王新銳 北京市安理律師事務(wù)所合伙人

　　目前很多在產(chǎn)業(yè)界來(lái)說(shuō)，大家可能沒(méi)有完全理解清楚這個(gè)事情，其實(shí)在國(guó)外來(lái)說(shuō)，光是GTPR的合規(guī)催生了一大批公司，給很多公司帶來(lái)了業(yè)務(wù)。但是在國(guó)內(nèi)不管是《網(wǎng)絡(luò)安全法》，還是《等保2.0》，還是《數(shù)據(jù)安全管理辦法》，其實(shí)大家我覺(jué)得有的時(shí)候產(chǎn)業(yè)界的理解角度，包括它中間產(chǎn)生的合規(guī)義務(wù)帶來(lái)的需求，大家沒(méi)有完全去理解到。因?yàn)槲覀冮L(zhǎng)期服務(wù)我們的很多客戶，都是中國(guó)的比較頭部的這些科技公司，包括一些跨國(guó)公司，那么當(dāng)有些時(shí)候，我們從法律的角度來(lái)講，去提出一些合規(guī)性的要求的時(shí)候，這些合規(guī)性的要求一定不是落在紙面的制度，一定要轉(zhuǎn)化成技術(shù)解決方案。我覺(jué)得數(shù)據(jù)安全這一塊，天然就有這樣一個(gè)特點(diǎn)，它的合規(guī)義務(wù)是從法律出來(lái)的，是從《網(wǎng)絡(luò)安全法》里面，是從未來(lái)的《數(shù)據(jù)安全法》里，未來(lái)的《個(gè)人信息保護(hù)法》里，目前《數(shù)據(jù)安全管理辦法》，從這些規(guī)則出來(lái)的。

　　但這個(gè)規(guī)則出來(lái)之后，它一定要落地，它怎么樣落地？它怎么把法律義務(wù)轉(zhuǎn)化成合規(guī)的方案？這一點(diǎn)其實(shí)產(chǎn)業(yè)界很多時(shí)候是可以去思考和交流的。在GDPR之后，有很多國(guó)外的公司完全貼合了GDPR的要求，做了很多技術(shù)方案。所以我們也經(jīng)常跟國(guó)外有些交流，可以看到國(guó)外有些公司專門采取了是一種比較，從合規(guī)經(jīng)營(yíng)角度出發(fā)的技術(shù)方案，不完全是說(shuō)從技術(shù)方案，這個(gè)可能有點(diǎn)差別。我覺(jué)得目前大家可以看到法規(guī)不斷的在發(fā)，我作為這一行的律師就非常痛苦，為什么痛苦呢？五月底開(kāi)始，幾乎每一兩天兩三天，就會(huì)在夜里凌晨網(wǎng)信辦或者監(jiān)管機(jī)構(gòu)發(fā)一個(gè)文，發(fā)一個(gè)征求意見(jiàn)稿，之前發(fā)了《網(wǎng)絡(luò)安全審查辦法（征求意見(jiàn)稿）》，后面還發(fā)了《兒童個(gè)人信息管理辦法》，這些《辦法》你仔細(xì)去看它不僅僅是義務(wù)，它要轉(zhuǎn)化為解決方案。

　　所以我今天不光是給大家講一個(gè)法律義務(wù)的問(wèn)題，我想講一個(gè)法律義務(wù)最后怎么落到技術(shù)上的問(wèn)題。

　　我們看到，數(shù)據(jù)安全其實(shí)從產(chǎn)業(yè)層面來(lái)說(shuō)，傳統(tǒng)的理解肯定就是“三性”的問(wèn)題，可用性、穩(wěn)定性、完整性這些問(wèn)題。這個(gè)當(dāng)然是對(duì)的。但是如果我們按《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》，它的數(shù)據(jù)安全是大數(shù)據(jù)安全的概念，它的數(shù)據(jù)安全的概念跟我們從技術(shù)上說(shuō)的安全，這個(gè)概念是有一定區(qū)別的。也就是說(shuō)，它除了數(shù)據(jù)自身是否安全以外，它還要去討論數(shù)據(jù)行為是否合法？大家看到除了是一個(gè)安全本身以外的問(wèn)題，它是有法律問(wèn)題的。而數(shù)據(jù)行為是否合法？這個(gè)定型它完全是一個(gè)法律問(wèn)題嗎？我們從給企業(yè)提供合規(guī)的角度來(lái)說(shuō)，后面我會(huì)講義務(wù)的時(shí)候發(fā)現(xiàn)，很多時(shí)候這個(gè)合法性判斷最后是要轉(zhuǎn)化為我采取什么樣的技術(shù)手段？相當(dāng)于我將來(lái)我的一個(gè)跟數(shù)據(jù)有關(guān)的行為，我要去向監(jiān)管，我要去向我的合作伙伴，我要向各方去證明我采取了相應(yīng)的跟我的這個(gè)行為相匹配的風(fēng)險(xiǎn)控制的手段。

