了数十年的经验。但数据合规的新规出台得太快了，大家都是第一时间接收到这些信息，我们可以有自己的解读，不会有人说十年前的情况如何，因为十年前还没有这个领域。所以，我认为这是一个优势。

此外，这个领域与国家安全密切相关。例如，之前的滴滴、知网事件受到了严厉处罚。因此，大家还是会关注这类话题。前不久，网络安全协会宣布建议对英特尔进行网络安全审查，这引起了广泛关注，因为这不仅仅涉及法律问题，还与人们的科技生活紧密相连。

何老师：在国外并没有“数据合规”这个概念，更多被称为数据保护（Data Protection）或隐私保护（Privacy Protection）。在我看来，在大陆语境下，数据合规就等同于个人信息保护。因为数据合规领域中，大约80%的合规义务来自《个人信息保护法》。虽然《数据安全法》《网络安全法》也有数据分类分级、网络安全审查等方面的规定，但我认为这些只占一小部分。现在数据合规律师的大部分工作都是由《个人信息保护法》条文衍生出来的，这是我个人的理解。

数据和个人信息之间有着明确的联系。根据《数据安全法》和《个人信息保护的》的定义可推导，个人信息其实就是与已识别或者可识别的自然人有关的数据。数据安全和网络安全更多是由IT侧的同事负责，如进行网络安全等级保护评估、防渗透测试及上线前的压力测试等，这些都是偏向技术层面的工作。而个人信息保护则更多涉及告知文本的制定、用户界面（UI）设计等内容，这些方面法律背景的人可以更多地参与。

兔子老师：我非常赞同何老师的观点，无论是在国内还是在欧盟，数据合规的重点实际上是放在个人信息保护上。个人信息保护和网络安全、数据安全的区别在于，虽然它们本质上都是合规的一部分，但侧重点不同。个人信息保护的核心是保护个人信息主体的合法权益，这意味着它离我们更近一些，比如手机APP中的合规条款、注册账号时的弹窗提示，以及进出小区或校园时的人脸识别闸口设置等问题。相比之下，网络安全和数据安全更偏向于企业层面。它们更多关注的是企业的数据资产或网络系统的安全性，以及如何应对数据泄露事件、进行数据分类分级等问题。换句话说，网络安全和数据安全主要处理的是企业内部数据的安全管理和应急响应。

兔子老师：我们团队主要做数据合规，业务划分也比较细致。如果从整体业务模块来看，我认为数据合规可以分为几大类。首先是企业内部的数据管理，包括合规体系的搭建和内部管理制度。其次是对外的部分，如APP或网站的隐私政策以及用户界面（UI）设计。第三块是比较专项的事务，比如数据跨境问题，以及今年比较火热的算法备案或算法合规。另一块近年来值得关注的业务是出海，即帮助中国企业符合国外的数据合规要求，并解决企业在出海过程中遇到的相关数据合规问题。

何老师：数据合规工作有四大块。

一是制度体系的搭建，即将外部法规转化为内部操作流程，明确谁来做以及如何做，这是制度体系的搭建。

二是APP合规，这是持续监管的重点。工信部、网信办以及公安部其下属的机构经常会通报违规情况。尽管这些违规行为并不严重，但一旦被通报，影响很大，尤其是国家病毒中心的通报，通常会被新华社转发。此外，各个安卓应用商店的审核也非常严格，直接决定应用是否能上架。如今大部分业务都是在线展开，这对企业来说是一个重要环节。包括支付宝和微信小程序，这些都是企业重要的业务拓展途径，因此这一块也很重要。

三是监管审批，正如兔子老师所说，还有与监管部门打交道的部分，比如数据出境、网络安全审查或算法备案等。

四是业务相关的数据合规，而对于企业来说，最重要是与主营业务相关的数据合规事务。说得更直白一点，业务部门想要共享或获取个人信息时，就需要考虑数据合规问题。例如，产品管理人委托代销机构销售金融产品，尽管代销是一个正常业务开展行为，但这也涉及了个人信息的传输，那么这属于委托处理还是对外提供，就需要相关的人员基于对业务的了解作判断。

