从《网络安全法》到《数据安全法》到国务院出台的关于“互联网+”的相关行政法规，再到今年11月生效的《个人信息保护法》，中国迎来了个人信息保护及企业数据合规的新纪元，行业发展将面临巨变。面对着更新出台的法律法规，企业在经营过程中该如何降低风险？企业该如何建立适应数智化时代的数据合规体系？

本期中欧首席说系列论坛以“数字经济时代下的数据安全与合规”为主题，中欧经济学和决策科学系方跃教授对话中伦律所合伙人律师刘新宇嘉宾，探讨数字经济时代下的数据安全与合规的那些事。

Q: 《网络安全法》、《数据安全法》、《个人信息保护法》三驾马车区别是什么？各自侧重点是什么？

刘新宇：在这三部法律中，《网络安全法》制订时间相对较早，主要是侧重于网络安全，《数据安全法》主要是宏观地确立数据保护的相关制度，并对数据处理者提出相关的义务要求，它的范围更广，包括个人信息与非个人信息。

《个人信息保护法》则仅侧重于保护个人信息，但是相较于《数据安全法》，《个人信息保护法》提出了更多具体的场景，例如对个人信息、敏感信息应当基于全生命周期进行保护，对个人信息主体的权利、个人信息处理者面对信息主体提出的权利请求如何应对、应对不当相应的责任等都做出了规范。

Q: 数据保护从收集到交互应用是一个全生命周期，目前企业在哪个环节最薄弱？

刘新宇：目前企业面临的数据保护力度薄弱的环节和问题非常多。

首先，以数据安全为例，很多人对“等级保护”这一概念都比较陌生。例如作为一家侧重技术的企业，企业自身接触到什么数量级的数据，自身及合作伙伴是否涉及关键信息基础设施，应当申请哪个级别的“等级保护”，对于部分已经或正在申请国际认证的企业，是否还需要继续对照国内标准申请“等级保护”？虽然不少企业已经意识到“等级保护”的重要性，但实际上就上述问题依然存在困惑。

其次，虽然最新颁布的《个人信息保护法》具有极强的实操性，明确了个人信息的定义，个人信息处理者应尽的义务等等。但是对于一些具体概念，企业可能仍然存在困惑，例如部分企业可能并不清楚哪些是敏感个人信息，且因为敏感个人信息保护标准与手段不同于普通个人信息。如果认识不到位，很容易发生保护措施与信息类型不匹配，措施与目的南辕北辙的情况。

最后，《个人信息保护法》以专章规范个人信息出境的相关法律问题。有很多企业都可能面临这个问题，例如部分企业服务器在国外，且频繁将境内收集的个人信息传输到国外的服务器，那就存在被认定为出境的可能性。此类企业就需要按照《个人信息保护法》的要求履行个人信息保护影响评估等义务。

Q: 哪些数字化营销手段不可用？

刘新宇：考虑到每家企业具体的数字化营销的手段不太一样，这里介绍2个典型案例。

第一类案例是个性化推送，数字化营销通常意味着精准营销，精准营销涉及到个性化推送。电商行业有一个段子，平台向客户推送的连衣裙商品单价是否低于128元是一条隐形标准线，因为如果平台根据客户的日常消费为客户贴上低价标签，那么就只会推送128元以下的连衣裙，认为这样才符合客户的消费水平。且不说这种做法是否准确，本身对于消费者的选择权就是一种很大的限制。现在根据《个人信息保护法》，个性化推送需要征得用户同意，企业需要向用户列出推送范围并且列出拒绝选项，用户有拒绝的权利，不能强制进行个性化推送。之前也已经有部分App因为强制推送被处罚的案例。

另一类案例就是超级平台。平台上的商家收集的信息不完善，但平台拥有海量信息，它可以针对信息加工成数据产品，并向商家出售精准营销数据包。商家根据精准画像进行定向推送，提高销售效率。过去，部分平台的此类个人信息处理行为并没有向消费者公开，但是现在按照《个人信息保护法》的要求，平台收集、使用个人信息的每一个环节都必须符合法律规定。

Q: 用户注册会员提供包括手机号码等信息，作为品牌方能否给对方打电话、发短信？微信ID算隐私吗？ 

刘新宇：首先，手机号码属于《个保法》项下的个人信息。其次，商家掌握用户电话号码并进行电话营销等行为是个人信息的使用。

很多企业有一个误区，收集阶段获得过用户同意似乎后续的动作就都不再需要获得用户同意了。实则不然，针对个人信息全生命周期的不同环节，包括收集、使用、存储、传输、出境、删除等等，在没有其他合法性基础的情况下，每个环节的处理都需要获得用户的同意。因此，进行电话营销这种明显属于个人信息使用的行为，也必须经过用户同意。