　　所以我覺(jué)得希望大家去做一個(gè)思考，也就是說(shuō)，你的技術(shù)方案在法律合規(guī)的角度來(lái)講，提供了什么樣合規(guī)的價(jià)值？我覺(jué)得有的時(shí)候我跟很多做網(wǎng)絡(luò)安全的朋友在聊到，大家都聊我的產(chǎn)品提供了什么樣的功能，提供了什么樣的優(yōu)點(diǎn)，跟同行怎么樣？我從律師角度去看，從法律合規(guī)角度你提供了什么價(jià)值？因?yàn)閺倪@些新規(guī)出臺(tái)以后，企業(yè)在做預(yù)算的時(shí)候，在做采購(gòu)的時(shí)候，一定會(huì)問(wèn)這個(gè)問(wèn)題，你這個(gè)能解決我們什么樣的合規(guī)？我一定要先解決合規(guī)要求，法律要求比較高的數(shù)據(jù)處理。

　　今年《網(wǎng)絡(luò)安全法》出來(lái)以后，我們做了案件整理，全國(guó)有各種各樣的處罰案例，從約談到企業(yè)關(guān)門，有的處罰也很重。后面會(huì)有一些規(guī)則出來(lái)以后，其實(shí)是要求企業(yè)去做映射分析的，也就是說(shuō)他的數(shù)據(jù)從前面收集，到使用，到共享，到后面刪除，整個(gè)過(guò)程它是要記錄的，而且要摸底，這個(gè)事情大家可以想象，它結(jié)果不是內(nèi)部的法務(wù)的同事，或者是由技術(shù)的同事完成的，這個(gè)問(wèn)題特別值得大家去思考。

　　所以我們回到數(shù)據(jù)安全這個(gè)定義，這個(gè)定義我今天所有ppt里面的內(nèi)容，幾乎沒(méi)有個(gè)人觀點(diǎn)，我覺(jué)得律師不要去講個(gè)人觀點(diǎn)，我覺(jué)得沒(méi)有用，今天我講的內(nèi)容都是來(lái)自于監(jiān)管領(lǐng)導(dǎo)的一些講話，公開(kāi)的和內(nèi)部的講話，這個(gè)里面它提到數(shù)據(jù)安全分為兩重定義：

　　1、數(shù)據(jù)自身是否安全？

　　2、數(shù)據(jù)行為是否合法？

　　那么我們可以看到數(shù)據(jù)行為是否合法，是說(shuō)整個(gè)數(shù)據(jù)的收集、存儲(chǔ)、使用、處置的過(guò)程中的規(guī)范行為?，F(xiàn)在從監(jiān)管層領(lǐng)導(dǎo)的角度來(lái)講，為什么會(huì)有《數(shù)據(jù)安全管理辦法》？我覺(jué)得我們今天不去給大家講那些條文應(yīng)該怎么理解？因?yàn)槟壳斑€在征求意見(jiàn)的階段，目前這個(gè)版本來(lái)自網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)組，整個(gè)在法規(guī)一些表述的修改上，可能還會(huì)有些細(xì)微的調(diào)整，但是整個(gè)的信號(hào)，我覺(jué)得大家要捕捉這個(gè)信號(hào)是非常明確的。

