王新銳 北京市安理律師事務(wù)所合伙人

　　目前很多在產(chǎn)業(yè)界來說，大家可能沒有完全理解清楚這個事情，其實(shí)在國外來說，光是GTPR的合規(guī)催生了一大批公司，給很多公司帶來了業(yè)務(wù)。但是在國內(nèi)不管是《網(wǎng)絡(luò)安全法》，還是《等保2.0》，還是《數(shù)據(jù)安全管理辦法》，其實(shí)大家我覺得有的時候產(chǎn)業(yè)界的理解角度，包括它中間產(chǎn)生的合規(guī)義務(wù)帶來的需求，大家沒有完全去理解到。因?yàn)槲覀冮L期服務(wù)我們的很多客戶，都是中國的比較頭部的這些科技公司，包括一些跨國公司，那么當(dāng)有些時候，我們從法律的角度來講，去提出一些合規(guī)性的要求的時候，這些合規(guī)性的要求一定不是落在紙面的制度，一定要轉(zhuǎn)化成技術(shù)解決方案。我覺得數(shù)據(jù)安全這一塊，天然就有這樣一個特點(diǎn)，它的合規(guī)義務(wù)是從法律出來的，是從《網(wǎng)絡(luò)安全法》里面，是從未來的《數(shù)據(jù)安全法》里，未來的《個人信息保護(hù)法》里，目前《數(shù)據(jù)安全管理辦法》，從這些規(guī)則出來的。

　　但這個規(guī)則出來之后，它一定要落地，它怎么樣落地？它怎么把法律義務(wù)轉(zhuǎn)化成合規(guī)的方案？這一點(diǎn)其實(shí)產(chǎn)業(yè)界很多時候是可以去思考和交流的。在GDPR之后，有很多國外的公司完全貼合了GDPR的要求，做了很多技術(shù)方案。所以我們也經(jīng)常跟國外有些交流，可以看到國外有些公司專門采取了是一種比較，從合規(guī)經(jīng)營角度出發(fā)的技術(shù)方案，不完全是說從技術(shù)方案，這個可能有點(diǎn)差別。我覺得目前大家可以看到法規(guī)不斷的在發(fā)，我作為這一行的律師就非常痛苦，為什么痛苦呢？五月底開始，幾乎每一兩天兩三天，就會在夜里凌晨網(wǎng)信辦或者監(jiān)管機(jī)構(gòu)發(fā)一個文，發(fā)一個征求意見稿，之前發(fā)了《網(wǎng)絡(luò)安全審查辦法（征求意見稿）》，后面還發(fā)了《兒童個人信息管理辦法》，這些《辦法》你仔細(xì)去看它不僅僅是義務(wù)，它要轉(zhuǎn)化為解決方案。

　　所以我今天不光是給大家講一個法律義務(wù)的問題，我想講一個法律義務(wù)最后怎么落到技術(shù)上的問題。

　　我們看到，數(shù)據(jù)安全其實(shí)從產(chǎn)業(yè)層面來說，傳統(tǒng)的理解肯定就是“三性”的問題，可用性、穩(wěn)定性、完整性這些問題。這個當(dāng)然是對的。但是如果我們按《數(shù)據(jù)安全管理辦法（征求意見稿）》，它的數(shù)據(jù)安全是大數(shù)據(jù)安全的概念，它的數(shù)據(jù)安全的概念跟我們從技術(shù)上說的安全，這個概念是有一定區(qū)別的。也就是說，它除了數(shù)據(jù)自身是否安全以外，它還要去討論數(shù)據(jù)行為是否合法？大家看到除了是一個安全本身以外的問題，它是有法律問題的。而數(shù)據(jù)行為是否合法？這個定型它完全是一個法律問題嗎？我們從給企業(yè)提供合規(guī)的角度來說，后面我會講義務(wù)的時候發(fā)現(xiàn)，很多時候這個合法性判斷最后是要轉(zhuǎn)化為我采取什么樣的技術(shù)手段？相當(dāng)于我將來我的一個跟數(shù)據(jù)有關(guān)的行為，我要去向監(jiān)管，我要去向我的合作伙伴，我要向各方去證明我采取了相應(yīng)的跟我的這個行為相匹配的風(fēng)險控制的手段。