兔子老师：我们没有欧盟或美国Bar，我们很难单独给出国外的意见。但从我个人的角度来看，中国律师在企业出海，尤其是在数据合规方面，实际上发挥着重要作用。中国律师主要充当了“翻译者”的角色，这个翻译包括两个方面：一是帮助企业进行语言上的翻译；二是帮助企业进行数据合规法律思维的翻译。

为什么这么说呢？我们的很多客户，虽然规模较大，但他们的法务部门并没有专门的数据合规法务，或者即使有，他们对国外的数据合规思维和逻辑可能并不十分了解。虽然欧盟有GDPR，中国有《个人信息保护法》，韩国和日本也有各自的个人信息保护法规，但每个国家的数据保护出发点和监管逻辑都有所不同。因此，中国的数据合规律师需要融合并了解各国的数据合规逻辑，确保双方的沟通保持在同一频道上。这样可以在合规项目的落地过程中更加顺畅。比如，欧盟律师提出的很多要点，我们需要将其转化为国内法务人员能够理解的语言，同时也要将国内客户的需求转化为欧盟律师常用的表达方式。总的来说，这就是一种拉通对齐的感觉。

何老师：我们在很大程度上借鉴了欧盟的GDPR。在《个人信息保护法》出台后，相关的解释文件还不多。但欧盟的颗粒度非常细，有各种机构如EDPB发布的指南。例如，欧盟定义了控制者和处理者，而在我们这边可能是处理者和受托处理者。在界定这两种身份的关系时，我们可以参考一些欧盟指南。虽然细节上有所不同，但背后的逻辑是一致的，因此有许多可以参考的地方。

另外，欧盟那边的执法力度很强，罚款金额往往很高，因此引起了广泛关注。正如前面所说，现在许多企业在出海时面临的风险较高，一旦被罚，会引起很大的舆论反响。因此，大家都有一种唇亡齿寒的感觉。

兔子老师：正如何老师所说，欧盟的立法较早，早在1995年就有了95指令，GDPR也在2016年出台，而我国的《个人信息保护法》直到2021年才出台。因此，可以说我国的数据保护仍处于初级阶段，许多概念性的东西需要借鉴欧盟的经验来解释和分析。在实务中，我们看到很多监管部门也乐于接受域外的经验。虽然我国的数据法刚开始发展，但它的成长轨迹与欧盟已有本质上的不同。表面上看起来类似，但实际上已有所区别。因此，除了基础概念可以借鉴外，在具体制度发展上，我们还需要根据国情作出调整。

何老师：这一点很重要，我国更重视国家安全，而欧盟更注重人权保护。在思考问题时，考虑到背后保护的核心利益，往往能找到解决问题的答案。

兔子老师：每个国家的国情不同，面临的问题和挑战也不一样。法律并非孤立存在，它与整个社会的大环境息息相关。因此，在研究欧盟时，不论是律师还是学者，都会采取一种清晰的态度，即有些东西可以借鉴，但在面对实际问题时，要有自己的视角来解决问题。不只是中国，即便在欧盟，最近的立法逻辑也在从单纯的个人权益保护转向整个安全框架。每个国家都会根据自身的转型、不同的政策或工具来进行权益的考量。

何老师/兔子老师：欧盟的立法虽然细致，但也受到不少批评。因为GDPR规定过于严格，有学者测算过，这导致欧盟在互联网领域的企业难以发展。包括最近的情况也是如此，欧盟在AI几乎没有取得成果，而大多数成功的都是美国的公司。也有一些美国学者认为，GDPR成为欧盟向美国大型互联网公司合法收取数字税的一种手段。

何老师：数据合规与其他领域不同的一点是，如果你做诉讼，事情一般仅限于律师与法务之间。但如果是数据合规的事情，律师与法务碰面后，很多事情最终需要技术来实现。法规的解读只是其中一小部分，更重要的是如何在公司内部推动大家落实这些规定。它需要多个部门的合作，包括IT部门、人力资源部门、财务部门和产品部门等，很多需求需要由业务部门提出。

