普华永道李睿：数据安全和隐私合规必须满足监管要求，但这不是企业的唯一收获

中国经济导报、中国发展网 记者崔立勇报道

“数据安全和隐私合规是跨部门、跨条线的任务，必须成为企业的‘一把手工程’。”在2022年服贸会现场，普华永道中国网络安全和隐私服务中国内地主管合伙人李睿在接受本报记者专访时表示，与以往网络安全或服务器安全任务常常可以交给企业内部的IT部门不同，数据安全和隐私合规与企业各项工作关系密切，需要企业负责人牵头，建立信息安全委员会等组织形式，齐抓共管方能确保安全。

普华永道中国网络安全和隐私服务中国内地主管合伙人李睿 

普华永道在今年的服贸会上推出隐私合规运营中台（Privacy Operation Hub），为跨国出海企业提供面向全球隐私法规、全生命周期的数字化合规管理平台。李睿告诉本报记者，这一中台的应用需要“三步走”。前期是对企业的数据流进行梳理，分析数据应用的业务场景，在此基础上制定相应的规则。中期是中台的落地，进行数据安全和隐私合规的知识转移，帮助企业顺畅应用中台，为企业和监管机构实现隐私数据处理全链路管控和证据链。最后是使用中台，普华永道会根据新的法律法规及优秀实践案例进行及时更新，特别是监测企业数据泄露的出现或可能存在的风险，帮助企业落实监管需求。

李睿表示，不同行业的数据资产的结构和内容区别很大，因此隐私合规需要定制化服务，只有结合企业工作实际、企业全员参与的解决方案才能达到预期。

在全球化背景下，中国的数据出境已呈现常态化趋势。9月1日，《数据出境安全评估办法》正式施行，标志着《网络安全法》首次确立的数据出境安全评估制度正式落地。根据办法，数据处理者向境外提供数据，符合规定情形的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估。数据出境风险自评估是数据处理者申报数据出境评估的必要条件，由数据处理者自行或者委托第三方机构开展。

据不完全统计，全球已有132个国家和地区制定了个人信息保护的法律。在中国，截至7月底，2022上半年全国因违反个人信息保护相关规定被监管部门通报批评、处罚的案例高达741例，处罚金额超过80.69亿元人民币。欧盟《一般数据保护条例》（GDPR）在正式实施的近三年时间内，欧盟国家被处罚案例共计1195起，金额合计超过16亿欧元。由此可见，无论出海企业或专注国内业务发展的企业均面临严峻的隐私及数据合规压力。

如今，企业一方面在隐私及数据合规领域正投入大量资源，另一方面也在主动通过数字化智能化手段积极应变。

李睿分析，数据安全的管理风险可能在多个场景出现——跨境支付等受到行业监管的重点领域；智能汽车、智慧家居等利用互联网的新产品，难以明确是否在跨境使用；新技术及数字化应用带来的数据跨境风险，企业在国内使用云服务，但是供应商存储数据的服务器可能设置在其他国家。

‍她特别提醒，企业不能忽略海外分支机构及其在海外工作的员工所带来的数据风险隐患。“不少企业认为，在海外工作的员工是企业内部的同事，就不需要采取什么数据安全保护措施了。其实，数据安全和隐私保护，不区分是企业内部还是外部。”她说，企业员工到海外工作，出境时所携带的电脑是不是存有敏感数据，员工相互之间所发送的电子邮件是否确定存放在国内的服务器上，这些都是值得留意的风险场景。

隐私保护如何与数据共享避免冲突？李睿告诉本报记者，企业的数据共享要遵循三个原则。

首先，注意收敛。“普华永道完成了很多项目，最大的感觉是企业习惯于收集过多的数据，收的总比自己需要的多。”李睿分析说，企业的这种行为往往导致企业拿到大量垃圾数据，自己也没有办法实现高效率共享。其次，梳理不同的安全域的共享。企业要将敏感岗位的数据共享、企业内部跨部门的数据共享、外部企业间的数据共享进行有针对性的分析，确定不同的把控标准。第三，发挥隐私计算和联邦学习等前沿技术的作用。记者了解到，这些技术能够在处理和分析计算数据的过程中保持数据不透明、不泄露、无法被计算方法以及其他非授权方获取；当多个参与方共同参与整个计算过程时，也难以得到除计算结果以外的额外信息。

李睿强调，隐私和数据合规是企业必须满足的法律和行业监管要求，与此同时，这项工作也是企业建立信任的过程，向客户特别是C端用户证明自身管理的数据安全可靠。她说，数据安全稳定，特别是能够通过实实在在的举措向用户“表达”出来，企业的竞争力将获得加持；一旦暴露出数据泄露问题，用户的信任感将急剧下降。

李睿告诉本报记者，如今很多大型国际化企业都将负责数据安全和隐私保护的部门命名为“用户信任中心”，这也说明这项工作的功能和目标之一是向用户证明企业是值得信赖的。