　　所以我覺得希望大家去做一個思考，也就是說，你的技術(shù)方案在法律合規(guī)的角度來講，提供了什么樣合規(guī)的價值？我覺得有的時候我跟很多做網(wǎng)絡(luò)安全的朋友在聊到，大家都聊我的產(chǎn)品提供了什么樣的功能，提供了什么樣的優(yōu)點(diǎn)，跟同行怎么樣？我從律師角度去看，從法律合規(guī)角度你提供了什么價值？因?yàn)閺倪@些新規(guī)出臺以后，企業(yè)在做預(yù)算的時候，在做采購的時候，一定會問這個問題，你這個能解決我們什么樣的合規(guī)？我一定要先解決合規(guī)要求，法律要求比較高的數(shù)據(jù)處理。

　　今年《網(wǎng)絡(luò)安全法》出來以后，我們做了案件整理，全國有各種各樣的處罰案例，從約談到企業(yè)關(guān)門，有的處罰也很重。后面會有一些規(guī)則出來以后，其實(shí)是要求企業(yè)去做映射分析的，也就是說他的數(shù)據(jù)從前面收集，到使用，到共享，到后面刪除，整個過程它是要記錄的，而且要摸底，這個事情大家可以想象，它結(jié)果不是內(nèi)部的法務(wù)的同事，或者是由技術(shù)的同事完成的，這個問題特別值得大家去思考。

　　所以我們回到數(shù)據(jù)安全這個定義，這個定義我今天所有ppt里面的內(nèi)容，幾乎沒有個人觀點(diǎn)，我覺得律師不要去講個人觀點(diǎn)，我覺得沒有用，今天我講的內(nèi)容都是來自于監(jiān)管領(lǐng)導(dǎo)的一些講話，公開的和內(nèi)部的講話，這個里面它提到數(shù)據(jù)安全分為兩重定義：

　　1、數(shù)據(jù)自身是否安全？

　　2、數(shù)據(jù)行為是否合法？

　　那么我們可以看到數(shù)據(jù)行為是否合法，是說整個數(shù)據(jù)的收集、存儲、使用、處置的過程中的規(guī)范行為。現(xiàn)在從監(jiān)管層領(lǐng)導(dǎo)的角度來講，為什么會有《數(shù)據(jù)安全管理辦法》？我覺得我們今天不去給大家講那些條文應(yīng)該怎么理解？因?yàn)槟壳斑€在征求意見的階段，目前這個版本來自網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)組，整個在法規(guī)一些表述的修改上，可能還會有些細(xì)微的調(diào)整，但是整個的信號，我覺得大家要捕捉這個信號是非常明確的。

　　這也是來自領(lǐng)導(dǎo)的講話，他提到數(shù)據(jù)安全的事情在監(jiān)管者看來有兩大原因：

　　一是技術(shù)方面的原因，如系統(tǒng)漏洞、黑客攻擊、網(wǎng)絡(luò)入侵；

　　二是有的人為了謀取經(jīng)濟(jì)利益，利用非法渠道獲取信息進(jìn)行交易。

　　所以這就意味著我們在這個環(huán)節(jié)，一方面是從防護(hù)的角度，更多的傳統(tǒng)手段是從防護(hù)的角度，那么除了防護(hù)的角度以外，怎么樣能夠把企業(yè)對于數(shù)據(jù)全生命周期的義務(wù)要求能夠把它內(nèi)嵌到其中，變成一個管理的制度，我覺得這是大家值得去交流的問題。

