增强式 VS 独立式数据合规产品 怎么评估企业用户数据是否合规

2021年11月1日《中华人民共和国个人信息保护法》正式实施……国内相关监管部门以史无前例的力度，加速推进了对互联网民和互联网消费者数字权利的立法保护。企业都将在更为严格的法律框架下展开数字营销。私域流量的狂欢可能仍会到来，但它势必将变得更为理性、更具人性。 

数据合规到底是什么？对企业经营有何影响？企业为什么一定要做数据合规？如何才能实现数据合规？可能经过了半年多的很多品牌客户还不是很清楚。

Convertlab通过数据合规自测“五维模型”，来帮助大家更好地了解个保法对企业数据合规的要求，评估企业经营的合规性。

·数据合规到底是什么？对企业增长是阻碍还是机遇？·从组织制度、人员管理、信息保护、数据管控、风险预防 五个维度，了解企业数据合规需要做的工作？·常见的数据合规解决方案有几种？各有什么特点？如何选用合适的数据合规解决方案？

伴随着数字经济发展，数据资源需要在更多的维度和更广的领域实现流动与融合才能产生更高的价值。但是随着数据技术的普及、数据的广泛流通以及数据价值的激增，针对数据资源的外部攻击和内部滥用现象屡见不鲜，与之对应的企业数据合规和风险治理能力存在不足，企业数据安全和用户隐私已经成为关系个人权益、社会稳定和国家安全的核心议题，数据合规也成了企业乃至社会发展不得面对的问题。

如何能够知道当前的数据管理是否存在合规漏洞？又该如何实现数据合规？Convertlab为大家详细解读一下企业数据合规自测的“五维评估模型”，无论是什么行业、多大的规模，只要是在国内经营业务，都可以适用这套数据合规评估模型。

我们通过梳理，从数百条法规中，提炼了25个要点，分为组织制度、人员管理、信息保护、数据管控、风险预防5个维度，可以帮助企业快速了解当前的合规漏洞，给出初步的优化建议。

这五个维度基本涵盖了企业从数据的采集、管理、应用，由内到外的关键要点，还是具有很强的参考价值的。接下来选取3个模块的测评内容，详细解读一下五维模型与网安法、数安法、个保法对应的关系。

其中有一项评估内容是：是否对数据安全管理相关人员组织定期培训？这在各项法规中相关联的内容分别是：

《个人信息保护法》 第五章 第五十一条 第四小条：合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训。《网络安全法》 第三章 第二节 第三十四条 第二小条：定期对从业人员进行网络安全教育、技术培训和技能考核。《数据安全法》 第四章 第二十七条：开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。

由此可见，对从业人员进行合规培训，是数据合规的一项重要要求，你的企业有进行相关的培训学习吗？

其中的一个测评内容是：是否采取相应的加密、去标识化等安全技术措施？这在各项法规中相关联的内容分别是：

《个人信息保护法》 第五章 第五十一条 第（三）小条 ：采取相应的加密、去标识化等安全技术措施。《网络安全法》 第三章 第一节 第二十一条 第（四）小条：采取数据分类、重要数据备份和加密等措施。

还有涉及处理不满十四周岁未成年人个人信息的，是否制定专门的个人信息处理规则？这在各项法规中相关联的内容分别是：   

《个人信息保护法》 第二章 第二节 第三十一条：个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。 个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

数据合规强调的并不仅仅是企业如何合规地获取到用户的数据，更重要的是确保用户个人信息的安全，尤其是敏感个人信息，如用户的身份证号、生物识别信息以及未成年人信息都属于敏感个人信息。 

是否建立数据安全风险监测机制，及时发现数据泄露、漏洞等？

《网络安全法》  第三章 第一节 第二十五条：网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在 发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。《数据安全法》 第四章 第二十九条：开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施;发 生数据安全事件时，应当立即采取处置措施，按照规定及时 告知用户并向有关主管部门报告。 

无论是网安法还是数安法，都在强调风险预防的问题，促使企业改变被动的传统网络安全思维，变“事后补救”为“事前防控”型建设思路，网络安全不仅要“治病救人”，还要做到“可防可控”。

