第一页上面的案例会在后面给大家做具体介绍，因为每个案例的发生会引申出一个监管动态，那么企业要做的就是将这些监管动态的要点和趋势抓取出来，结合到制定公司内部的合规制度中。

今天我介绍的内容主要包括四个方面。第一、基于国内的法律，企业如何去建立一个合规路径，如何去建立呢？本人个人观点是，首先要对政策法规十分的熟悉；其次，监管的动向，包括监管机关对某些案件的态度，都需要十分的了解。最后，对于公司的高管和相关部门，要时刻提醒他们明白合规的重要性，对于做好的合规思路及流程怎么推行下去，后文会讲到。第二，根据欧盟的GDPR如何去做好企业合规。在合规路径上，GDPR和国内法是会有重合的，在条件不允许或没有时间和金钱成本做出两套合规体系的情况下，如何去综合国内外路径，就是第三点要讲的内容。第三，企业如何把双路径设成单路径加特色路径的走法形式。第四，在前三点都没做或者都没有做好的情况下，在真有危机发生时应该如何进行处理和应对，有哪些措施需要事前想到。

依据国内法律建立企业合规路径

主要分为四个维度介绍，即法律法规、监管要求、案件走势和企业内部去做合规的路径。

个人信息保护的法律法规和国家标准其实已经有一定数量了，但企业目前合规主要参照的是《网络安全法》和《个人信息安全规范》（以下简称“标准”），后者虽然是个推荐性标准，但是已经得到了舆论媒体及监管机关的高度认可，也是他们去评价各公司隐私政策好坏的衡量尺标。网安法涉及到个人信息保护方面的，比较重要的是个人信息和重要数据的保护制度，主要分为两大维度，第一个是数据信息安全，包括重要数据保护和个人信息保护，当然可能还有传统数据安全。第二个是运营安全，主要是等级保护和关键信息基础设施保护。这两块内容是紧密相关的。后面在监管动态中也会具体再展开说到。

标准涉及的内容，我主要将其概括为三个层次，第一个层次就是一些基本原则，这些原则是要在隐私政策中做具体体现的。第二个层次，对用户的个人数据进行收集、处理、转让、分享等，其实就是数据整个生命周期的流转。第三个层次是如何做组织建设和安全事件的处理。基本原则中要重点说明的选择同意原则，这点和GDPR是有比较大的区别的，我国基本都是以同意为主导的，而GDPR除了同意以外还有其他的合法性标准。最少收集原则，企业收集的数据量需要符合业务需求实际够用就可以，我后面会以南京消协对百度提起的公益诉讼这个案例来具体说明。公开透明原则，企业收集处理的信息至少要在隐私政策中说明范围和目的，将规则展现给用户，做合规要注意两方面，第一，要真正站在消费者角度或者说从用户权益的角度更好的去落实规范要求。第二，我们要准备一套资料，在监管机关审查的时候，企业要能展示出来我们已经做了合规，比如说隐私政策等。

第二个层次，先重点说一下同意，我国现在个人信息安全规范的指引其实就是以“用户同意”为中心，比如说在隐私政策中要说清收集数据的目的、范围、用途等，一定要用户明示同意，在产品中要设置按键让用户去按而不能直接帮助用户默认勾选。对于要收集的信息一定要突出显示出来，每一个业务模块中的核心信息和附加信息要标明出来，对于敏感信息要进行增强性告知。存储时要约定存储时在境内还是境外，标出存储时间，以及在违法违约等情况下，用户向你发出删除或更改其个人信息要求时，企业要设置这一功能进行及时的处理。在GDPR中，风险控制取代了同意成为了核心，为何我国没有仿照GDPR规定除同意外其他的合法路径呢？个人理解，中国在个人隐私保护的起步阶段尚晚，欧美已经经历了从工业革命（安全与价值），信息革命（隐私）到现在智能革命的（公平）的路程，而我们现在是同时启动这三个过程，企业目前还不具备如何去主动证明对风险已经进行控制并达到合规的这种能力，除了同意以外，其他那些合法性要求，企业可能都不知道应该怎么去证明。那么就干脆只要求用户选择同意，对于企业提供证据证明合规的难度其实是降低了的。