　　這也是來(lái)自領(lǐng)導(dǎo)的講話，他提到數(shù)據(jù)安全的事情在監(jiān)管者看來(lái)有兩大原因：

　　一是技術(shù)方面的原因，如系統(tǒng)漏洞、黑客攻擊、網(wǎng)絡(luò)入侵；

　　二是有的人為了謀取經(jīng)濟(jì)利益，利用非法渠道獲取信息進(jìn)行交易。

　　所以這就意味著我們?cè)谶@個(gè)環(huán)節(jié)，一方面是從防護(hù)的角度，更多的傳統(tǒng)手段是從防護(hù)的角度，那么除了防護(hù)的角度以外，怎么樣能夠把企業(yè)對(duì)于數(shù)據(jù)全生命周期的義務(wù)要求能夠把它內(nèi)嵌到其中，變成一個(gè)管理的制度，我覺(jué)得這是大家值得去交流的問(wèn)題。

　　那么整個(gè)《數(shù)據(jù)安全法》保護(hù)的所謂法利，法律是要服務(wù)利益的，我們看到法律出臺(tái)，目前來(lái)說(shuō)中國(guó)所有的數(shù)字經(jīng)濟(jì)領(lǐng)域的法律，大家都可以發(fā)現(xiàn)它是比較，我的說(shuō)法，我的概括，當(dāng)然也是得到了業(yè)界大家的共識(shí)，就是說(shuō)它是一個(gè)風(fēng)險(xiǎn)導(dǎo)向的，它不是價(jià)值導(dǎo)向的。什么是價(jià)值導(dǎo)向？是說(shuō)我僅僅從一個(gè)法律的觀念出發(fā)，比如個(gè)人對(duì)個(gè)人信息要有控制權(quán)，所以我要賦權(quán)給個(gè)人，所以它產(chǎn)生了刪除權(quán)什么權(quán)啊，這是歐洲這樣的思維，因?yàn)闅W洲它的立法是來(lái)自于它二戰(zhàn)的歷史創(chuàng)傷，猶太人被屠殺，所以它把個(gè)人信息上升到一個(gè)個(gè)人隱私，上升到一個(gè)最高價(jià)值，某種程度上，歐洲的立法很大程度上是一個(gè)價(jià)值導(dǎo)向。

　　那么中國(guó)的立法和美國(guó)的立法，這個(gè)思路上可能更接近一些，它更多的是風(fēng)險(xiǎn)導(dǎo)向。也就是說(shuō)我們?nèi)タ船F(xiàn)實(shí)中有哪些風(fēng)險(xiǎn)？我們做數(shù)據(jù)安全的都會(huì)提到有哪些現(xiàn)實(shí)安全？這些現(xiàn)實(shí)的安全問(wèn)題怎么去解決？這個(gè)是整個(gè)立法大的背景。那么它其中有哪些法律上的意義呢？我們會(huì)有三個(gè)層面，所以整個(gè)數(shù)據(jù)安全管理辦法跟個(gè)人信息的區(qū)別在什么地方？個(gè)人信息的保護(hù)相對(duì)微觀，從你個(gè)人的角度。而數(shù)據(jù)安全的角度相對(duì)是宏觀的，它有三個(gè)層面：

　　1、國(guó)家安全層面，它把數(shù)據(jù)視為一個(gè)整體去看，去保護(hù)的。

　　2、企業(yè)權(quán)益；

　　3、個(gè)人權(quán)利。

　　從國(guó)家層面來(lái)說(shuō)，其實(shí)它在國(guó)家層面提了很多的要求，個(gè)人層面來(lái)說(shuō)，之后會(huì)有單獨(dú)的個(gè)人信息保護(hù)的立法，中間企業(yè)層面它的需求，它怎么樣做到安全又要合規(guī)？其實(shí)強(qiáng)制性規(guī)定是比較少的。但是后續(xù)在保護(hù)國(guó)家和個(gè)人的過(guò)程中，會(huì)涉及到企業(yè)。