通常像IPO或者破产，可以通过增加人力来扩大业务规模。但我认识的很多律师说，他们做得很辛苦，无法通过增加人力来解决问题。大部分工作是非标准化的。比如，一家外资企业，本地IT人员只有运维权限，开发都在国外，每个企业的情况不同，很难有一套标准化的解决方案。

兔子老师：确实，数据合规的个性化程度更高。虽然我们有时会有一些制度或文件的模板，但并不能直接使用。如果真想把合规做到位，还需要与各部门沟通，对企业进行详细的尽职调查，了解其数据处理情况，然后为其量身定制数据合规方案。

此外，数据合规因其新颖性，很多问题没有标准答案。一个问题出来，并不是说堆几个人就能解决。即使有十几个人，但如果大家想不到办法，也找不到答案。因此，更强调律师在缺乏参考标准的情况下，如何想出解决问题的能力。

何老师：在这个领域，大家还是比较乐于分享的。因为尽管来自不同行业，但有相似的困惑。例如，HR系统的处理问题，任何企业都可能遇到。因此，大家更愿意分享经验和解决方案。并且，由于没有那么多既得利益者不愿意分享，这个领域显得更为开放。还有一些技术人员愿意参与，有些技术老师更纯粹，会告诉你哪些信息很重要。刚开始做时，如果内部搞不清楚问题，我会找其他懂技术的老师请教。

兔子老师：像何老师这样，一开始就尝试共享交流，导致我们现在这个领域的交流氛围较好。

何老师：合规类的工作是一个纯成本项，因为数据合规只是企业合规的一部分，近几年新增的要求导致合规成本激增，法务团队资源不足。比如，有人问我某个信息应解读为一般个人信息还是敏感个人信息？如果是敏感个人信息，可能需要加密等措施。我刚开始说我理解这是敏感个人信息。业务老师告诉我，这句话会带来很高的成本。我说那我收回，这只是我个人的理解，我们也可以把它理解为一般个人信息。因为企业首要目标是生存，完全合规压力很大。所以我常说“差不多得了”。

兔子老师：我们可以说得更委婉一些，你想让合规达到多少分？我们通常根据客户的类型、业态和需求来判断。比如初创企业，规模小，被处罚的风险较低，合规可以先做到1.0版本，达到65分即可。随着业务增长，逐步提升合规水平。对于那些头部企业，因为是监管重点对象，我们建议合规水平要达到95分，80分都不够，因为80分可能会被监管轻易找到处罚的理由。因此，量力而行很重要。

何老师：我还可以补充一点，即使在互联网行业内，不同性质的平台对隐私保护的投入也可能与其产品形态有关。例如，苹果和华为这样的硬件厂商，可能会非常注意收缩各个APP获取信息的权限，因为这可以成为产品的卖点。苹果的隐私保护做得很好，已成为其产品的一大特色。而在软件端，对于APP来说，获取的信息越多，商业价值越大。因此，这种情况非常微妙。

兔子老师：赚不赚钱，这个问题不好评价，因为市场观察下来呈现明显的二八分化。顶尖的知名律师，被业务或项目追着跑，确实很赚钱。但我也注意到，很多年轻律师独立后做数据合规项目，发现这些项目其实养不活自己，他们可能需要做很多其他业务，每年只做一两个数据项目。

前几天和一个朋友聊过，他也提到目前数据合规的需求90%集中在北上广，其他的新一线城市几乎没有相关企业有这种需求。即使有需求，这些企业也会找北上广的律师。所以，如果你想做数据合规，或者想把它作为主业，地域限制非常明显。其次，在北上广的团队中，真正能够将重心放在数据合规上的团队屈指可数。因此，数据合规之所以出现这种情况，是因为并不是所有企业都有足够的资源或需求去做这个事情。

