3月26日，由国内知名的数据合规培训机构山竹梓豪主办的2023 EXINDPO数据保护官年会在深圳成功举办。红途科技科技创始人、总经理刘新凯受邀参加并发表演讲，分享了“用科技打造数据隐私合规体系”的主题演讲，分析了数据隐私合规行业发展趋势，企业面临的挑战、风险和需求，深度讲解了红途科技的合规场景解决方案。以下为演讲实录：

首先，从行业发展趋势看，有几点重要变化。

数据环境的变化：企业对数据的重要性不断加强。早期，企业是从商业秘密的角度来看待数据，而今，数据成为第五生产要素，是国家基础性战略资源，数据逐渐发展成像土地资产一样的生产要素，是需要进行衡量，交易的管理。

合规环境的变化：国内外法律法规逐步加强和细化。从2020年的上位法出台，到2022年，不同行业的法律法规逐渐细化，出现了具体可实操的细则，一些行业客户正在加紧推进数据隐私合规的落地工作。我们今天谈到数据合规和以往不同，以往的合规是需要法律和管理进行保障，而今的数据合规是需要大量的技术工作进行支撑。

技术环境的变化：以前数据的生产、加工、传输、共享是从PC端产生的一些非结构化数据。随着IOT设备、手持终端APP等一系列数据源的出现，数据的生产、存储、使用、交换场景发生很大变化。第一，数据量激增；第二，数据的边界在消失；第三， IT基础架构环境愈发复杂。那么数据到底在哪里，如何进行流转和交换，这些问题都不清楚的情况下，我们再谈隐私合规，就像空中楼阁，没有实质可运营的根基。所以，从技术的角度来看，必须解决这些底层的问题，来保证合规体系可落地，且可持续运营。

挑战、风险、现状和需求

数据的特点是快速流动，如何能够对所有的数据可观测，让数据的使用过程透明化，亟待突破性的技术来解决。企业需要实时动态可视的数据流转地图以感知数据，实际落地过程中，最大的一个难度是数据覆盖的完整度，当覆盖完整度解决不了的时候，风险可控和合规实际上是有缺失和不足的。在工具产品和辅助人工的方面，以往通过标准的顾问访谈过程来梳理一个公司的数据和业务流程，在覆盖完整度和时效性上都是不足的。比如访谈不同的人，会得到不同的访谈结果。业务和系统随时变化，无法动态跟进。另外，除了风险的快速识别，还有很多需求是出现问题后的自证清白。怎样保证数据使用过程中，能够满足合规的要求，当出现数据泄露和风险的时候，怎样自证清白，或是怎样找到出现问题的地方？

红途可以做什么

红途科技从技术的角度根本性的解决企业面临的风险和挑战。我们首创的一个重要技术能力是实现对流转数据的可观测性，即数据流转地图。在人员不介入的情况下，能够知道每一条数据如何进入公司，进入每一套应用系统，如何在不同国家地区之间调用和传输，自动化绘制出数据流转的路径和地图，让数据的运营状态可观测。

红途科技构建的整体数据隐私合规体系是以全链路数据流转追踪技术为底层科技能力，对数据资产发现管理，风险洞察以及事后审计溯源。同时根据全球不同地区的法律法规，进行不同场景的合规落地。

场景1 - 数据主体请求DSR

不同的法律法规都对DSR提出了相关要求。即主体请求从发现、访问、修订、纠正、限制、删除、导出、接入等要满足法律要求。作为数据的采集和运营方，对于个人隐私数据运营过程中，要给用户提供标准的个人隐私入口，能够提交用户请求，且在指定的时间内提供反馈。实际上，这一过程也有很多挑战。比如客户数据进入公司后，都进入了哪些不同的事业群，哪些不同的业务，有什么样的应用系统支撑，存储在哪里，有没有进入到公司的大数据平台，有没有第三方的调用和分享。这就是数据分布及调用的完整性问题，我们在回答DSR的这种报告和问题的时候，实际是说不清楚的 。我们也访谈过很多不同领域的客户，普遍是通过管理手段和人工手段相结合的方式来操作。当有用户提DSR，企业通过人工的方式，对于自己熟悉的系统场景进行梳理来提交报告。而红途科技从技术的角度解决数据的可观测性问题，可以让企业知道数据采集后给到哪些事业部，给到哪些应用场景，哪些应用。如此，DSR的回答就会变成一个流程性工作。

提交DSR给到数据处理人员，后台系统自动提供用户报告，甚至是数据删除拷贝这样的技术动作给到前端，也给用户一个反馈，形成一个有效的闭环。保证我们在进行DSR场景的时候数据的完整性和有效性，减少人工的投入以及人工带来的风险。一旦企业提供给用户的数据不全，用户发现问题，那么企业在经营上将面临法律风险。所以，用技术工具解决DSR的场景，可以帮助企业避免法律风险。

场景2 - 数据跨境评估

随着数据出境相关法律和细则的出台，近期各个公司正在加紧数据跨境申报的工作。数据如何出境，有没有签署相关的协议，内部如何管理，有没有制度等，都需要从法律和流程制度的角度来完善。但实际的业务场景会提交很多具体数据，这些数据分布到了哪些业务和系统，在哪些地方存储，数据量是多少，通过哪些接口给到第三方，给到第三方的法律条款的要求和实际提供的内容是否相符等等。这些底层的基本信息是数据跨境申报以及在日常监测过程中的关键。

跨境场景中的难点在于数据出境的方式有很多种，可能通过外部应用直接给到用户在海外使用，可能通过API接口的方式进行数据的对接，也有可能在数据库和大数据平台上。面对这种复杂场景，需要在技术上建立完善的体系，对所有数据进行跨境交互，出境时进行有效监测。