具体而言，用户注册时企业往往会向用户弹窗提示阅读隐私政策。对于企业而言，必须在政策中写明在哪些环节会收集信息，同时要加上如何使用信息，比如定向推送你可能感兴趣的物品等，并取得用户的同意。

Q: 一个企业有多个部门，不同部门是否可以共享信息？

刘新宇：这也是非常重要的话题，叫数据融合。一般可以分3种情况：

其一，一个企业有不同部门包括营销、销售、IT等等，不同部门有不同分工。企业营销或品牌推广部门在某次活动中收集到个人信息，然后交给其他部门进行跟踪销售。这是一种情况。

其二，如集团公司，旗下很多子公司，整个集团之内共享信息，即兄弟公司之间共享。共享方式包括通过API接口随时调用或者所有信息统一提供到数据中台，由数据中台加工、建模使用等。

其三，企业和企业以外的第三方合作伙伴之间，也可以融合。这涉及到的问题就更加复杂，属于与第三方共享还是委托第三方处理尚待具体问题具体分析。共享的过程中是不是要引入隐私算法和联邦学习等来保障安全也是一个值得讨论的问题。

如果只是企业内部之间不同部门的数据融合，一般告知用户并取得用户同意就可以了。如果还涉及到关联公司或者企业之间的数据融合，那么需要符合《个保法》下关于个人信息对外提供或委托处理的要求。

Q: 公司涉及数据跨境，一种是中国公司在国外有业务，一种总部在国外的外企在中国有业务，这两类企业难免大量数据互相流通。在数据安全跨境这个问题上，法律如何规定？

刘新宇：《个保法》有一章节专门解释个人信息跨境问题，并提出了具体要求。比如关键信息基础设施运营者以及处理的个人信息达到规定数量的个人信息处理者，个人信息跨境需要经过相关部门的安全评估，其他企业当经过认证或者同境外接收方签署标准合同等等实施的细节。但目前实施细则、配套规定还未正式出台 。

Q: 从政府监管的角度看，《个保法》如何判断企业是否合规？是否对一些数据量大的行业、企业有侧重？

刘新宇：目前来看，从已有案例我们可以摸索到一些脉络。比如，APP是违法违规收集信息的重灾区。整个数据全生命周期保护的第一道就是收集，然后是使用、共享、出境等。很多企业都有APP、小程序等软件，国家对于APP这类软件的监管会持续加大力度，并且参与治理的部门和机构也越来越多，包括工信部、网信办、公安部、市场监督管理总局等。

此外，人脸识别等敏感生物信息收集也将进一步严格管控。今年3·15之后，市场监督管理总局及各地市场监督管理部门，已开始直接针对公共场所或者所谓智慧门店等安装摄像头的行为进行整顿。

我们也看到，在滴滴事件之后，境外上市企业的数据出境与安全审查力度也大大加强。

对于提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，《个保法》也专门规定了一系列合规义务，包括建立健全个人信息保护合规制度体系、成立主要由外部成员组成的独立机构对个人信息保护情况进行监督、定期发布个人信息保护社会责任报告等。

Q: 《个人信息保护法》11月1日开始实施，许多企业还未做好准备，那么对于企业来说，应该做哪些应急措施？

刘新宇：这里以APP为例。政府监管APP是依靠数字化的技术力量辅助，一旦发现APP违法违规行为，第一个动作是通报，包括APP名字、版本信息以及解释不合规的原因；监管部门会给予一定的整改时间，如果超过时间，企业没有进行整改，APP就会被下架。下架之后重新上架的难度会增大，所以APP下架对企业的影响会比较大。

因此，企业需要关注2个关键细节，一个是企业APP通报；另一个是APP下架通知。但是，更重要的是，企业首先要做好内部的数据合规工作，尽可能避免被通报。如果一旦被通报需要及时关注并开展整改。

Q: 企业合规从哪做起?第一步要做什么？

刘新宇：排在首位的应该是“体检”。很多企业对于自己企业内部的合规现状并不十分了解，对于在哪些方面不符合《个保法》的规定，也并不掌握。我们经常开玩笑，企业的APP到底嵌了多少SDK，企业可能自己都不清楚。所以第一步，应当先“体检”，只有发现了问题所在，然后分析问题，根据轻重缓急开始整改。