　　那么整個《數(shù)據(jù)安全法》保護(hù)的所謂法利，法律是要服務(wù)利益的，我們看到法律出臺，目前來說中國所有的數(shù)字經(jīng)濟(jì)領(lǐng)域的法律，大家都可以發(fā)現(xiàn)它是比較，我的說法，我的概括，當(dāng)然也是得到了業(yè)界大家的共識，就是說它是一個風(fēng)險導(dǎo)向的，它不是價值導(dǎo)向的。什么是價值導(dǎo)向？是說我僅僅從一個法律的觀念出發(fā)，比如個人對個人信息要有控制權(quán)，所以我要賦權(quán)給個人，所以它產(chǎn)生了刪除權(quán)什么權(quán)啊，這是歐洲這樣的思維，因?yàn)闅W洲它的立法是來自于它二戰(zhàn)的歷史創(chuàng)傷，猶太人被屠殺，所以它把個人信息上升到一個個人隱私，上升到一個最高價值，某種程度上，歐洲的立法很大程度上是一個價值導(dǎo)向。

　　那么中國的立法和美國的立法，這個思路上可能更接近一些，它更多的是風(fēng)險導(dǎo)向。也就是說我們?nèi)タ船F(xiàn)實(shí)中有哪些風(fēng)險？我們做數(shù)據(jù)安全的都會提到有哪些現(xiàn)實(shí)安全？這些現(xiàn)實(shí)的安全問題怎么去解決？這個是整個立法大的背景。那么它其中有哪些法律上的意義呢？我們會有三個層面，所以整個數(shù)據(jù)安全管理辦法跟個人信息的區(qū)別在什么地方？個人信息的保護(hù)相對微觀，從你個人的角度。而數(shù)據(jù)安全的角度相對是宏觀的，它有三個層面：

　　1、國家安全層面，它把數(shù)據(jù)視為一個整體去看，去保護(hù)的。

　　2、企業(yè)權(quán)益；

　　3、個人權(quán)利。

　　從國家層面來說，其實(shí)它在國家層面提了很多的要求，個人層面來說，之后會有單獨(dú)的個人信息保護(hù)的立法，中間企業(yè)層面它的需求，它怎么樣做到安全又要合規(guī)？其實(shí)強(qiáng)制性規(guī)定是比較少的。但是后續(xù)在保護(hù)國家和個人的過程中，會涉及到企業(yè)。

　　我們幫企業(yè)做合規(guī)的過程中有一個總結(jié)吧，叫做“不可能三角”。就是有的時候國家、企業(yè)、個人是完全利益一致的，但是說實(shí)話，并不總是這樣。所以有的時候會發(fā)現(xiàn)，不可能是國家、企業(yè)、個人三者的利益完全統(tǒng)一，相信大家也會發(fā)現(xiàn)這個問題，不是總是統(tǒng)一，所以就意味著三者不能同時兼顧，有的時候可能國家和個人的利益兼顧，企業(yè)的利益某種程度上會受到損失，國家和企業(yè)的利益受到了保護(hù)，個人利益就可能受到損失。所以在每個階段，可能一個階段是說我要讓數(shù)字經(jīng)濟(jì)，讓產(chǎn)業(yè)發(fā)展更快一些，可能相對來說國家和企業(yè)利益的保護(hù)比較充分，個人的權(quán)利可能受損?，F(xiàn)在這個階段，個人的權(quán)利的保護(hù)加強(qiáng)了，可能企業(yè)就會面臨著它的業(yè)務(wù)受到比較大的沖擊，比較大的也想，會有這種價值的沖突。

　　這一點(diǎn)上，如果你的技術(shù)方案能夠兼容幾者的價值，其實(shí)這個會非常有價值。而且我們自己看到在國外一些做合規(guī)公司，美國的也好，歐洲的也好，快速的崛起，就是因?yàn)樗鼈儼袵DPR中的價值沖突用技術(shù)方式解決了，我覺得這個是一個很大的機(jī)會。