　　我們幫企業(yè)做合規(guī)的過(guò)程中有一個(gè)總結(jié)吧，叫做“不可能三角”。就是有的時(shí)候國(guó)家、企業(yè)、個(gè)人是完全利益一致的，但是說(shuō)實(shí)話，并不總是這樣。所以有的時(shí)候會(huì)發(fā)現(xiàn)，不可能是國(guó)家、企業(yè)、個(gè)人三者的利益完全統(tǒng)一，相信大家也會(huì)發(fā)現(xiàn)這個(gè)問(wèn)題，不是總是統(tǒng)一，所以就意味著三者不能同時(shí)兼顧，有的時(shí)候可能國(guó)家和個(gè)人的利益兼顧，企業(yè)的利益某種程度上會(huì)受到損失，國(guó)家和企業(yè)的利益受到了保護(hù)，個(gè)人利益就可能受到損失。所以在每個(gè)階段，可能一個(gè)階段是說(shuō)我要讓數(shù)字經(jīng)濟(jì)，讓產(chǎn)業(yè)發(fā)展更快一些，可能相對(duì)來(lái)說(shuō)國(guó)家和企業(yè)利益的保護(hù)比較充分，個(gè)人的權(quán)利可能受損?，F(xiàn)在這個(gè)階段，個(gè)人的權(quán)利的保護(hù)加強(qiáng)了，可能企業(yè)就會(huì)面臨著它的業(yè)務(wù)受到比較大的沖擊，比較大的也想，會(huì)有這種價(jià)值的沖突。

　　這一點(diǎn)上，如果你的技術(shù)方案能夠兼容幾者的價(jià)值，其實(shí)這個(gè)會(huì)非常有價(jià)值。而且我們自己看到在國(guó)外一些做合規(guī)公司，美國(guó)的也好，歐洲的也好，快速的崛起，就是因?yàn)樗鼈儼袵DPR中的價(jià)值沖突用技術(shù)方式解決了，我覺(jué)得這個(gè)是一個(gè)很大的機(jī)會(huì)。

　　整個(gè)數(shù)字立法的思路，這是我們整個(gè)從法規(guī)中，包括從前面參與的，我們?cè)谂浜媳O(jiān)管部門做很多立法支撐的時(shí)候，其實(shí)也有一些討論。

　　第一個(gè)，以數(shù)據(jù)生命周期為軸；首先來(lái)說(shuō)數(shù)據(jù)安全，這次的《數(shù)據(jù)安全管理辦法》應(yīng)該說(shuō)是我們國(guó)家從行政法規(guī)層面，從部門規(guī)章角度第一次它是按照數(shù)據(jù)的全生命周期來(lái)的。我們之前的法律不管是《網(wǎng)絡(luò)安全法》還是其他的涉及到數(shù)據(jù)的法律，它其實(shí)沒(méi)有按照生命周期來(lái)，這個(gè)我覺(jué)得是立法思路上的重大調(diào)整。大家可以看《數(shù)據(jù)安全管理辦法》它的第二章是數(shù)據(jù)的收集，它的第三章是數(shù)據(jù)的處理和使用。這個(gè)傳統(tǒng)上，我們立法上傳統(tǒng)是這樣一個(gè)立法思路。所以現(xiàn)在來(lái)說(shuō)整個(gè)《數(shù)據(jù)安全管理辦法》它的框架跟我們企業(yè)的操作，跟生命周期是比較一致的。

　　但另外一方面，意味著一旦它的規(guī)則跟你企業(yè)平時(shí)設(shè)定好生命周期處理的機(jī)制和你的要求是不一致的時(shí)候，你就必須要調(diào)整，因?yàn)榉赏耆前催@個(gè)來(lái)了，你很難像以前一樣，比如我不按照這個(gè)去調(diào)整，現(xiàn)在法律上是規(guī)定的比較清楚了。

　　第二個(gè)是數(shù)據(jù)采集最小化原則；這個(gè)在整個(gè)法規(guī)中都有提及。什么叫數(shù)據(jù)最小化原則？簡(jiǎn)單說(shuō)就是最小公約，就是我數(shù)據(jù)收集了以后，我經(jīng)歷了什么？我只要能滿足我企業(yè)的需求，就不要多收集數(shù)據(jù)，這個(gè)不光限制個(gè)人信息，也包括其他的信息。這個(gè)原則大體上是對(duì)的，因?yàn)橐阅壳暗谋Ｗo(hù)水平來(lái)說(shuō)，如果過(guò)渡收集了數(shù)據(jù)，你又沒(méi)有辦法采取合規(guī)手段的保護(hù)，現(xiàn)在都說(shuō)數(shù)據(jù)資產(chǎn)管理，說(shuō)數(shù)據(jù)是石油，很多人在沒(méi)有想好怎么想好怎么用的情況下，沒(méi)有想好怎么保護(hù)的情況下，就過(guò)渡的收集數(shù)據(jù)。