何老师：想做数据合规的企业通常是规模较大的企业。因此，只有有钱的企业才会做，小企业谁来做呢？这就决定了，与传统的诉讼业务不同，独立律师可能能接到很多个人案子，但对于大企业的数据合规业务来说，个人律师可能连入库资格都没有。

另一个原因是，为什么律所会有这么多业务？其实正如我所说，大部分企业不可能专门雇佣一个人来做数据合规，所以可能一个人需要负责多项事务，数据合规只是其中一小部分。这就决定了企业可能需要一个能帮忙完成大量工作的外部律师，而内部法务负责一些内部沟通、落地工作。

何老师：刚刚说的这些是从合伙人的视角来看的。对于年轻人来说，无论是哪个领域，累还是累，该被剥削还是被剥削。如果你是从打工人视角来看，一个数据合规律师和其他非诉律师本质上没有区别，都是团队氛围。

我和兔子老师都对这个领域感兴趣，如果不是这样，也不会花这么多休息时间来弄这些。如果只是觉得这是一个机会，功利性地学习一段时间进入这个领域，那肯定比不过我们。因此，兴趣可能比领域本身更重要。

王木木：在过去三四年里，数据合规被广泛讨论，很多学弟学妹会问数据合规领域怎么样，值不值得进入？他们基本上是从功利的视角来看待这个问题，给人一种从一个围城跳到另一个围城的感觉。他们可能认为数据合规和其他如IPO、PE/VC等快速发展的业务不同，不会那么累，也有很多机会。所以他们很想进入这个领域。但我一直建议，最好先找一个团队实习一下。实际情况可能和你想象的不一样，做起来不一定那么有趣，甚至可能很枯燥，而且有可能很累。正如小何老师所说，兴趣很重要，这一点我非常认同。

君君宝：确实，很多人觉得数据合规是一个更清闲的工作，其实也是抱着一种想赚快钱的心理。这就像我们最近的股市，大家看到指数上涨就全冲进去了，结果成了新的韭菜。

兔子老师：我们可以揭露一下数据合规领域的黑暗面。其实最大的问题在于学习成本和压力非常高。我们团队的每位律师每天都非常紧张，尤其是周五。网信办通常会在周五下午五点半或六点发布重要的规范，这意味着你周五下班后要开始学习和解读这些规范，以便在周一给客户提供反馈意见。而且，这种频率不是每月一次，而可能是每两周一次，甚至每周都有新的学习任务。所以，基本上做数据合规，你要做好每周备战高考的准备。

此外，由于整个法律领域较新，规范非常分散。当你学习时，需要学习很多内容，而且很难找到一个完整的体系，你可能需要自学。很多同学会感到学习成本和压力很大，有很多专有名词需要理解和掌握。

何老师：而且很多规则散落在不同的法规中。例如， 隐私政策“易于访问”，业务部门会问这是什么意思，你需要告诉他们在《App违法违规收集使用个人信息行为认定方法》中，易于访问指的是进入APP主界面后点击四次内即可到达。还有《网数条例》第二十二条“不能频繁征求同意”，业务部门会问频繁是什么意思，你需要告诉根据《信息安全 移动互联网应用程序（App）收集用户个人信息基本要求（GB/T 41391—2022）》“频繁”的形式包括但不限于：1) 单个场景在用户拒绝授权后，48h 内弹窗提示用户打开权限的次数超过1 次；2) 每当用户重新打开App 或使用无关的业务功能时，都会再次向用户索要授权或提示用户缺少相关授权。你需要花很多时间去投入，去学习。

我还想说一点，2021年、2022年和2023年，数据合规领域的岗位机会较多。当时大家都很重视，但现在这波热潮已经过去，那些抓住机会的人已经得到了回报。现在这个领域已经像股市一样，回归基本的市场水平。所以如果你现在冲着这个领域进来，等你学出来再有几年经验时，可能和其他传统领域没有太大区别。当然，除非你本科是学计算机的，那样在和IT老师讨论时会更有优势。（画外音：本科学计算机的为什么转行呢？为什么不直接写代码呢？做码农赚钱啊！）