信息控制者的主要义务就是收集、保存、使用及对外提供，对于收集有个例外，比如是为了刑事侦查、国家/公共利益、新闻报导等，就是说如果不走同意这个路径就必须要证明符合这些例外。在保存和使用中，要和企业的IT 部门及运维部门说明，对外展示时要进行匿名化、脱敏等处理，否则风险太大，同时把可能接触到数据的人员列个单子，要和他们签特定项目的保密协议，确保出现问题时能够及时能找到相关人员和进行追责。另外，操作审批流程中，安全管理人员与数据操作人员以及审计人员的角色是要进行分离的，不能既做运动员又做裁判员。对于保存方面，要和技术人员说明白要将敏感信息和普通信息贴不同标签并做分类处理，因为设计敏感信息的更改是需要进行增强性告知的。对外提供比如涉及企业合并收购等情况时，也一定要对用户进行增强性告知，同时也要在用户同意的基础上才可以进行，并且由变更后的信息控制者继续履行原有义务并重新获得用户的明示同意。委托处理是指个人信息控制者做出委托行为，不得超出已征得个人信息主体授权同意的范围，并且对委托行为要进行安全影响评估。我国标准上只有Controller这个概念，而GDPR中既有Controller又有Processor，其实也是Controller将相关的义务委托特定对象予以处理，而控制权未转移。对于共享和转让是不一样的，共享是两公司都变成数据控制者了，他们同时拥有数据控制权，两者都要符合标准要求；而转让是A公司将数据全部转给B公司，之后B公司替代A公司成为新的数据控制者了，转移时还是需要增强性告知及用户明示同意的。而公开披露，原则上是不提倡的，除非是有一些法定事由或者属于正当目的不得不披露，这也是要增强式告知和获得用户同意的。

第三个层次，对于安全事故的处理，在安全事故发生时企业不仅要向用户告知，同时还要向监管机关作报告。但我国与GDPR的规定是不一样的，GDPR是有72小时的规定的，中国相对宽松一点，只要满足《国家网络安全事件应急预案》中网络安全事件不同level的不同要求就行。组织内部的安全管理要求来讲，要确立责任人员及机构、建立个人信息清单、要展开数据安全能力建设、人员管理培训、安全审计等。要注意的是，上面提到的做网络技术支持的人、与安全信息管理的人和做审计的人不能是同一拨人。

我国，信息安全的监管部门主要包括：网信部门、公安部门及工信部门。

企业要主动去和监管部门多交流，要摸清各个部门负责的各个方面，现在的政府还是乐于去和企业交流的，也很愿意分享给企业如何去做才符合要求的建议。网信部门分为国家网信办和地方网信办，互联网信息内部的管理涉及的会比较多，也会协调制定互联网安全方面包括关键信息基础建设保护和跨境数据传输这些方面的法规和办法。工信部门主要负责信息通信领域网络与信息安全保障体系建设，电信网、互联网和工业控制系统网络与信息安全的规划、政策和标准的制定以及互联网新业务的评估等。公安部门主要涉及计算机、网络犯罪方面，还承担了联网备案及登记保护备案两项职能。

从监管趋势分析，目前网信办主要查处信息安全方面的问题，比如用户在新浪微博或腾讯微信上发布一些色情暴力等信息，而平台又没有进行实时的监督处理。查处方式主要包括约谈、罚款、警告、整改。

公安部门和通信管理部门主要查处运营安全方面的问题，包括：未履行网络安全保护义务（淮南职校案） 未履行身份验证义务 （BOSS直聘案） 网络产品、服务未符合相关国家标准的强制性要求 （广东动景案） 以及从事或支持危害网络安全的活动等。

面来说一下2017年发生的几个经典案例（本文总结时为节省篇幅，案件事实部分不再描述），我们可以学习和总结出什么。

第一，数据收集、共享、信用评级、信用报告授权等只能通过用户明示同意的方式进行，不得以默示勾选方式进行。(支付宝年度账单案)