　　所以在這個(gè)情況下，我們現(xiàn)在看到在很多立法中都有看到最小夠用原則，這本身也是國(guó)際上APEC也好，美國(guó)也好，歐洲也好，在中間體現(xiàn)了一個(gè)重要的隱私保護(hù)原則，數(shù)據(jù)是最小化原則。

　　但是，在這里說(shuō)但是，數(shù)據(jù)最小化原則跟很多行業(yè)的實(shí)踐都是矛盾的，比如說(shuō)金融，比如說(shuō)汽車，這些領(lǐng)域，我們現(xiàn)在也在做一個(gè)自動(dòng)駕駛業(yè)務(wù)，也在做金融企業(yè)的合規(guī)，一個(gè)車出去一天是十多個(gè)T的數(shù)據(jù)，這個(gè)怎么做最小化？而且很多領(lǐng)域是需要冗余的，去防止出現(xiàn)錯(cuò)誤。這個(gè)跟數(shù)據(jù)最小化這個(gè)大的原則，其實(shí)有的時(shí)候會(huì)有沖突。

　　所以我們這次看《數(shù)據(jù)安全管理辦法》，不管它后續(xù)怎么調(diào)整，我們大信號(hào)是非常清晰的，包括后面一些規(guī)則，就是你在收集數(shù)據(jù)環(huán)節(jié)是要收緊的。因?yàn)檫@個(gè)原則在學(xué)術(shù)界、在實(shí)業(yè)界都有爭(zhēng)論，之前大家一直在討論是把收集環(huán)節(jié)扎得更緊，還是收集環(huán)節(jié)稍微放松一點(diǎn)，在使用環(huán)節(jié)去放松，使用環(huán)節(jié)去管制。但是目前來(lái)看，整個(gè)現(xiàn)在這個(gè)立法來(lái)說(shuō)是在收集方面就扎緊了，這個(gè)原則就會(huì)使得我們?cè)跇I(yè)務(wù)中，有大量數(shù)據(jù)收集的公司達(dá)不到最小化原則的公司，就意味著它收上來(lái)的數(shù)據(jù)怎么保證它的安全？這個(gè)是有非常多的技術(shù)上需要做的事情。

　　第三個(gè)是加重平臺(tái)責(zé)任；實(shí)際上現(xiàn)在的要求是，一個(gè)大的平臺(tái)企業(yè)，你對(duì)于你上面接入的第三方服務(wù)，對(duì)于你下游，包括跟你的上游，很多數(shù)據(jù)，我們現(xiàn)在很多人講數(shù)據(jù)中臺(tái)，講數(shù)據(jù)打通，我跟一些企業(yè)去聊，我發(fā)現(xiàn)很多時(shí)候企業(yè)大老板講的東西，跟法律合規(guī)上的趨勢(shì)是有矛盾的。大老板是講說(shuō)我們把所有數(shù)據(jù)打通，我們調(diào)用的時(shí)候作為一種服務(wù)，我們把數(shù)據(jù)和產(chǎn)品輸出，這樣的話，給客戶帶來(lái)更好的效率，更精準(zhǔn)減少浪費(fèi)。但是在我們現(xiàn)在的整個(gè)立法過(guò)程中，它對(duì)于數(shù)據(jù)的融合，對(duì)于數(shù)據(jù)的打通，對(duì)于各種數(shù)據(jù)脫離它原有的目的這種使用方式，其實(shí)有很多時(shí)候是有很多限制的。