　　整個數(shù)字立法的思路，這是我們整個從法規(guī)中，包括從前面參與的，我們在配合監(jiān)管部門做很多立法支撐的時候，其實(shí)也有一些討論。

　　第一個，以數(shù)據(jù)生命周期為軸；首先來說數(shù)據(jù)安全，這次的《數(shù)據(jù)安全管理辦法》應(yīng)該說是我們國家從行政法規(guī)層面，從部門規(guī)章角度第一次它是按照數(shù)據(jù)的全生命周期來的。我們之前的法律不管是《網(wǎng)絡(luò)安全法》還是其他的涉及到數(shù)據(jù)的法律，它其實(shí)沒有按照生命周期來，這個我覺得是立法思路上的重大調(diào)整。大家可以看《數(shù)據(jù)安全管理辦法》它的第二章是數(shù)據(jù)的收集，它的第三章是數(shù)據(jù)的處理和使用。這個傳統(tǒng)上，我們立法上傳統(tǒng)是這樣一個立法思路。所以現(xiàn)在來說整個《數(shù)據(jù)安全管理辦法》它的框架跟我們企業(yè)的操作，跟生命周期是比較一致的。

　　但另外一方面，意味著一旦它的規(guī)則跟你企業(yè)平時設(shè)定好生命周期處理的機(jī)制和你的要求是不一致的時候，你就必須要調(diào)整，因?yàn)榉赏耆前催@個來了，你很難像以前一樣，比如我不按照這個去調(diào)整，現(xiàn)在法律上是規(guī)定的比較清楚了。

　　第二個是數(shù)據(jù)采集最小化原則；這個在整個法規(guī)中都有提及。什么叫數(shù)據(jù)最小化原則？簡單說就是最小公約，就是我數(shù)據(jù)收集了以后，我經(jīng)歷了什么？我只要能滿足我企業(yè)的需求，就不要多收集數(shù)據(jù)，這個不光限制個人信息，也包括其他的信息。這個原則大體上是對的，因?yàn)橐阅壳暗谋Ｗo(hù)水平來說，如果過渡收集了數(shù)據(jù)，你又沒有辦法采取合規(guī)手段的保護(hù)，現(xiàn)在都說數(shù)據(jù)資產(chǎn)管理，說數(shù)據(jù)是石油，很多人在沒有想好怎么想好怎么用的情況下，沒有想好怎么保護(hù)的情況下，就過渡的收集數(shù)據(jù)。

　　所以在這個情況下，我們現(xiàn)在看到在很多立法中都有看到最小夠用原則，這本身也是國際上APEC也好，美國也好，歐洲也好，在中間體現(xiàn)了一個重要的隱私保護(hù)原則，數(shù)據(jù)是最小化原則。

　　但是，在這里說但是，數(shù)據(jù)最小化原則跟很多行業(yè)的實(shí)踐都是矛盾的，比如說金融，比如說汽車，這些領(lǐng)域，我們現(xiàn)在也在做一個自動駕駛業(yè)務(wù)，也在做金融企業(yè)的合規(guī)，一個車出去一天是十多個T的數(shù)據(jù)，這個怎么做最小化？而且很多領(lǐng)域是需要冗余的，去防止出現(xiàn)錯誤。這個跟數(shù)據(jù)最小化這個大的原則，其實(shí)有的時候會有沖突。

　　所以我們這次看《數(shù)據(jù)安全管理辦法》，不管它后續(xù)怎么調(diào)整，我們大信號是非常清晰的，包括后面一些規(guī)則，就是你在收集數(shù)據(jù)環(huán)節(jié)是要收緊的。因?yàn)檫@個原則在學(xué)術(shù)界、在實(shí)業(yè)界都有爭論，之前大家一直在討論是把收集環(huán)節(jié)扎得更緊，還是收集環(huán)節(jié)稍微放松一點(diǎn)，在使用環(huán)節(jié)去放松，使用環(huán)節(jié)去管制。但是目前來看，整個現(xiàn)在這個立法來說是在收集方面就扎緊了，這個原則就會使得我們在業(yè)務(wù)中，有大量數(shù)據(jù)收集的公司達(dá)不到最小化原則的公司，就意味著它收上來的數(shù)據(jù)怎么保證它的安全？這個是有非常多的技術(shù)上需要做的事情。