何老师：出海的岗位也确实有，但是他们现在招的是有三年数据合规经验的人，希望来了就能直接上手。如果想做这块，我觉得你需要考取一些证书，比如CIPP/E、CIPP/US等。这些证书可能在每个职位描述中都会提到，最好还能有国外的律师资格。但如果你都有这些，那你干什么不行呢？

兔子老师：这个领域现在已经有很多参与者，大家都在拼命寻找出路。所以，你说现在出海是不是一个好的机会？中国企业在海外面临的数据合规挑战很多，需求量很大，但同时也需要能直接上手的人。现在国内有很多数据合规的人才，正好可以填补这些空缺。所以，如果你现在专门去学新加坡的法律、美国的法律或欧盟法律，是否等你学成归来就能学有所成呢？只能说，可能不一定。

何老师：我觉得这里面有一个很棘手的问题。基于个人兴趣，我会关注一些境外法规和案例，但因为没有业务部门来挑战你，不停问你问题，如果没有实际应用场景，你学的东西会显得比较空洞。因为数据合规是一个非常落地的东西，所以我在这方面有些困扰。

兔子老师：我可以拿我们之前的一个项目经验来分享。我们团队很早就关注GDPR、美国各州的法律以及《健康保险便携性和责任法案》(HIPAA) 等法规。我们每年还会给复旦大学的研究生讲课，自认为对这方面比较了解。然而，当我们真正着手帮助一家中国企业应对海外监管挑战时，才发现之前学到的只是皮毛。当你把这些规则放在当地的实践中时，你会发现要解决的问题太多了。

欧盟的好处在于EDPB（欧洲数据保护委员会）有很多可供参考的指南，并且监管机构会回复邮件。你可以以一种较为开放的态度与监管机构通过邮件沟通。即使他们很忙，也会告诉你何时能回复，而不是完全不理睬你。

何老师：相比在国内打电话咨询，这种确定性要高得多。他们敢于书面回复，这是非常值得尊敬的做法。不像在国内，今天一个老师给的口径，明天换了另一个人可能又是另一种说法，确定性差很多。

兔子老师：在项目中，我确实很有感触，就是同一个问题去问不同地方的监管部门，得出的口径可以说是天差地别。有些网信办可能会大开绿灯说没问题，可以做；但有些网信办却卡得非常严，甚至在法律文字上有细微差别，他们就觉得不合规。这也回到之前的话题，在这种情况下，你会发现，当你真正去实践、去给方案时，还有很多东西需要学习。

兔子老师：两年后我可能会被取代，这是一个非常现实的问题。官方的说法是，法律人能以法律的视角提供不一样的服务，但切身体会是，尤其在数据合规领域，与我们竞争的不一定是律所，可能是咨询机构、科技公司甚至是法律科技公司。之前和一个朋友聊天，他给我展示了一个Demo，能在一些项目上替代我50%的工作内容，效果还不错。在那一刻，我问自己，我还能活下去吗？

谈到核心竞争力，只能说必须不断学习。外界环境迫使你这样做，你需要跟随法律法规、监管乃至整个世界的潮流变化。因此，我们会发现很多律师从今年开始专门研究人工智能员工，研究AI合规。同样，很多律师也开始从零研究GDPR，研究海外监管政策。这说明大家都在一个非常火热的学习氛围中。

何老师：从企业的角度来看，关键是谁支付聘请中介机构的费用。如果是法务部门，他们可能会找熟悉的律师；如果是IT部门，他们可能之前合作过的等保机构或帮助进行数据分类分级的机构会优先考虑。当然，对于外资企业，他们可能与四大（会计师事务所）有良好的合作关系，也会倾向于咨询这些机构。那么，律师的价值是什么呢？你如果不做具体的落地工作，你的价值其实还是要回归本行，即对法规的理解。其他机构如理工科或商科背景的机构，在某些情况下不敢独自做出决策，不确定是否需要找网信办。有时，技术部门比我们还要谨慎。例如，3月22日网信办发布了跨境新规，明确了某些情况下无需进行前置审批。但技术背景的老师可能不敢得出这个结论。如果有一个外部律师很确定地告诉你，根据法律依据，这是可行的，并且已经和监管确认过，这时候律师的价值就体现出来了。