通过对上面选取的三个模块的分析，大家可以发现所有的评估内容都是有据可依的，数据合规通过有效的评估也是可以合理量化的，如果您的企业现在急需寻求系统全面的数据合规评估，实施数据合规整改，也可以和我们联系，获取更为完善的数据评估服务。

通过合规自测，可以帮助我们发现数据合规的漏洞，但发现问题之后，还要解决问题才行。前面我们讨论的更多的是法律法规对数据合规的要求，如果是组织制度方面的合规问题，可以通过完善合规机制来解决，但是如果要去实现从数据的采集、管理和应用的合规，仅靠人力是难以完成的，所以就会用到产品化的数据合规解决方案。

目前市面上常见的数据合规产品方案主要分为两种模式，一种是增强式合规产品解决方案，在原有的业务系统上进行数据合规功能的增强。如在已有的CDP系统中，增加对用户授权信息采集和偏好信息管理的功能模块开发，这种方式的好处是，在业务系统比较单一的情况下，能够便捷地进行合规数据的处理。

但是问题也是显而易见的，首先，由于是基于原有系统架构开发，会导致原有系统功能和数据合规功能耦合性太强，一旦采购新的业务系统，就要考虑跨系统之间的功能集成，而合规功能作为原有系统的一个功能模块，独立性较差；很有可能新的业务系统也要重新开发一次合规管理的功能模块，就会导致重复的开发工作量，长期来看这也限制业务系统的拓展性。

另一种方式是独立式合规产品解决方案，关于这样的数据合规解决方案，我们称之为用户同意与偏好管理系统，简称CPM。将数据合规管理作为一个独立的产品功能，可以通过API和webhook等方式，与现有的或新增的业务系统进行功能集成，进行中心化的数据合规管理。这样既不会重复造轮子，也确保了系统的拓展性。专业的产品做专业的事，就像CDP用于数据管理，MA用于营销自动化，CPM则专门用于数据合规管理。

Convertlab选择的产品解决方案，目前Convertlab的CPM已经具备成熟的数据合规能力，可以同时支持对用户同意和用户偏好管理。

 同意管理主要对用户的授权进行管理。当用户访问企业的APP、小程序、网站等触点时，企业如果想要收集用户数据，企业需要明确告知用户收集、处理并存储这些数据后，将用于何种业务目的。用户在确认授权后，企业才能进行采集，以此来规避数据风险。

偏好管理则是根据用户授权的偏好，对后续的营销动作进行管理。比起“同意管理”，“偏好管理”专注的是赋予用户选择何时、何地、以何种方式与品牌发生沟通的权利。

而企业可以按照用户的偏好选择，去动态调整营销策略。如用户如果明确表示不能通过短信的方式触达他，那经过CPM的规则引擎处理后，后续的短信营销内容就不会发给该用户，保障企业对用户授权信息的合规应用，实现良性增长。

CPM的核心目标是帮助企业实现：个人信息的全生命周期管理，从最初的数据采集到加工、存储,再到使用、传输，一直到最后的销毁，在每个节点都确保数据操作的合规性。为了确保能够帮助企业实现全面的数据安全合规，CPM提供了一套可复用的产品+咨询服务的综合解决方案。企业只需专注业务，合规的内容交给我们。

从产品侧，能为企业提供数据合规的功能支持。CPM作为一个独立的产品，可以实现APP、小程序、网站等多渠道的同意与偏好信息采集。系统内部还包含了系统配置、采集工具、分析洞察、用户请求管理，以及对用户授权、渠道、法律条款等数据进行存储的功能。并能通过消息订阅和规则引擎，与企业已有的数据系统实现功能集成，确保数据全链路运营的合规性。

在做到合规的基础上，我们还从服务侧，帮助企业将数据合规做得更好。我们会提供授权同意的最佳实践策略、法律合规风险咨询，以及为企业内部数据合规的运营管理，提供咨询服务，确保企业由内到外数据合规的一致性。总而言之，Convertlab的CPM的整体解决方案，能够一站式满足企业的数据管理的合规诉求。

——在疫情的冲击下，企业数字化转型势在必行，后疫情时代，中国的经济和外贸活动将会迎来复苏。同时，随着各国对于数据合规立法的不断完善，数据合规已经成了企业数字化转型的刚需，想要把握经济复苏的红利，企业就需要积极拥抱变化，跨过数据合规的门槛，才能实现逆势增长。