互联网狂奔近三十年，数据合规与企业发展如何平衡

主页（http://www.kuwanit.com）：互联网狂奔近三十年，数据合规与企业发展如何平衡

　　

见习记者 郑雪 记者 王巍 尤为 实习生张玲 北京报道

　　编者按：

　　伴随着数字经济发展，对个人信息的采集和利用成为一种“刚需”。个人信息保护不断涌现出新问题，随意收集、违法获取、过度使用、非法买卖个人信息等情况“野火烧不尽”。数据的挖掘利用与个人信息保护之间张力扩大，急需专门法律对个人信息处理活动提供规范样本。

　　2021年11月1日，《个人信息保护法》正式施行，转眼间即将实施一周年。南财合规科技研究院长期关注个人信息保护议题，持续跟踪报道立法进程、监管动态，反映公众呼声。借此机会，将推出“南财个人信息保护月”系列活动，探讨《个人信息保护法》实施以来的落实情况以及对企业带来的影响。将围绕“守门人”条款的落实、用户个人信息权益的实现、数字广告行业的变革、数字经济发展与合规的平衡等多个维度推出20余篇系列稿件，刊出个人信息保护特刊，并且举办线下高峰论坛。

　　法律的生命力在于实施，在完成立法后，《个人信息保护法》需司法和执法接力，也需要企业恪守法律要求。我们希望能借助媒体的力量，持续追踪问效，推动个人信息权益的保障，提升全社会个人信息保护的水位线。

　　互联网在国内的高速发展，潜移默化地改变着每个人的生活，其中最显著的一点，互联网带来便利的同时，个人信息泄露也成为避无可避的问题。随着《个人信息保护法》的实施，保护个人信息安全成为企业合规的必答题。

　　如果说，互联网三十年，前半程是狂奔，后半程则是合规。从2014年庞理鹏起诉趣拿公司和东航的官司开始，互联时代的个人信息保护战陆续在国内打响：国内首起安全软件号码标注隐私权纠纷案、朱某诉百度隐私权纠纷案、新浪微博诉脉脉不正当竞争案、徐玉玉电信诈骗案等涉及公民信息的民事、刑事诉讼相继发生，也推动了《个人信息保护法》的出台。作为信息处理者的企业，需要承担诸如安全保障、个人信息分级分类、信息主体权益保障、事前风险评估等多项义务，以保障个人信息安全。

　　需要注意的是，数据合规从来不是单一问题，而是覆盖企业法律、管理、业务、技术等多方面的综合问题。合规是昂贵的，根据《福布斯》报告，GDPR让美国财富500强企业多花费了78亿美元合规成本，普华永道给出更明确的合规成本估计：68%的公司预计将花费100万到1000万美元。

　　保护个人信息安全的数据合规亦如此。在当前经济下行压力增大的情形下，一个现实问题摆在企业面前，当面临自身发展与保护个人信息的数据合规两大主题时，如何抉择？

　　金融科技、智能汽车、互联网领域 合规投入不降反增

　　2019年，春元进入一家互联网企业，负责游戏内容合规工作。当时的她还是一名职场小白，到现在已经能够高效处理来自游戏的各种事项。合规是她工作的日常，但也成为公司开始某项工作的重要一环。“现在只要和游戏相关，有些在我看来甚至和游戏不沾边，但都会有同事拉着我一起开会，讨论其中是否会有触犯到法律法规的内容和情节。”

　　“对于公司产品来说，研发、上市、运营等环节都投入了很大的成本，如果因合规问题导致产品无法上线或者被处罚，对于公司来说都是巨大损失。”春元介绍道。

　　随着互联网法治的进一步发展，我国先后通过《网络安全法》、《数据安全法》、《个人信息保护法》等法规，同时《互联网信息服务算法推荐管理规定》、《数据出境安全评估办法》等部门规章也陆续出台，互联网法治的网在织密、织牢。数据合规也就成为互联网企业的关键词。

　　北京策略律师事务所执行主任、数据合规项目组负责人庞理鹏介绍，企业合规治理呈现出这样一个规律：随着各类APP、物联网、大数据等的发展，企业越来越意识到数据资产的重要性，在个人信息保护、数据合规方面，更加注重最新立法政策与相关理论的学习以及实践中完善合规体系建设和合规风险预防。相对应地，企业合规的重点或侧重点以个人信息保护、数据安全、网络安全合规为核心。

　　记者梳理发现，当前经济环境下，一些企业合规上会减少投入，但是也有企业加大对个人信息保护的投入。

　　就广东省合规与风险法律专业委员会主任、深圳市数据合规法律专业委员会主任、广东卓建律师事务所高级合伙人李兰兰观察来看，近三年来许多企业会节约开支，砍掉和减少合规部分的投入。因为“企业得先保证自己活下去”。

　　但据庞理鹏介绍，目前的经济环境下，公司运营成本的投入都会有所调整。但开展不同业务的公司对于投入调整的侧重点不同。“一些公司，如金融科技、智能汽车、在线教育、电信及互联网等，对于合规的投入不降反增。”

　　美团在接受

的采访时表示，美团很早就成立了专门的数据合规和隐私保护委员会，统筹内部数据隐私合规治理工作。公司层面制定《数据安全管理办法》《数据安全管理流程》等一系列规则制度，在今年制定并对内发布了“数据合规和隐私保护工作手册”，围绕个人信息全生命周期处理活动，制定了统一的内部合规原则和标准流程。

　　技术投入和系统能力建设上，美团健全数据全生命周期合规管理和安全防御体系。具体到隐私合规方面，一是建设并上线App隐私权限注册管理平台，对十三类隐私数据的合规收口管理。二是设立App上线前隐私合规检测流程，避免App带着隐私合规问题上线。三是通过App隐私合规检测平台建立漏洞检测能力，提前发现并解决风险问题。

　　晚入场者缺乏个人信息保护竞争优势

　　盈利和成本，企业发展过程中无法回避的问题。当企业遇上个人信息保护，盈利、成本、竞争等因素亦在个人信息保护落地过程中其中扮演了不可忽视的角色。

　　一位不愿具名的专家表示，目前《个人信息保护法》条款落地难点主要在于企业盈利目标和成本考量：首先是利润上，企业需要使用个人信息进行精准营销。个人信息的应用和企业的经济利益息息相关，所以企业会自发地规避法律上的规制；另一方面则是企业合规实践的成本考量，落地还是有点困难的。

　　上海交通大学凯原法学院教授李剑从竞争角度对这一问题做出解释，从竞争的角度来讲，加强个人信息保护使得先进入市场的企业基于已掌握的数据资源获得更大竞争优势；对于较晚进入市场的主体来讲，因数据已经被先入场的竞争者所获得，后入场者开拓新的用户比较难。“对于较晚进入市场的主体来说，如果没有足够的数据，很难在服务层面展开对于个人信息保护的竞争。”