兔子老师：另外因为很多答案是非现成的或非公开的，所以你可能需要亲自打电话给每一位监管老师，从他们口中了解他们的态度。各地口径不同，你可能需要拨打数十通电话，才能总结出监管老师的思路，并尝试带入他们的话语体系进行沟通。

何老师：只要监管罚单还在，这个业务肯定会一直存在，而且罚得越多，业务可能越好。

兔子老师：确实，我们可以看看国外的情况，比如欧洲律师已经在这个领域做了十多年，仍然可以继续做下去。我们观察到，与我们合作的一些欧洲律师，他们的业务也很稳定，生活得也不错。

这个问题我之前也问过一位红圈所的前辈，他是比较乐观的。他认为我们现在看到的竞争非常激烈，其他机构和律所也在参与竞争，律所在此过程中很难体现自己的独特价值。他觉得这一切的原因在于，我们现在整个行业或市场还处于初期的混沌阶段。他说，随着法律体系的完善，监管也会从政策视角转向法律监管视角。届时，对法律的理解和法条的解读的价值会愈发明显。未来，当行业规则更加清晰时，律师的价值将会更加凸显。包括现在有很多法律规定是强制义务，但在实际执行过程中，并没有得到企业的足够重视，监管也尚未开始严格管理。这些方面也是未来可能的发展方向之一。

Part 3 数据合规的入门指南

何老师：关于如何入手数据合规，可以看这篇：，最重要的就是阅读《个人信息保护法》的法条。如果看不懂法条，可以查看全国人大常委会法制工作委员会（法工委）的释义。如果法工委的释义未提及，则可以查阅人民法院出版社的释义，即最高法院出版的释义。接着可以参考程啸老师的释义。如果能把这三本书看完，基本上面试时不会有太大问题。所以现在很多所谓的从业者来问我问题时，我会直接把这几本书推荐给他们，意思是你先多看看书。

在国内，不需要参加特定的考试，如果你只想做国内业务的话。但如果你考虑国际业务，可以考虑IAPP（国际隐私专业人员协会）提供的CIPP/E（认证信息隐私专家 - 欧盟）和CIPP/US（认证信息隐私专家 - 美国）认证。这两个证书在国内求职时出现的概率非常高，但并不是必需的。这两个证书更大的用处在于，它们提供了非常好的教材，通过阅读这两本书，你可以大致理解50%-60%的内容，帮助建立知识架构。

何老师：技术背景或计算机专业知识肯定是一个加分项。因为你会经常与程序员打交道，当他们说做不了时，你需要有能力说能做。此外，产品思维也很重要，即能够共情产品经理。例如，在APP合规领域，如果你要跳转到第三方网站，监管要求明确告知用户将前往第三方网页。通常会弹出一个窗口，但产品经理非常不喜欢弹窗，因为这可能导致30%的流量损失。此时，如果能提出替代方案，如在页面上加一个提示横幅，既满足了合规要求，又避免了弹窗，那么各方可可能都会接受，尽管实现会麻烦一些。

兔子老师：具备计算机背景或相关技术背景的另一个好处是，你对相关概念的理解成本更低，更容易上手。例如，在处理APP中的SDK和API等问题时，如果你是纯文科背景，可能需要花费更多时间来理解这些概念。

何老师：不过，我想补充一点，这些知识并不一定需要技术背景。现在有了Chat GPT等工具，很多东西可以现查。如果还是看不懂，可以请求举例说明。只要你有学习意愿，现在有很多方便的方法，包括反复请教AI确认某些说法是否准确。大大降低了理解难度，学会使用这些工具非常重要。