　　所以這個(gè)里面光是一個(gè)權(quán)限管理的問(wèn)題，也就是說(shuō)數(shù)據(jù)怎么來(lái)的怎么出去的？整個(gè)生命周期過(guò)程中它上面有哪些限制，已經(jīng)是有一個(gè)很大的需求因?yàn)橹蟮脑挘喈?dāng)于你要對(duì)上游的數(shù)據(jù)源它的合規(guī)進(jìn)行負(fù)責(zé)，你要對(duì)下游給出去的數(shù)據(jù)，它使用的方式負(fù)責(zé)。那這個(gè)過(guò)程中，其實(shí)理想的情況下，它是要有可追溯性的，包括像歐盟的話，GDPR強(qiáng)調(diào)這個(gè)，其實(shí)我們可以把它理解為可追溯。也就是說(shuō)，整個(gè)過(guò)程中，如果你不做這個(gè)事情，因?yàn)楝F(xiàn)在法律規(guī)定，假如出現(xiàn)風(fēng)險(xiǎn)的話，假如出現(xiàn)問(wèn)題的話，你要跟它一起承擔(dān)責(zé)任的，跟你的上游也好下游也好。除非你能證明無(wú)過(guò)錯(cuò)，我們知道在法律層面，在司法實(shí)踐層面，證明無(wú)過(guò)錯(cuò)是很困難的，作為一個(gè)大平臺(tái)怎么證明我沒(méi)有錯(cuò)？其實(shí)是很困難的。這個(gè)時(shí)候要證明你沒(méi)有錯(cuò)，在很多合規(guī)的方面要盡量去做，我在技術(shù)上，各方面產(chǎn)品上，在條文上，在相應(yīng)的文本上做了很多的投入，這個(gè)時(shí)候你看我所有能做的都做了，但是依然出現(xiàn)了問(wèn)題，這個(gè)時(shí)候不會(huì)承擔(dān)責(zé)任的。

　　第四個(gè)以備案作為抓手。整個(gè)我們可以看到這次《數(shù)據(jù)安全管理辦法》以及后續(xù)的，像昨天晚上又是凌晨發(fā)了一個(gè)信息，數(shù)據(jù)出境的規(guī)則，也一樣，它強(qiáng)調(diào)的是備案，以備案作為抓手。所以有時(shí)候大家去了解，以前我們是行業(yè)監(jiān)管，垂直監(jiān)管，我是一行兩會(huì)我監(jiān)管的是金融行業(yè)，我是交通部我監(jiān)管汽車，我是衛(wèi)計(jì)委我監(jiān)管醫(yī)療。那么這種垂直的監(jiān)管，現(xiàn)在面臨一個(gè)問(wèn)題，以前我是根據(jù)牌照，針對(duì)具體的行政審批去監(jiān)管，但是現(xiàn)在大家看很多的跨行業(yè)發(fā)展，很多的融合，原來(lái)這個(gè)數(shù)據(jù)原來(lái)是一個(gè)汽車行業(yè)的數(shù)據(jù)，我同樣可以用到金融領(lǐng)域或者其他領(lǐng)域，所以數(shù)據(jù)打通的過(guò)程中，對(duì)這種垂直性的監(jiān)管不利，因?yàn)樗恢肋@個(gè)企業(yè)在哪？以前我看牌照就行了，現(xiàn)在這么多互聯(lián)網(wǎng)金融企業(yè)，或者很多科技這一類的，跟大公司去提供服務(wù)的科技數(shù)據(jù)代包的企業(yè)，都是有這個(gè)問(wèn)題。

　　現(xiàn)在這個(gè)規(guī)則的要求是說(shuō)，對(duì)于使用這種能涉及到個(gè)人敏感信息的，涉及到重要數(shù)據(jù)的企業(yè)要去做備案，這個(gè)過(guò)程怎么樣去備案？大家看到備案一個(gè)抓手，那么備案的過(guò)程中，其實(shí)對(duì)企業(yè)來(lái)說(shuō)沒(méi)有那么緊張，因?yàn)閷?shí)際上我們自己在幫很多企業(yè)做合規(guī)項(xiàng)目的時(shí)候，一個(gè)項(xiàng)目可能訪談十幾個(gè)企業(yè)的高管，沒(méi)有一個(gè)高管知道公司數(shù)據(jù)從頭到尾怎么用？很多高管是我負(fù)責(zé)數(shù)據(jù)，把數(shù)據(jù)抓進(jìn)來(lái)融入到大的池子里，有的人是從里面抽水，我把大池子中的數(shù)據(jù)輸出提供服務(wù)，CEO可能是把一個(gè)產(chǎn)品向客戶去推出，我們多次發(fā)現(xiàn)一個(gè)問(wèn)題，可能一個(gè)公司中沒(méi)有人真的知道數(shù)據(jù)全生命周期怎么流動(dòng)怎么使用？又有什么限制？

