以下文章来源于首席风控合规官 ，作者首席风控合规官：

首席风控合规官：哈喽大家好，欢迎大家收听“合规FM”，一个法务、风控、合规领域的电台节目。今天我们邀请到的嘉宾是红途科技的CEO刘新凯刘总，我们的主题是“数据隐私治理与合规”。

感谢刘总拨冗接受“首席风控合规官”的访谈，我们希望今天的访谈可以既专业又活泼，深入浅出地为大家解答合规谜题。刘总，您拥有近20年安全及合规内控从业经历，有着丰富的信息安全体系规划、设计、建设、运营及安全产品开发经验，曾经担任顺丰集团信息安全与内控部负责人，主导建立并完善集团安全及科技合规体系；也曾任职艾默生网络能源亚太区信息安全总监，负责组建跨国、跨区的信息安全组织，主导全公司信息安全建设。现在您担任中国网络空间新兴技术安全论坛常务理事，诸子云企业网络安全专家联盟发起人。

请问您为什么会对合规及安全有如此强烈的兴趣和热情？

刘新凯：我从业时间相对比较长，最初毕业的时候，网络安全才刚刚兴起，随着信息化逐步发展，安全成为各个公司非常重要的部分，当时我们关注的是如何保证企业免受黑客攻击。随着整个信息化、数字化程度的加深，我们会发现安全越来越和业务强相关，能够给业务带来竞争力。在接近20年的从业经历中，我们逐渐从网络安全进入到数据安全、业务安全、合规风控等不同相关领域，给企业带来更多价值，这也是这么多年能够一直保持兴趣和热情的重要原因。

首席风控合规官：在特定的时代背景下，首席安全官（CSO）年薪300万在行业内都已经不足为奇了。首席安全官需要具备哪些方面的条件素质，应该从哪些方面努力？

刘新凯：现在很多行业的CSO薪酬已经非常高了，但是真正想找到好的CSO其实也蛮不容易。首席安全官对于企业而言，不仅要解决一些安全技术的问题，同时应该思考哪些跟企业经营强相关，如何为企业发展和经营保驾护航，甚至是开拓新业务为企业发展提供新契机。思维如何能够从纯技术向业务方向转变，是现在首席安全官比较大的挑战。

首席风控合规官：我之前也看过一个案例，企业APP审核出现了问题，CEO牵头技术部门、业务部门、政府关系维护部门等，最终解决了APP审核的问题，后来发现这个其实应该是首席安全官的职责。

刘新凯：过去两三年还经常发生跟APP有关的案例，这里面涉及到合规对企业经营的影响。如果公司是手机APP流量业务导向，那么APP下架会对公司的经营和业务产生不可估计的损失。如何能保证公司的系统合规，在整个经营过程中风险可控，就形成了CSO的相关职责。在这种情况下，CSO真正要联动的部门，和传统安全部门做攻防有很大的区别。就像你刚才提到的，他要跟公司的PR、管理、经营很多部门联动，真正负责的方面也会比以前要更广。

首席风控合规官：您在顺丰有过几年任职的经历，有非常多开拓性工作，包括丰洞、丰密、4a系统百源等等。百源是一项比较复杂困难的安全治理行动，用您的话说，这个系统如果不能正常上线的话，所有的系统可能都要罢工了，这是一个生死局。这种安全治理行动，比较困难复杂，为什么企业还是坚持去做呢？

刘新凯：其实你刚才提到了一个很重要的词，就是“安全的治理”，其实“安全”在管理的过程也发生了很多变化，最早我们关心攻防的时候，如何有更好的技术了解攻击模式，找到自己的漏洞和问题，进行阻断，其实是网络安全中非常重要的一点。但是随着企业管理能力加深，我们会发现企业安全运营有一个很重要的抓手，就是了解自己，了解自己也是内部综合治理的一个过程。综合治理要了解我有什么用户，使用什么样的系统、数据，按照什么样的模式在工作。我们对企业更加熟悉和理解，才能够跟外部黑客拉开能力上的差距，才有可能把合规或安全做的更好。治理，我认为在未来的安全合规中会是非常重要的一个中心环节。这也是当时花了很大的精力、冒着一定的风险坚持把治理工作做好的核心原因。