　　第三個是加重平臺責(zé)任；實(shí)際上現(xiàn)在的要求是，一個大的平臺企業(yè)，你對于你上面接入的第三方服務(wù)，對于你下游，包括跟你的上游，很多數(shù)據(jù)，我們現(xiàn)在很多人講數(shù)據(jù)中臺，講數(shù)據(jù)打通，我跟一些企業(yè)去聊，我發(fā)現(xiàn)很多時候企業(yè)大老板講的東西，跟法律合規(guī)上的趨勢是有矛盾的。大老板是講說我們把所有數(shù)據(jù)打通，我們調(diào)用的時候作為一種服務(wù)，我們把數(shù)據(jù)和產(chǎn)品輸出，這樣的話，給客戶帶來更好的效率，更精準(zhǔn)減少浪費(fèi)。但是在我們現(xiàn)在的整個立法過程中，它對于數(shù)據(jù)的融合，對于數(shù)據(jù)的打通，對于各種數(shù)據(jù)脫離它原有的目的這種使用方式，其實(shí)有很多時候是有很多限制的。

　　所以這個里面光是一個權(quán)限管理的問題，也就是說數(shù)據(jù)怎么來的怎么出去的？整個生命周期過程中它上面有哪些限制，已經(jīng)是有一個很大的需求因?yàn)橹蟮脑?，相?dāng)于你要對上游的數(shù)據(jù)源它的合規(guī)進(jìn)行負(fù)責(zé)，你要對下游給出去的數(shù)據(jù)，它使用的方式負(fù)責(zé)。那這個過程中，其實(shí)理想的情況下，它是要有可追溯性的，包括像歐盟的話，GDPR強(qiáng)調(diào)這個，其實(shí)我們可以把它理解為可追溯。也就是說，整個過程中，如果你不做這個事情，因?yàn)楝F(xiàn)在法律規(guī)定，假如出現(xiàn)風(fēng)險的話，假如出現(xiàn)問題的話，你要跟它一起承擔(dān)責(zé)任的，跟你的上游也好下游也好。除非你能證明無過錯，我們知道在法律層面，在司法實(shí)踐層面，證明無過錯是很困難的，作為一個大平臺怎么證明我沒有錯？其實(shí)是很困難的。這個時候要證明你沒有錯，在很多合規(guī)的方面要盡量去做，我在技術(shù)上，各方面產(chǎn)品上，在條文上，在相應(yīng)的文本上做了很多的投入，這個時候你看我所有能做的都做了，但是依然出現(xiàn)了問題，這個時候不會承擔(dān)責(zé)任的。

　　第四個以備案作為抓手。整個我們可以看到這次《數(shù)據(jù)安全管理辦法》以及后續(xù)的，像昨天晚上又是凌晨發(fā)了一個信息，數(shù)據(jù)出境的規(guī)則，也一樣，它強(qiáng)調(diào)的是備案，以備案作為抓手。所以有時候大家去了解，以前我們是行業(yè)監(jiān)管，垂直監(jiān)管，我是一行兩會我監(jiān)管的是金融行業(yè)，我是交通部我監(jiān)管汽車，我是衛(wèi)計(jì)委我監(jiān)管醫(yī)療。那么這種垂直的監(jiān)管，現(xiàn)在面臨一個問題，以前我是根據(jù)牌照，針對具體的行政審批去監(jiān)管，但是現(xiàn)在大家看很多的跨行業(yè)發(fā)展，很多的融合，原來這個數(shù)據(jù)原來是一個汽車行業(yè)的數(shù)據(jù)，我同樣可以用到金融領(lǐng)域或者其他領(lǐng)域，所以數(shù)據(jù)打通的過程中，對這種垂直性的監(jiān)管不利，因?yàn)樗恢肋@個企業(yè)在哪？以前我看牌照就行了，現(xiàn)在這么多互聯(lián)網(wǎng)金融企業(yè)，或者很多科技這一類的，跟大公司去提供服務(wù)的科技數(shù)據(jù)代包的企業(yè)，都是有這個問題。

