2018年，歐盟出臺(tái)了《通用數(shù)據(jù)保護(hù)條例》（GDPR）。

　　2019年，谷歌因?yàn)槲传@得用戶(hù)許可定向發(fā)送廣告收到了高額的罰單，同年也是我國(guó)個(gè)人信息保護(hù)的元年。這一年，針對(duì)個(gè)人信息保護(hù)國(guó)內(nèi)監(jiān)管部門(mén)開(kāi)始開(kāi)展了相關(guān)整治活動(dòng)，公安部發(fā)布了《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布了《數(shù)據(jù)安全管理辦法》（征求意見(jiàn)稿）……也是從這一年開(kāi)始，央視315晚會(huì)曝光了某公司違法收集用戶(hù)個(gè)人信息的數(shù)據(jù)安全事件。

　　2020年，315晚會(huì)曝光多個(gè)手機(jī)APP的 SDK 插件竊取用戶(hù)隱私，比如運(yùn)營(yíng)商信息、電話號(hào)碼、短信記錄、通訊錄、傳感器信息等。

　　2021年，同樣是在315晚會(huì)上，個(gè)人信息泄露成了最重磅的主題：商家無(wú)處不在的攝像頭無(wú)聲無(wú)息中獲取我們的人臉識(shí)別信息，數(shù)百萬(wàn)份個(gè)人簡(jiǎn)歷信息在網(wǎng)上被轉(zhuǎn)賣(mài)，手機(jī)清理類(lèi)軟件偷偷收集老人手機(jī)里的信息

　　又是一年315，毫無(wú)懸念，信息安全與個(gè)人信息保護(hù)連續(xù)第四年出現(xiàn)在晚會(huì)議題中。在今年的315晚會(huì)上，首設(shè)“315信息安全實(shí)驗(yàn)室”，重點(diǎn)關(guān)注網(wǎng)絡(luò)信息安全和兒童互動(dòng)產(chǎn)品的信息安全。實(shí)驗(yàn)室曝光的“虛假Wi-Fi連接”類(lèi)App后臺(tái)高頻次搜集信息亂象，以及通報(bào)“2021年工業(yè)和信息化部‘聚焦違規(guī)調(diào)用手機(jī)權(quán)限，超范圍收集個(gè)人信息’等APP專(zhuān)項(xiàng)整治工作”成果，再一次將數(shù)字時(shí)代消費(fèi)者面臨的個(gè)人信息安全和隱私保護(hù)問(wèn)題放到了“聚光燈”下。正如晚會(huì)總導(dǎo)演尹文所言：“3·15晚會(huì)不是為了打擊誰(shuí)，而是給一些廠家一個(gè)善意的提醒。你在做好產(chǎn)品的同時(shí)，別忘了你的軟件背后的安全也很重要。信息安全在萬(wàn)物互聯(lián)時(shí)代，比產(chǎn)品本身更重要……”

　　2019-2022，連續(xù)四年都曝出消費(fèi)者個(gè)人信息被違法違規(guī)收集使用的情況，我們不禁要問(wèn)，難道保障個(gè)人信息安全真的這么難嗎？

　　時(shí)至今日，我們的日常生活幾乎都與互聯(lián)網(wǎng)息息相關(guān)，我們?cè)诨ヂ?lián)網(wǎng)上的每一個(gè)操作、每一次停留都可能以“痕跡”之名保留下來(lái)，甚至對(duì)應(yīng)到個(gè)人的隱私信息，被稱(chēng)之為“用戶(hù)畫(huà)像”。從商業(yè)角度而言，互聯(lián)網(wǎng)平臺(tái)自然希望通過(guò)掌握用戶(hù)畫(huà)像，分析用戶(hù)的偏好，以達(dá)到精準(zhǔn)推送的商業(yè)目的。過(guò)去，這些成為互聯(lián)網(wǎng)行業(yè)發(fā)展的重要?jiǎng)恿蜐撛谝?guī)則。然而，隨著“強(qiáng)化反壟斷和防止資本無(wú)序擴(kuò)張”被列為2021年中央經(jīng)濟(jì)工作會(huì)議的八項(xiàng)重點(diǎn)任務(wù)之一，《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等法律法規(guī)的頒布，涉嫌過(guò)度收集和利用個(gè)人信息已成為懸在一些互聯(lián)網(wǎng)公司頭頂?shù)倪_(dá)摩克利斯之劍。當(dāng)然，很多互聯(lián)網(wǎng)公司也在積極響應(yīng)國(guó)家政策和法律要求，加強(qiáng)了關(guān)于個(gè)人信息安全合規(guī)的整改，但過(guò)程中依然存在一些問(wèn)題，也面臨一些難題。

　　在處理信息時(shí)落實(shí)“最小方式、最小范圍、最短時(shí)間”的原則依然不到位?；ヂ?lián)網(wǎng)公司僅從業(yè)務(wù)出發(fā)考慮數(shù)據(jù)采集和處理的問(wèn)題，數(shù)據(jù)采集和處理的必要性、影響性評(píng)估不足，仍然可能存在過(guò)度收集、超范圍使用等現(xiàn)象。