举例说明，假设客户和海外签订了合同，需要中国某些省份的数据对外交互，合同时限一年。实际上一年之后已经没有人关注这件事，接口没有取消，数据依旧可调用。假设研发在共享设定时图省事，未按约定开放特定省份，而开放的是全国数据的共享和跨境。这些具体问题在最开始制定规则和协议的时候无法预见，却在实际运营中存在相当大的风险。红途科技从技术上可实现出境数据从流程性合规进入到实质性的合规，提供真实有效的数据输入，且对跨境数据实时监测。

场景3 - 隐私政策管理

众所周知，企业在网站、手机APP的不同节点，收集用户数据时，都会先做隐私政策管理。但真正运营过程中还会遇到很多问题。举个例子，一个大型集团下属有不同业务，会有不同的渠道与用户交互。在不同的渠道进行发布的时候，一个版本的隐私声明就够吗？还是不同业务会产生不同的版本的隐私声明？每一个版本用户什么时候点击，是否接受，接受的声明内容是什么？

红途科技通过技术手段帮助企业解决这一难题，如：文本如何编辑的问题。随着业务的发展变化把法律要求和具体的场景编入到不同的场景和法律合规的协议中。将这些模板预制到不同的国家、不同的业务，不同的渠道中去，每个用户点击的记录，有第三方公证。当出现问题的时候，能提供有力证明，以及用户统计的时候能找出哪些渠道，哪些环境，用户的点击率会更高或更低。通过法律文本的修改甚至是交互，让更多的用户来接受相关协议。这就是红途科技在技术侧落地的工作。

场景4 - Cookie管理

Cookie是指的企业在网站上通过相关程序来收集信息的一些组件。有这些组件时，一些基础信息在网站上使用会更顺畅。但大家可能并不知道全球存在的Cookie有几万个，每一个网站可能都用了大量的第三方Cookie组件。对于开发或系统管理人员，Cookie只是一种让网站用起来更顺畅的工具。但Cookie来自于哪个组织，能收集到哪些数据，收集的数据如何向国内外的第三方进行交付。实际上是绝大多数的网站开发的同事并不会关心也并不清楚的问题。

红途科技针对全球几万个不同的主体进行了相关分析处理，清楚的知道网站到底有哪些不同类型的Cookie，会收集什么样的数据，帮助企业在做网站管理时有一个更好匹配，让用户知道到底有哪些信息被收集了，这些数据有没有出境，有没有被违规的使用。这一实现过程需要积累数据，包括对于所有数据收集的这些组件的行为管理，让企业在发布不同的隐私声明后能实际落地的一个至关重要的保障。

场景5 - 最小化采集

假设隐私声明上面写了十类数据的收集，随着业务的变化，系统收集的数据和隐私声明上面写的是否一致。如果品类一致的情况下，有没有做到最小限度地收集。这个问题涉及两个层面，第一，实际收集的节点和过程是否一致，需要有实时监控和持续发现的能力。第二，使用的场景，很多数据是在不同的业务中使用，尤其是一些有规模的公司有自己的大数据平台来供不同的业务使用，那么在调转这些数据的时候，和隐私声明写的业务范围是否一致。

而实际调查中，很多的情况是未知的，尤其是进入到一些数据节点之后，有没有被一些不在隐私声明范围的业务使用也会是一个问题。如何解决呢？

红途科技做了两个方面的技术突破，首先，数据采集侧隐私声明如何写，对于隐私声明和实际收集的数据有持续监控的能力。其次，红途科技的数据流转地图可跟踪数据从产生后，经过哪些系统、哪些节点、哪些人，可以通过数据的流转观测数据实际被使用的真实情况，解决不同的业务场景中最小化采集问题。所以，最小化采集不仅是一个法律条款，而且是运营过程中数据持续可控的过程保障。

场景6 - 报告、响应、处置数据泄露事件

最后，关于数据出现问题后，如何溯源，如何自证清白。举一个案例，有些客户在媒体上出现了负面新闻，内容是在暗网发现了公司的数据在被买卖，对此，网信办或公安机关会进行问询和调查。这个数据到底是不是公司的，在公司哪些地方，通过什么渠道泄露，这是一个完整的数据调查过程。当回答不清晰的时候，舆论发酵，直接影响公司股价，监管方也会更多的介入。对于企业利益和名誉都是极大的损失。

如何对数据进行更好的溯源？红途科技的技术手段能实现双向溯源，从人到数据，从数据到人。当某员工离职的时候，访问过哪些系统，哪些功能，看到过哪些敏感的数据，可以按照这个顺序进行正向的数据溯源。一个数据或者一个数据集被贩卖，被监管发现存在风险的时候，企业可以完整的回答数据在哪些数据库以及大数据平台分布和存储，从数据采集到出现安全事件的这一段时间内，哪些应用通过什么样的链路调转给这个数据，哪些人使用了这个数据，在最快的时间内自动化生成报告，让用户清楚知道数据的真实状态。

以上分享了合规的六大场景，都是现在法律合规角度出现的新内容，与以往的网络安全不同。网络安全是以攻防的角度来发现问题，发现漏洞以及如何修复。今天谈隐私合规，是以数据为基础，掌握数据的可观测性便有把握回答这些全新的业务场景。红途科技提供的合规体系，是以数据隐私治理为基础，对于以上谈到的合规运营场景，风险场景，事后的审计和溯源场景，提供一系列的合规解决方案。

欢迎会后和大家进行更详细的交流和沟通，也希望有更多的机会跟大家合作，谢谢！

红途科技展台实况