此外，我认为在某些新业务的思考过程中，如果你具备产品思维，更容易与业务人员或技术人员达成共识，沟通也会更加顺畅。

何老师：在技术方面，也有证书CIPT（Certified Information Privacy Technologist）是一个偏向技术方向的认证，还有CISA（Certified Information Systems Auditor）等信息安全审计方面的认证，但这些认证难度更大。除此之外，产品相关的知识也有所帮助。关于法规落地细节，如跳转次数或弹窗等问题，可以查看国家、行业标准，标准中有详细的规定，但前提是你得找到正确的标准。但这些标准通常需要付费下载，不能免费获取。

兔子老师：首先，你得先问自己，你是不是真的想做数据合规，这一点非常重要。因为这个行业有很多辛苦和琐碎的工作。如果你确定想做数据合规，那么无论是公司法务还是律师团队，都是不错的选择。从个人经验来看，律所团队风格差异非常大，选择一个好的老板或平台很重要。因为现在数据合规业务范围很广，不同的老板可能侧重点不同。有的可能侧重于出海，有的可能侧重于APP合规，有的可能侧重于数据资产管理。因此，在选择团队前，建议先做一个简单的调研。

何老师：如果你选择做律师，那么你的老板是非常重要的因素。一方面要看他的业务能力，另一方面更重要的是他的人品，这会直接影响你的工作体验。从律所和法务的比较视角来看，在律所，你的客户来自各行各业，既有境内的也有境外的企业，所以你会接触到各种机会，这是律所的优势之一。

在企业内部，你会与技术部门、产品部门等打交道，包括职能部门如HR、财务等。因此，沟通能力非常重要，你的视角也会不同。你不能只说合规就要做，而是要考虑实际情况。

从行业角度来看，选择重视数据合规的行业很重要。例如，互联网大厂通常非常重视数据合规，因为互联网本身就是数据驱动的。车联网也是一个类似的例子。医药行业由于涉及人类遗传资源和个人健康信息，因此对数据合规要求较高。金融行业同样如此，因为资金信息非常重要。

如果你在一个传统制造业工作，尤其是不面向消费者的企业，那么重视程度可能会低一些。相比之下，外资企业通常比内资企业更加重视数据合规，因为他们可能在全球范围内有更成熟的数据管理体系。在内资企业工作时，你可能需要搭建整个框架，各有各的体验。

兔子老师：此外，游戏行业也对数据合规非常敏感，尤其是未成年人保护这一块，国内外都非常重视。现在很多处罚案件都是因为未成年人保护而引发的。

兔子老师：如果你想要了解AI，有一个非常好的知识库叫做The Way to AI，这是一个飞书知识库，汇总了市面上有价值的AI资讯和信息。虽然这个库的内容比较分散，有一定的学习成本，但它是一个很好的入门资源。

还有一些科普书籍，但在这个方面我不太了解，因为我主要是通过观看B站视频来学习。B站上有许多关于AI的介绍和讲解视频，还有一些国外的科技视频，我也从中学习了不少。

如果你想要学习AI监管和合规，这就像是一个无底洞。目前，无论是在国内还是国外，都没有一本很好的书籍来讲解AI合规，因为监管者自己也在摸索如何管理AI。但是，如果你想学习这块内容，我建议你从法条开始，如《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》、《生成式人工智能服务管理暂行办法》还有《人工智能生成合成内容标识办法（征求意见稿）》及配套强制国标，这些法规是很好的学习材料，我们的知识库也有相应的解释。对于国外的内容，可以重点关注欧盟的人工智能法案（AI Act），但这份文件长达四百多页，内容非常丰富。

何老师：我个人认为，作为一名法律工作者，如果你想涉足AI业务，最重要的是自己使用这些工具。如果有条件的话，可以尝试自己制作一些AI工具。通过实际操作，你会遇到许多常见问题。例如，我之前整理了一些推送内容，并将它们输入到AI客服系统中，设置其仅基于我的推送回答问题。这种方式效果不错，而且通过这种方式，你会对一些技术概念有更深的了解。

文章：

DLaw Hub知识库官网：http://www.dlawhub.com/

公众号：“数据何规”“DLaw Hub 知识库”“新江湾的周日”