第二，当数据合法存在的原因消失或者数据信息不再被需要时，或者数据主体不再同意使用自己的数据时，主据控制者需要对其进行删除。(支付宝年度账单案)

第三，法院已经向公民提供了个人信息方面自主维权的法律通道。并且举证责任分配发生了改变，数据控制方将承担更多的举证义务(庞先生v.s“去哪儿”、“东航”案)

第四，APP安装前需要告知用户使用权限、目的，并经用户明示同意，收集信息不得超权限和范围。（江苏消保委VS百度案）

第五，消费者保护组织可代表不特定公众对存在损害消费者权益的企业提起公益诉讼（江苏消保委VS百度案）。通过技术手段损害消费者权益，限制消费者自主选择权、知情权和隐私权是不可取的。(新浪微博vs.脉脉案)

第六，对投入努力和资源进行数据收集的公司，享有竞争法意义上的保护。即使在技术可行的情况下，他人也不得未经许可和授权随意进行抓取和利用。(新浪微博vs.脉脉案/华为vs.腾讯微信案)

第七，合作双方就用户的个人数据进行共享和授权使用，也需要获得用户的事先明示同意和授权，即三重授权原则(用户授权+平台授权+用户授权)。(新浪微博vs.脉脉案)

在总结已有判例的同时，我们也需要去探究其中暗含的问题，做到预知和预防：

第一，新的商业模式创建的一方（行为实施方）在创新商业模式时，是否会涉嫌通过搭便车而获得不正当利益？权利损害方是否因此受到了竞争利益损害，比如流量损耗？（大众点评vs.百度案）

第二，法律是否允许从公开市场爬取信息？爬取的信息是纯公开市场信息还是受Robert协议规制的范畴？当抓取的某类公开信息积累到一定量时，是否有达到市场支配地位之嫌？（HIQ vs.Linkedin案）

第三，平台数据一站式打通，企业建立自身生态时是否对用户做了充分的保护？企业在自身发生利益纠纷时是否可以随意的关闭互通数据接口，是否需要考虑损害消费者利益？（顺丰vs.菜鸟裹裹案）

第四，当硬软件厂商在协同工作的生态圈中，发现了数据的价值，但所有数据及软件都在自己的硬件上运行时，数据绝对权没有明确界定，为避免数据占有权之争，硬件或APP对第三方软件数据的获取需要通过协议约定+用户同意？（华为vs.腾讯微信案）

合规对于企业的影响涵盖了诸多方面，比如监管处罚、流失用户，公司文化、员工价值观和积极性受损、品牌形象和商业名誉受损，甚至还会影响公司上市与并购重组等。如何去做好合规，首先，要得到高层的支持，不时向管理层展示合规的重要性，法务可以每半个月将近期发生的案例做成一个小简讯，将处罚原因、结果以及对企业的implication写明白，容易会引起管理层的重视。其次，建立数据合规工作小组，做好职责划分及工作计划，与标准的要求进行对标，根据差距分析和改进现有状况，制定员工培训计划，完善对外合同协议等。这样在监管机关审查时，可以提交出已经进行合规的证据，即使出现一些小纰漏，也能从已经做到的合规措施部分减轻处罚的后果。再次，要建立信息清单、实施影响评估及发布隐私政策，这些都是法务部门自身可以完成的。最后，涉及到需要技术部门支持的比如去标识化和个人信息安全工程等，就要和其他技术部门沟通好，让他们配合你去做，并且要时常进行审查确认。对于已经经过各方确认好Action Plan和完成时间点的项目执行上，不但要对进度和Owner进行明确描述，还需要项目组在推进的过程中，每天review完成情况，设立邮件组或者微信群等每天同步当天完成情况，抄送大小老板，360度追击没有完成当天任务的执行人。在做合规的过程中，也要学会变通及不断调整，比如：对确实无法推进的事项重新进行评估与修正、出错环节进行调整、借鉴其他企业更好合规经验等。