　　現(xiàn)在這個規(guī)則的要求是說，對于使用這種能涉及到個人敏感信息的，涉及到重要數(shù)據(jù)的企業(yè)要去做備案，這個過程怎么樣去備案？大家看到備案一個抓手，那么備案的過程中，其實(shí)對企業(yè)來說沒有那么緊張，因?yàn)閷?shí)際上我們自己在幫很多企業(yè)做合規(guī)項(xiàng)目的時候，一個項(xiàng)目可能訪談十幾個企業(yè)的高管，沒有一個高管知道公司數(shù)據(jù)從頭到尾怎么用？很多高管是我負(fù)責(zé)數(shù)據(jù)，把數(shù)據(jù)抓進(jìn)來融入到大的池子里，有的人是從里面抽水，我把大池子中的數(shù)據(jù)輸出提供服務(wù)，CEO可能是把一個產(chǎn)品向客戶去推出，我們多次發(fā)現(xiàn)一個問題，可能一個公司中沒有人真的知道數(shù)據(jù)全生命周期怎么流動怎么使用？又有什么限制？

　　那么這個問題在我們要集中備案的時候，就特別困難，因?yàn)槲覀円M(jìn)行備案的時候，就需要向監(jiān)管機(jī)構(gòu)提供這些東西。所以大家可以看到，這個里面的制度要求，每一個制度性的要求，都是商業(yè)機(jī)會，我覺得都是對產(chǎn)業(yè)的機(jī)會。這其實(shí)就是一個條文，而且這個條文跟《網(wǎng)絡(luò)安全法》是高度一致的。所以大家可以看到安全管理的評價考核制度，然后安全計(jì)劃啊，安全技術(shù)防護(hù)啊，風(fēng)險評估啊，應(yīng)急預(yù)案啊，這里面有些東西是相對原本的東西，所以作為我來說，我覺得企業(yè)應(yīng)該把自己的產(chǎn)品和這些東西對照一下。當(dāng)我跟客戶溝通的時候，告訴客戶，我在這個方面能給你提供什么價值？

　　然后我們看一下重要數(shù)據(jù)，重要數(shù)據(jù)現(xiàn)在仍然是一個偏模糊的概念，但這次整個規(guī)則中，因?yàn)閭鹘y(tǒng)上來說，之前我們提到重要數(shù)據(jù)，拿《網(wǎng)絡(luò)安全法》來說，更多強(qiáng)調(diào)的是CI這個關(guān)鍵基礎(chǔ)設(shè)施，但絕大多數(shù)公司不是關(guān)系國計(jì)民生的，你是核電站啊，你是水庫啊，一般不用CI。但是現(xiàn)在來說它擴(kuò)大了，它講重要數(shù)據(jù)，重要數(shù)據(jù)是大面積的數(shù)據(jù)，一旦泄露對國家對社會產(chǎn)生重大影響，大面積的人口、地理這種數(shù)據(jù)做一些列舉，企業(yè)內(nèi)部的數(shù)據(jù)不是重要數(shù)據(jù)。有重要數(shù)據(jù)這個概念在這兒，意味著我們現(xiàn)在整個數(shù)據(jù)核心第一是管個人信息；第二重要數(shù)據(jù)。這也是上午秘書長提到的，可能重要數(shù)據(jù)這個層面主要是國家層面，個人信息主要是個人層面，所以這個里面?zhèn)€人數(shù)據(jù)處理的要求是說當(dāng)網(wǎng)絡(luò)運(yùn)營者發(fā)布的時候要進(jìn)行安全評估，安全評估要對風(fēng)險進(jìn)行一個分析，對是不是重要數(shù)據(jù)提供數(shù)據(jù)的失控啊進(jìn)行分析。

　　所以我覺得我們之后會面臨到，很多企業(yè)對外提供也好，向境外提供也好，而且以后數(shù)據(jù)出境會非常難，數(shù)據(jù)出境非常難會帶來一個很大的機(jī)會，就是國外的公司必須在中國做本地化數(shù)據(jù)各種各樣的方案這種合規(guī)，而且這種合規(guī)跟它之前大公司進(jìn)行管理包括歐盟的規(guī)則要做一個融合，所以相當(dāng)于給它做一套技術(shù)方案，能夠解決它在中國合規(guī)性要求，同時跟它在原來的控股集團(tuán)里面這些制度保持一致。