首席风控合规官：安全条线和业务条线可能有一定的矛盾冲突，那安全团队推进举措遇到阻力的话，该如何去化解？

刘新凯：这个话题可能是整个安全圈经常问到的问题，“安全可能就是阻碍业务发展的”，“安全会带来效率和业务上的问题”，这是大家对安全的传统认知。但是随着整个业务的信息化程度加深、数字化转型推进，安全是有可能和业务真正形成合作，并且带来共赢的。比如说所有的快递公司都会接触到很多用户的隐私数据，在你的收件、运输、派送、管理环节都会遇到隐私数据的使用。其实对于业务而言，一旦出现了隐私数据的安全问题，对经营也有非常大影响。

如何解决隐私数据的安全问题，是业务以及安全部门共同的诉求，关键是设计解决方案和落地的过程中避免业务上的影响，带来双赢。比如说丰密件在快递的面单上减少用户电话号码的出现，形成隐私面单，这样对于业务而言有帮助，避免了核心大客户出现隐私数据泄露产生的业务影响，同时也能够满足安全的目标。所以说很多矛盾能够找到更好的角度、更高的目标，形成合力，从而对企业的安全和业务带来双向收益。

首席风控合规官：顺丰做隐私保护，包括隐址件，主要是市场推动还是自发推动？这个对现在的企业推进自己数字安全进程有什么启示？

刘新凯：当时更多是公司的自身目标和需求。保护客户的快递安全、数据安全，当时是企业非常重要的目标。但是随着现在一些法律法规的推出和落地，很多有关于隐私治理合规的动作，已经成为了法律的要求，那么大家在这部分就应该要满足法律合规要求。

首席风控合规官：所以说当时顺丰还是比较有企业社会责任，主动做安全治理、隐私保护，正好也顺应国家高素质发展的要求。

刘新凯：是的。

首席风控合规官：一般数据安全的企业大多还是乘着《网络安全法》、《数据安全法》、《个人信息保护法》的快车迎来飞速发展。但是红途科技成立比法律掀起风口还要早一年，您为什么会有这样的远见？

刘新凯：企业、国家对于数据、个人隐私的关注程度是逐年提高的，《数安法》和《个保法》的准备时间也并不短，我们也参与了很多相关活动或者过程，看到整个法律法规的制定是必然的。参考一下海外，比如说欧盟的GDPR出来之前，也有很多关于数据隐私管理的企业开始成立、布局和筹划，我们也是希望红途在这个时间点能够做好技术和产品准备，为中国在数据隐私合规领域提供更好的技术和产品支持。

首席风控合规官：为什么红途能够拿到红杉这种头部投资机构的天使投资？

刘新凯：英雄所见略同吧，整个赛道现在是国家、行业、企业都非常关注的，数据隐私合规也是当下非常重要的一个话题。红途能够提前做好准备，做成新一代的数据隐私合规管理平台，红杉也可能看到这是未来有机会的一个赛道，并看到了公司的核心技术。大家都看到了机会，并且选择了最好的合作伙伴。

首席风控合规官：目前中国的数据安全市场规模有多大？未来预计增长空间怎么样？

刘新凯：市场规模不太好统计，但增长是特别快的。随着整个法律法规的落地，不管是分区域还是分行业，一些细节的法规都在快速落地推广。很多企业以及政府、国企、央企，都在今年加大了数据隐私治理、合规、保护的投入，我能够看到的，可能今年的投入会超过100%，甚至会更高。我也相信在未来的几年，整个数据隐私合规会是一个快速增长的赛道。

首席风控合规官：数据安全与数据合规有什么联系差别？

刘新凯：数据安全更多是从数据泄露和保护的角度，如何发现暴露面，如何针对关键节点实施保护，当数据出现风险（比如说被恶意攻击）如何进行及时的预警和防护，这是防护或者是安全保护的工作。合规不一样，我有哪些数据能够收集，如何写好隐私声明，配置用户偏好，尤其很多企业有跨境或者是全球业务，如何满足不同国家地区的法律法规的要求，是合规的角度更为重要的内容。

从上往下，首先看法律层面对数据合规的要求。企业在做的实际上是数据隐私的合规，它需要的技术和能力是不一样的，必然是有基础、全面且准确的数据隐私治理平台或者是数据隐私治理的能力来支撑。

其次是中间的数据隐私治理，它要求对数据的标签、分类、分级，所有使用的人、设备、应用、存储、整个流转过程有全面的梳理。全面性、实时性、数据流转过程可跟踪，就是数据隐私治理平台的能力体现。