　　對(duì)敏感個(gè)人信息處理的重視不足。對(duì)自身采集了哪些敏感信息，實(shí)施了怎樣的保護(hù)，有什么樣的風(fēng)險(xiǎn)感知不足，未采取單獨(dú)的保護(hù)措施或處理規(guī)則對(duì)敏感個(gè)人信息進(jìn)行重點(diǎn)保護(hù)。

　　對(duì)第三方產(chǎn)品和服務(wù)的管理不足。第三方SDK、第三方產(chǎn)品和服務(wù)接入互聯(lián)網(wǎng)平臺(tái)時(shí)，互聯(lián)網(wǎng)公司未充分盡到管理責(zé)任，也未與第三方約定好各自權(quán)利與義務(wù)，導(dǎo)致個(gè)人信息被多方收集，濫用和泄露的風(fēng)險(xiǎn)大增。

　　自我監(jiān)管不足。在合規(guī)方面投入不足，內(nèi)部個(gè)人信息、敏感個(gè)人信息的存儲(chǔ)和使用不清晰，對(duì)安全合規(guī)風(fēng)險(xiǎn)的感知能力不足。

　　個(gè)人信息權(quán)利保障不足。仍然存在保障個(gè)人信息的可攜帶權(quán)、刪除權(quán)等權(quán)利方面支撐不足。

　　數(shù)據(jù)安全合規(guī)包括個(gè)人信息安全合規(guī)，數(shù)據(jù)安全合規(guī)與信息系統(tǒng)、業(yè)務(wù)、場(chǎng)景等緊密關(guān)聯(lián)，對(duì)數(shù)據(jù)安全合規(guī)進(jìn)行深入地審計(jì)需要基于日志等證據(jù)數(shù)據(jù)，進(jìn)行關(guān)聯(lián)分析、綜合評(píng)判，這就對(duì)審計(jì)機(jī)構(gòu)提出了較高的要求。外部審計(jì)比較難深入業(yè)務(wù)、了解細(xì)節(jié)，可能存在審計(jì)不充分的問(wèn)題，缺少刻畫(huà)出數(shù)據(jù)流轉(zhuǎn)、數(shù)據(jù)流向、全生命周期關(guān)聯(lián)活動(dòng)的技術(shù)證據(jù)，而且評(píng)估、審計(jì)等缺乏一定的時(shí)效性，監(jiān)管存在滯后。

　　除了技術(shù)難度和業(yè)務(wù)復(fù)雜等因素，立場(chǎng)的問(wèn)題亟需解決。在審計(jì)、評(píng)估、審查等數(shù)據(jù)處理者需要舉證的環(huán)節(jié)，大多數(shù)時(shí)候是基于自證，缺少他證，影響證據(jù)的可信度。

　　數(shù)據(jù)作為一種“生產(chǎn)要素”，就確立了其在新時(shí)代中國(guó)特色社會(huì)主義經(jīng)濟(jì)中的地位。個(gè)人信息在《民法典》中明確為一項(xiàng)人格權(quán)益，面向數(shù)據(jù)安全合規(guī)特別是個(gè)人信息安全合規(guī)，引入政治可靠、技術(shù)過(guò)硬、值得信賴(lài)的第三方數(shù)據(jù)安全合規(guī)服務(wù)方勢(shì)在必行。

　　面向互聯(lián)網(wǎng)公司時(shí)，數(shù)據(jù)安全合規(guī)服務(wù)方作為合規(guī)服務(wù)商，提供合規(guī)風(fēng)險(xiǎn)評(píng)估、合規(guī)咨詢(xún)、策略制定與管理、數(shù)據(jù)保護(hù)、持續(xù)提升等數(shù)據(jù)合規(guī)服務(wù)，幫助企業(yè)實(shí)現(xiàn)數(shù)據(jù)安全合規(guī)能力的提升。

　　面向監(jiān)管時(shí)，數(shù)據(jù)安全合規(guī)方作為可信存證方、技術(shù)支撐方，提供監(jiān)管所需的監(jiān)管接口支撐、技術(shù)服務(wù)支撐。

　　面向個(gè)人用戶(hù)時(shí)，數(shù)據(jù)安全合規(guī)服務(wù)商作為可信第三方，提供信任證據(jù)，增強(qiáng)個(gè)人用戶(hù)對(duì)互聯(lián)網(wǎng)平臺(tái)的信任。

　　引入可信的第三方數(shù)據(jù)安全合規(guī)服務(wù)方，其面向企業(yè)提供服務(wù)、面向監(jiān)管機(jī)構(gòu)提供支撐、面向用戶(hù)提供信任證明，最終可以形成一種可增強(qiáng)多方信任的數(shù)據(jù)安全合規(guī)治理架構(gòu)。