　　那么這個(gè)問(wèn)題在我們要集中備案的時(shí)候，就特別困難，因?yàn)槲覀円M(jìn)行備案的時(shí)候，就需要向監(jiān)管機(jī)構(gòu)提供這些東西。所以大家可以看到，這個(gè)里面的制度要求，每一個(gè)制度性的要求，都是商業(yè)機(jī)會(huì)，我覺(jué)得都是對(duì)產(chǎn)業(yè)的機(jī)會(huì)。這其實(shí)就是一個(gè)條文，而且這個(gè)條文跟《網(wǎng)絡(luò)安全法》是高度一致的。所以大家可以看到安全管理的評(píng)價(jià)考核制度，然后安全計(jì)劃啊，安全技術(shù)防護(hù)啊，風(fēng)險(xiǎn)評(píng)估啊，應(yīng)急預(yù)案啊，這里面有些東西是相對(duì)原本的東西，所以作為我來(lái)說(shuō)，我覺(jué)得企業(yè)應(yīng)該把自己的產(chǎn)品和這些東西對(duì)照一下。當(dāng)我跟客戶溝通的時(shí)候，告訴客戶，我在這個(gè)方面能給你提供什么價(jià)值？

　　然后我們看一下重要數(shù)據(jù)，重要數(shù)據(jù)現(xiàn)在仍然是一個(gè)偏模糊的概念，但這次整個(gè)規(guī)則中，因?yàn)閭鹘y(tǒng)上來(lái)說(shuō)，之前我們提到重要數(shù)據(jù)，拿《網(wǎng)絡(luò)安全法》來(lái)說(shuō)，更多強(qiáng)調(diào)的是CI這個(gè)關(guān)鍵基礎(chǔ)設(shè)施，但絕大多數(shù)公司不是關(guān)系國(guó)計(jì)民生的，你是核電站啊，你是水庫(kù)啊，一般不用CI。但是現(xiàn)在來(lái)說(shuō)它擴(kuò)大了，它講重要數(shù)據(jù)，重要數(shù)據(jù)是大面積的數(shù)據(jù)，一旦泄露對(duì)國(guó)家對(duì)社會(huì)產(chǎn)生重大影響，大面積的人口、地理這種數(shù)據(jù)做一些列舉，企業(yè)內(nèi)部的數(shù)據(jù)不是重要數(shù)據(jù)。有重要數(shù)據(jù)這個(gè)概念在這兒，意味著我們現(xiàn)在整個(gè)數(shù)據(jù)核心第一是管個(gè)人信息；第二重要數(shù)據(jù)。這也是上午秘書長(zhǎng)提到的，可能重要數(shù)據(jù)這個(gè)層面主要是國(guó)家層面，個(gè)人信息主要是個(gè)人層面，所以這個(gè)里面?zhèn)€人數(shù)據(jù)處理的要求是說(shuō)當(dāng)網(wǎng)絡(luò)運(yùn)營(yíng)者發(fā)布的時(shí)候要進(jìn)行安全評(píng)估，安全評(píng)估要對(duì)風(fēng)險(xiǎn)進(jìn)行一個(gè)分析，對(duì)是不是重要數(shù)據(jù)提供數(shù)據(jù)的失控啊進(jìn)行分析。

　　所以我覺(jué)得我們之后會(huì)面臨到，很多企業(yè)對(duì)外提供也好，向境外提供也好，而且以后數(shù)據(jù)出境會(huì)非常難，數(shù)據(jù)出境非常難會(huì)帶來(lái)一個(gè)很大的機(jī)會(huì)，就是國(guó)外的公司必須在中國(guó)做本地化數(shù)據(jù)各種各樣的方案這種合規(guī)，而且這種合規(guī)跟它之前大公司進(jìn)行管理包括歐盟的規(guī)則要做一個(gè)融合，所以相當(dāng)于給它做一套技術(shù)方案，能夠解決它在中國(guó)合規(guī)性要求，同時(shí)跟它在原來(lái)的控股集團(tuán)里面這些制度保持一致。