　　責(zé)任承擔(dān)，其實(shí)剛才提到了，如果是對接，要求平臺作為第三方數(shù)據(jù)安全管理承擔(dān)監(jiān)督責(zé)任，這種監(jiān)督一定不是說依靠法務(wù)部來去監(jiān)督的，它是沒有抓手，一定要看一些技術(shù)方案，很多時候我們通過API，通過SDK，通過其他的方式把數(shù)據(jù)進(jìn)行輸出，那個數(shù)據(jù)輸出之后是不是有留痕？是不是能控制？他不正常使用的時候，我們有沒有辦法？我們是做了一個數(shù)據(jù)的兩色，還是做了特別的處理？我覺得一旦能做到，其實(shí)是有很大的市場需求，現(xiàn)在很明顯這個需求還是很明顯的，很多企業(yè)都說，你們根據(jù)法規(guī)提出的要求，找不到合適的供應(yīng)商來去做，可能他們沒有理解到這個要求。

　　備案制度，剛才其實(shí)提到重要數(shù)據(jù)和個人敏感信息進(jìn)行備案，那么這種備案制度其實(shí)對整個數(shù)據(jù)的控制，對整個數(shù)據(jù)的記錄是有很大的要求。

　　同意原則，很多時候?qū)τ诒热缯f未成年人他的家長，他的監(jiān)護(hù)人同時必須要同意，這是最新的規(guī)則。這個規(guī)則在美國也創(chuàng)造了很大的商業(yè)機(jī)會，因?yàn)檫@個過程中其實(shí)是要驗(yàn)證是不是他的家長，是不是他的監(jiān)護(hù)人，監(jiān)護(hù)人不是同意？這個過程中一定要用技術(shù)方案盡量把它成本降下來。所以跟同意有關(guān)的是整個現(xiàn)在數(shù)據(jù)安全、數(shù)據(jù)合規(guī)中最基本的基礎(chǔ)，這個基礎(chǔ)上，其實(shí)有很多時候不能單純靠傳統(tǒng)說掛一個網(wǎng)站，掛一個隱私政策就解決了，其實(shí)很多時候要有方案的。

　　歧視行為，其實(shí)主要是說現(xiàn)在不能把個人信息用于區(qū)分對待。

　　爬蟲這個問題，其實(shí)今天可能沒有辦法去展開講，但爬蟲其實(shí)是現(xiàn)在一個大的痛點(diǎn)，一方面國家要管控爬蟲，另一方面爬蟲說實(shí)話是整個互聯(lián)網(wǎng)，整個科技行業(yè)存在的基石。我們作為企業(yè)作為防護(hù)端來講，去爬的過程中怎么讓它合規(guī)？這個之后整個我們在生命周期管理的時候，要把有些預(yù)警機(jī)制做進(jìn)去。

　　信息刪除，原來很多企業(yè)很多數(shù)據(jù)都不刪，但是后面數(shù)據(jù)怎么刪除，怎么隔離出去，也是一個很大的問題。

　　最后一句話，整個數(shù)據(jù)安全看起來，這幾個字看起來是技術(shù)問題，但我覺得在整個法規(guī)生效以后，首先是法律問題，法律定義了企業(yè)必須做什么事情，法律定義了企業(yè)底線這個東西。所以這點(diǎn)上，我希望明年大家在開會的時候，很多企業(yè)在生效之后，我們針對新的法規(guī)提出一些行業(yè)解決方案，相信這個會對整個的市場來說是更多的一些選擇，也讓監(jiān)管的壓力減少。因?yàn)閷?shí)際上如果有些技術(shù)的方案能夠解決，你監(jiān)管沒有必要去出強(qiáng)力的、壓力比較大的政策，這對我們整個中國的數(shù)據(jù)經(jīng)濟(jì)是一個很好的推動作用。