数据合规 | 企业数据合规的三种状态 你属于哪种? 企业如何才能实现“实质合规”?

2022-10-20 161

从2021年11月《个保法》颁布以来,Convertlab经过近一年的实践探索,总结了国内企业合规的三种状态——纸质合规、形式合规和技术合规。这也分别代表了企业由低到高的三种不同合规水平……

在全球数字经济发展的大背景下,2020年我国将数据定位为新型生产要素, 已正式与土地、劳动力、资本、技术等传统生产要素并列为国家基础战略性资源和社会生产创新的要素之一。
我国各行业数据资源丰富,价值优势突出,利益相关方蜂拥而至,且随着各行各业数据内外部应用的同步拓展和推进,数据合规问题日益凸显,数据合规需求更加迫切。 
虽然我国已经颁布了《数安法》、《网安法》、《个保法》等一系列数据合规相关的法律政策,但从立法到实践还存在诸多阻碍。目前国内的数据合规生态普遍还处在“初创阶段”,存在不少界定不清的模糊地带,关于落地实施的技术解决方案更是少之又少。 
从2021年11月《个保法》颁布以来,Convertlab经过近一年的实践探索,总结了国内企业合规的三种状态——纸质合规、形式合规和技术合规。这也分别代表了企业由低到高的三种不同合规水平,同时,我们也打磨了一套帮助企业做到实质合规的技术解决方案。 下面将展开分享三种合规状态,企业可自行对照评估当前的合规水平,从而确定下一步的合规整改策略。 

01

纸面合规 
纸面合规是指企业仅仅将对内的合规管理制度、对外的用户协议及隐私政策进行了一些纸面上的优化调整,但并未将合规管理落实到实际经营当中。 
纸面合规是企业整体合规的一部分,但是这种状态的合规水平较低,难以满足法律合规要求,无法对潜在的数据违规行为进行识别和预防,也缺乏对违规行为的自我处理和有效应对。
目前国内大部分企业处于无任何合规措施状态,能做到纸面合规的企业占比也是少数。一方面是由于国内数据合规管理起步较晚,全面普及还需要一定的时间;另一方面,数据合规价值还有待进一步挖掘,如为企业在市场竞争中提供诚信度背书;将企业责任与员工责任、上下游企业责任进行有效切割;最大限度预防行政违规与刑事犯罪危险等,实现数据合规的价值驱动。 

02

形式合规 
形式合规在纸面合规的基础上更近一步。通过制定合规策略,借助技术手段,在与用户交互的各个终端触点,做到明确告知并获取用户同意授权的形式。如告知用户需要采集的数据类型、用于何种业务目的、通过何种方式采集等,并将用户授权同意的状态逐条做好记录。 
但这样的状态也仅仅是在用户的交互形式上确保合规。明确了告知和同意授权的状态记录,这些信息并不能与企业的营销系统互通,也就无法根据用户的授权偏好开展后续的营销行为,将会损害用户个人信息的权利,存在数据违规应用的风险。 
举个例子,在企业告知用户需要进行数据采集之后,用户允许企业采集手机号,但是明确拒绝企业通过短信的方式触达用户,根据合规的要求,企业不能通过短信给用户下发营销信息。然后在实际操作中,许多企业并未记录用户的授权状态,或者是记录了但并未根据用户的授权状态过滤触达人群,这就会导致企业出现数据违规应用的情况。 
形式合规解决了数据采集的合规性,但是在数据跨系统间的流转和营销应用上缺少协作互通的能力,难以真正赋能到企业的业务营销活动。这就需要更进一步,打通数据合规采集、管理到营销应用通路。这就需要企业达到第三种状态——实质合规,也可以称之为技术合规。 

03

技术合规 
技术合规才是真正意义上帮助企业实现从数据的采集、管理和营销应用的全链路合规。
Convertlab经过近1年的实践探索,基于CPM这款数据合规产品,推出了企业数据合规全链路技术解决方案。 在数据合规采集环节,CPM可以对隐私政策、业务目的等进行管理,并在用户访问企业的网站、小程序、APP、表单以及线下的终端设备时,对用户进行数据采集告知提示,并可对不同渠道触点的用户授权信息进行逐条记录;用户在变更授权状态后,也会实时生成变更凭据,实现数据留痕,有据可查。 
在数据合规管理环节,可以通过CPM规则引擎将不同渠道触点的授权状态进行整合统一,保持用户授权状态的一致性,避免出现数据超范围应用的违规情形;当企业的业务目的、隐私政策发生变更时,还可及时告知用户,重新获取授权,确保授权的延续性。 在数据合规应用环节,CPM具备丰富的API、SDK和webhook等技术接口能力。
可与企业已有或新增购的业务系统进行功能集成,将用户同意授权信息共享给CDP、MA、SCRM等业务系统,企业在开展营销触达的活动时,就可以利用用户同意授权的状态信息,进行圈群、分组、过滤等操作,确保用户数据应用和营销触达的合规性。 
未来,通过在实际业务场景中的不断实践和迭代,CPM还将进一步完善合规管理能力,为企业提供更为全面的合规技术解决方案,帮助企业实现由内到外的实质合规。