近年来，数据法规体系日益完善，数据合规与技术的结合也日益紧密。当业务发展和合规不可避免的发生冲突时，往往也需要通过技术来调和矛盾。

DPO沙龙

11月6日，以“数据合规中的自动化技术及其应用”为主题的数据保护官（DPO）沙龙在上海举办，由上海交通大学凯原法学院数据法律研究中心、上海杉涌律师事务所共同承办。

会上，多位法律学者、合规律师以及技术专家探讨数据合规和技术的关系，探索利用技术提升合规能力的方法。有专家表示，运动式治理使得企业处于疲于应状态，既损耗合规组织信用，更实际将企业处于“亚健康” 状态；单纯价值驱动的解决方案缺乏数据尤其是个人信息合规管理基础。

沙龙由上海交通大学凯原法学院数据法律研究中心主任彭诚信进行开幕致辞。彭诚信指出，数据合规工作的重要性，以及研究数据合规与技术相关问题的必要性毋庸置疑。

DPO社群发起人、北京理工大学法学院教授洪延青在发言中表示，传统的信息安全有三个特性：完整性、保密性和可用性。所谓完整性指的是数据不会被损毁，保密性指的是只对拥有查看权限的人开放，可用性则是当调用数据时可以使用。但是现在，企业为了符合个人信息保护、数据安全的要求，信息系统还需要具备透明性、可干预性以及不可连接性。

他进一步解释，所谓透明性指的是数据处理全生命周期的流程是透明的，高敏感属性的数据在处理过程中可以被记录，也可以被重构。具体的实现方式为数据处理者集中上传日志记录、形成工作的文档化、同时与个人持续沟通、隐私政策和数据处理规程要流程化等。

同时，不可连接指的是，数据不能被跨场景的融合汇聚，使不同场景的数据保持隔离状态，以此来满足法律要求的最小必要以及目的限定原则。实现不可连接性可以通过减少数据收集、去标识化或隔离不同场景的数据等方式。

DPO社群发起人、北京理工大学法学院教授洪延青

洪延青表示，可干预性指的是，在数据处理的过程中，个人对数据处理的业务流程有干预的权利。比如，更正删除权、撤回同意权。法律中为个人赋予了各种权利，但数据处理者落实这些权利是不太容易的。

他认为，随着法律法规的发展完善，企业需要将合规与技术结合在一起，才能满足不断变化的要求。

“不通过自动化实现的所有合规标准，都是毫无价值的。”彭诚信也表示，普适性的行业标准并非适用于每一家企业，企业应该为数字产品建构符合它自己的合规框架。

会上，杉涌律师事务所律师刘晓霞发布了白皮书——《杉涌数据和网络安全合规手册》。白皮书提出了对企业的合规建议：梳理企业内部公开的个人信息相关情形，开展个人信息保护影响评估；完善处理相关的告知机制，并留意是否存在需要获取同意的情形；建立并维护畅通的信息主体行使权利的渠道。

会上，北京尚隐科技有限公司 CEO张仁卓从使用技术手段构建组织数据合规掌控力的角度谈到，强监管下，数据保护有了新的含义。不同于传统的防黑客防内鬼等管住“坏人”的手段，而是企业需要自我管理、自证清白。

在企业的应对策略上，他建议落地数据治理相关技术，有效地管理敏感数据；构建并利用隐私增强技术平台，最小化数据风险，释放数据价值。

杉涌律师事务所合伙人张曜还分享了数据出境安全评估的实务问题与对策。他从数据出境安全评估申报工作中的技术考虑、确定数据出境安全评估申报策略时的技术考量、确定数据出境安全评估申报内容颗粒度时的技术理解提及通过技术措施和法律理解满足业务和数据监管要求四个方面进行阐述。抖音集团数据及隐私保护法务负责人田申则分享了企业如何基于规范与信任开展数据处理工作的实务经验。

此外，有专家表示，运动式治理使得企业处于疲于应状态，既损耗合规组织信用，更实际将企业处于“亚健康” 状态；单纯价值驱动的解决方案缺乏数据尤其是个人信息合规管理基础。

如何才能化被动应对为主动合规？个人信息保护影响评估（PIA）或许是目前最可行的方法。

中国电子技术标准化研究院网安中心测评实验室副主任何延哲认为，PIA会成为后续个人信息保护法深入落实过程中“抓得比较实”的一个主要工作，而且未来监管部门可能会提出相关要求。

他提到，希望实务界能够自下而上地推进PIA工作并得到共识，做到基本满足后续监管的要求，“争取把PIA推成一个真正对个人信息权益保护发挥作用的行业自律机制。”

在沙龙活动的最后，彭诚信进行了点评与总结，并从法理角度分析了在互联网个人信息保护以及合规领域中，个人信息人格权益和财产权益的属性为实践方面所带来的挑战。


综合：南都记者 孙朝 蒋琳

编辑：蒋琳