从信息获取方式来讲，分为四个来源。第一类,用户主动提供的数据。收集用户信息的目的、种类、用途以及保护义务详细完整的告知用户同时还要遵守最少收集原则-不收集不必要信息 ，需要用户明示同意+ 授权，对于敏感信息要进行增强式告知 。第二类，自动采集获取数据。首先要确认公开渠道的真实性、合法性即确认公开爬取数据不涉及违反Robert协议和其他限制性约定，还要确定硬件厂商对in-app信息的提取是否有获得授权（信息控制方+用户）。第三类，间接获取数据，企业要进行安全评估+确定第三方的真实目的，设置数据流通壁垒，并以用户本身的选择为通过要件之后要对共享部分和非共享部分的数据进行分类处理和管理，定期审计与监管，通知第三方删除用户信息并且采取有效的保护措施中断第三方对数据的控制 。第四类，加工处理后获取的数据，企业要进行去标识化处理/ 匿名化处理，采取安全技术措施比如对数据进行标签化管理，对数据进行分级分类管理等。

从数据安全评估来讲，分为整体与局部合规差距性评估，以及典型评估以及可能产生高风险场景的场景评估。具体举几个例子来说明：比如要做好产品或服务年度整体评估；法律法规、政策标准、外部环境等出现重大变化时重新评估；业务模式、信息系统、运行环境等发生重大变化时重新评估；新产品或服务（不限技术平台）设计阶段评估或初次上线评估；个人信息出境前，个人信息委托处理、转让、共享或公开披露前或范围发生变化时；对去标识化后的数据重新标识使用时都要做评估。另外，还在一些可能产生高风险的场景，比如涉及对个人信息主体评价、打分等直接画像；对数据处理规模较大的（涉及50万人以上、持续时间久、地理区域广泛）或涉及集中数据处理或涉及弱势群体的需要对数据安全进行评估，。

从隐私政策发布上，我们可以参考与借鉴标准中的附录性资料，同时也可以借鉴互联网大公司里面已经比较成熟的隐私政策，但切记不得照搬照抄，需要符合本公司的业务及产品场景，进行定制化设计，即Privacy by Design。对于敏感性信息的，需要特别提示或者以单独告知的形式进行提示。

在接下去介绍技术保护措施之前，这里做一个小总结，本人认为，企业的数据合规工作的实践标准实质是在以个人信息安全保护为核心，通过外部契约（隐私政策）、内部契约（企业制度）和第三方契约（对外法律文件）共同来进行建设的。具体可参考本人之前写过的一篇小文章《在<个人信息安全规范>指引下—初探AI企业数据合规的good practice》。

提升数据安全合规能力，是一个大的工程体系，会贯穿从终端用户到应用服务器，再到应用数据库和大数据中心的整条线路上的合规化措施与技术方案，比如说对数据进行来源打标，数据流动进行跟踪管理，对数据的细粒度进行权限控制，建立隐私数据与数据驻留合规，重要数据分级分类管理，数据存储保护合规以及数据共享交换、转输合规等不同技术手段的运用。最后建立一套个人信息安全工程。

还需要介绍一下去标识化与匿名化的区别：去标识化，是指通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别个人信息主体的过程。但是如果通过其他技术手段，可能还可以还原信息主体的原貌，保留了个体颗粒度。匿名化是指通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息也不能再被复原的过程。

数据出境方面：我国《网安法》第37条规定：我国境内 CII 经营者收集和生成的个人信息和重要数据, 应存放在中国。但是按照目前《个人信息和重要数据出境安全评估办法（草案）》，已经将网安法中的关键信息基础设施建设经营者的范围扩大到了所有网络运营商。重要数据的范围其实已有日渐清晰的趋势了。评估数据出境风险的主体思路个人认为要从三个层次去考虑，第一，数据的重要程度即受影响的等级，具体考量敏感程度、数量、范围及技术处理情况。第二，数据出境安全风险，企业自己要做好评估，如果评估结果为风险高就要增加安全措施以降低风险；如果风险低，就可以正常出境。第三，安全事件发生的可能性，在确保发送方有足够的数据安全控制能力的同时还要确保接受方有安全保障能力及其所在国家或地区的政治法律环境。合规方面对于重要数据出境与个人信息出境也是有区别的。