　　責(zé)任承擔(dān)，其實(shí)剛才提到了，如果是對(duì)接，要求平臺(tái)作為第三方數(shù)據(jù)安全管理承擔(dān)監(jiān)督責(zé)任，這種監(jiān)督一定不是說(shuō)依靠法務(wù)部來(lái)去監(jiān)督的，它是沒(méi)有抓手，一定要看一些技術(shù)方案，很多時(shí)候我們通過(guò)API，通過(guò)SDK，通過(guò)其他的方式把數(shù)據(jù)進(jìn)行輸出，那個(gè)數(shù)據(jù)輸出之后是不是有留痕？是不是能控制？他不正常使用的時(shí)候，我們有沒(méi)有辦法？我們是做了一個(gè)數(shù)據(jù)的兩色，還是做了特別的處理？我覺(jué)得一旦能做到，其實(shí)是有很大的市場(chǎng)需求，現(xiàn)在很明顯這個(gè)需求還是很明顯的，很多企業(yè)都說(shuō)，你們根據(jù)法規(guī)提出的要求，找不到合適的供應(yīng)商來(lái)去做，可能他們沒(méi)有理解到這個(gè)要求。

　　備案制度，剛才其實(shí)提到重要數(shù)據(jù)和個(gè)人敏感信息進(jìn)行備案，那么這種備案制度其實(shí)對(duì)整個(gè)數(shù)據(jù)的控制，對(duì)整個(gè)數(shù)據(jù)的記錄是有很大的要求。

　　同意原則，很多時(shí)候?qū)τ诒热缯f(shuō)未成年人他的家長(zhǎng)，他的監(jiān)護(hù)人同時(shí)必須要同意，這是最新的規(guī)則。這個(gè)規(guī)則在美國(guó)也創(chuàng)造了很大的商業(yè)機(jī)會(huì)，因?yàn)檫@個(gè)過(guò)程中其實(shí)是要驗(yàn)證是不是他的家長(zhǎng)，是不是他的監(jiān)護(hù)人，監(jiān)護(hù)人不是同意？這個(gè)過(guò)程中一定要用技術(shù)方案盡量把它成本降下來(lái)。所以跟同意有關(guān)的是整個(gè)現(xiàn)在數(shù)據(jù)安全、數(shù)據(jù)合規(guī)中最基本的基礎(chǔ)，這個(gè)基礎(chǔ)上，其實(shí)有很多時(shí)候不能單純靠傳統(tǒng)說(shuō)掛一個(gè)網(wǎng)站，掛一個(gè)隱私政策就解決了，其實(shí)很多時(shí)候要有方案的。

　　歧視行為，其實(shí)主要是說(shuō)現(xiàn)在不能把個(gè)人信息用于區(qū)分對(duì)待。

　　爬蟲這個(gè)問(wèn)題，其實(shí)今天可能沒(méi)有辦法去展開(kāi)講，但爬蟲其實(shí)是現(xiàn)在一個(gè)大的痛點(diǎn)，一方面國(guó)家要管控爬蟲，另一方面爬蟲說(shuō)實(shí)話是整個(gè)互聯(lián)網(wǎng)，整個(gè)科技行業(yè)存在的基石。我們作為企業(yè)作為防護(hù)端來(lái)講，去爬的過(guò)程中怎么讓它合規(guī)？這個(gè)之后整個(gè)我們?cè)谏芷诠芾淼臅r(shí)候，要把有些預(yù)警機(jī)制做進(jìn)去。

　　信息刪除，原來(lái)很多企業(yè)很多數(shù)據(jù)都不刪，但是后面數(shù)據(jù)怎么刪除，怎么隔離出去，也是一個(gè)很大的問(wèn)題。

　　最后一句話，整個(gè)數(shù)據(jù)安全看起來(lái)，這幾個(gè)字看起來(lái)是技術(shù)問(wèn)題，但我覺(jué)得在整個(gè)法規(guī)生效以后，首先是法律問(wèn)題，法律定義了企業(yè)必須做什么事情，法律定義了企業(yè)底線這個(gè)東西。所以這點(diǎn)上，我希望明年大家在開(kāi)會(huì)的時(shí)候，很多企業(yè)在生效之后，我們針對(duì)新的法規(guī)提出一些行業(yè)解決方案，相信這個(gè)會(huì)對(duì)整個(gè)的市場(chǎng)來(lái)說(shuō)是更多的一些選擇，也讓監(jiān)管的壓力減少。因?yàn)閷?shí)際上如果有些技術(shù)的方案能夠解決，你監(jiān)管沒(méi)有必要去出強(qiáng)力的、壓力比較大的政策，這對(duì)我們整個(gè)中國(guó)的數(shù)據(jù)經(jīng)濟(jì)是一個(gè)很好的推動(dòng)作用。