了解中国最新的数据合规和 AI 治理趋势

• 数据安全法将对公司运营产生深远影响。2017年的网络安全法对具体应用场景实践的指导有限。2021年的数据安全法明确了该法律将如何执行以及合规对公司意味着什么。比如《网络安全审查办法》明确规定，用户超过100万的企业在海外上市前必须获得政府的批准。《网络数据安全管理条例（征求意见稿）》要求实施必要的数据安全控制、事件响应措施。针对数据安全事件，在三个工作日内通知数据主体、建立数据安全投诉渠道等等。关于重要数据，数据分类和分级系统将在未来几个月建立。目前，企业可以根据《信息安全技术 重要数据识别指南》征求意见稿对其数据进行分类，但最终版本可能会有变化。 

• 《个人信息保护法》（PIPL）要求提高透明度及保障用户的知情权和决定权。  该法律规定，服务运营商在请求许可时应提供准确的描述，个人有权撤回许可。基于此，许多互联网服务或是更新了他们的使用条款，亦或是要求对同一应用中的不同服务重新授权。微信已经将他们的退出选项重新设计到一个清晰的个人资料设置页面。公司需要调整他们的推荐服务和商业策略，提前考虑到未来将可能会有更少的用户特征数据。企业在处理其员工个人信息时，也应参考相同的标准，调整内部政策。

• 算法推荐新规对道德规范提出要求。从3月1日起，新法规要求推荐服务应当保证决策的透明度和结果公平、公正。算法模型不能诱导用户放纵或过度消费。公司不得对个人在交易价格等交易条件上实行不合理得差别待遇。公司可能需要设计新的方式来显示、分类和过滤信息。一些互联网公司应评估其商业模式和定价策略。该法规要求服务提供商告知用户其算法的目的和意图。企业应该在其同意条款上更加透明，或者提供新的方式来告知用户。 

企业应该如何应对？

在持续演进的监管环境中，企业往往难以确定恰当的安全治理和实践方式来满足合规性。因此，许多公司选择放缓产品和服务的开发，等待更加明确的执行标准和应用细节。公司可以参考 Forrester 的网络安全和隐私手册，以提高自身的监督能力。我们建议公司采用以下三种做法以适应当今趋势:  

1. 根据要求进行自我评估。 《个人信息保护法》第五章明确了个人信息处理者的义务，这可以成为您评估的起点。将您的初步评估集中在内部数据使用和处理实践上。然后，扩展您的视角，评估您与第三方合作伙伴和服务共享或交换的数据。默认的数据共享策略和API都存在潜在风险。

2. 从别人的失败中学习。 一些互联网公司已经收到了国家应用程序管理中心的警告。对于严重的情况，企业必须暂停和整顿其服务，然后等待批准继续经营。被警告的企业以及警告原因是可公开查询的。企业应关注这些案例，并将其作为案例，定期进行内部审查。

3. 寻找治理和数据保护的新技术。 组织间的数据交换需要更多的管理和监控。企业可以探索新的机制，通过同态加密、差分隐私、保密计算等新兴技术和方法来传输或变更数据。