再往下看是数据安全的落地。针对数据全生命周期不同环节的安全保护技术能力落地，会形成一个新的体系架构。

从国外发展的这些年来看，我们刚才提到的数据隐私合规和数据隐私治理，是数据隐私管理的范畴，叫做DPM（Data Privacy Management），像OneTrust、BigID、Securiti.ai等公司就是国外DPM领域的典型厂商。

首席风控合规官：国外头部企业能不能对中国的企业有一定的借鉴意义？

刘新凯：我相信肯定是有借鉴参考意义的，因为法律法规关注的核心内容有相似点。国外走过的路，包括产品形态，会对国内的推进过程有帮助。但是也有不同点，比如说国外推进时间会更早，在2018年左右就已经落地并大规模推广，国内技术底层的能力是要加强的。第二适用的范围也不一样，比如国外更关注个人隐私，而国内的《数安法》，包括正在拟制中的相关法规，还关注到经营数据和国家重要数据。在此背景下的数据隐私治理、合规、保护，也会形成国内有特点的技术能力或者产品形态。

首席风控合规官：红途提出的全链路理念具体指的是什么？

刘新凯：数据实际使用的过程会形成一个数据使用的链路。比如说一个数据来自于IOT设备或者是某一个用户，经过不同的API服务应用，落到不同的数据库或者是大数据平台中，同时这些数据也会被其他的应用或者组织调用，甚至是跨不同城市以及国家区域被调用，形成数据流转的链路。如何自动地绘制出数据流转的链路图，是数据治理的核心点。全链路自动化地掌握数据所面临的风险、合规、保护措施，才能够形成真正的价值和能力，知己知彼，百战不殆。只有在数据全链路的过程中，对整个治理的情况有全面的掌握，才能对我们刚才提到的诸多方面做到心中有数，这也是我们提出全链路数据流转追踪技术很重要的一个点。

首席风控合规官：以数据为中心的安全建设需要注意哪些方面？

刘新凯：数据隐私治理是以数据为中心的安全建设最重要的一点。以前我们更多的是以攻击面或者是漏洞风险为中心去进行安全建设。为什么会有这样的变化？因为数据不同于网络攻击，网络攻击永远是处于被动状态，但是数据有机会通过治理把它梳理清楚，有什么样的数据，在哪里存储，被哪些应用或者系统调用，如何流转和分布，通过数据隐私治理系统梳理清楚。一旦清楚之后，很多的保护、合规、风险就能够做好。这是思路和方向上的变化，而这部分也成了安全建设或者是合规领域的核心关键节点。

首席风控合规官：在数据隐私治理的过程当中，红途科技会把数据资产的治理分为几个类别，具体是什么？

刘新凯：数据本身我们分成三类，第一是个人隐私数据，第二是企业经营数据，第三是涉及到国家的重要数据。数据流转全链路过程中，会有几类不同的资产，比如说相关用户的信息，应用服务和API的信息，存储的信息（比如说数据库或者是大数据平台），以及整个流转链路的信息，4类资产，把整个数据隐私治理过程中和数据有关的内容进行动态的收集和梳理。

首席风控合规官：从对静态的数据资产做治理，到对访问链路的动态过程做治理，从静态到动态的意义有多大？

刘新凯：比如说我们做静态治理，可能会是项目型的，一年我们会做一次。在这一年的过程中，实际上我们一直拿着一年前的那一张静态梳理的治理表来看整个公司的状态。那么随着业务变化是不是有新的风险出现，操作过程是否合规，保护力度、保护结果怎么样，它没有动态梳理或者是数据更新的能力，无法回答我现在是否合规，是否有风险，保护得怎么样。从定期静态报表变成动态的实时企业全量数据，全环境全域，管理能力产生了质的飞跃。

首席风控合规官：数据分类保护最难的地方在哪里？

刘新凯：这20年自从有安全开始，数据的分类、分级和标签就是大家一直在谈的。最难的点是什么？以前我们在做标签的时候，通过数据库或者是数据库字段的分析，快速发现隐私数据。而经营数据、国家的重要数据，按照我们的定义叫做无特征数据，它是无法通过数据本身发现它的标签或者是分类分级，这一类无特征数据如何进行分类分级，如何快速有效打标签，就是我们在做数据分类保护的第一个难点。红途在做数据分类保护的时候，第一件事情就是要解决类似于经营数据、重要数据这类无特征数据打标签的难题。

接下来谈第二个难题，传统做静态数据分类保护的时候，我会知道我有多少数据库表，多少字段，针对隐私数据，甚至是我特别努力把一部分经营数据通过手工的方式打上标签了，我知道某一个字段是什么，但是做合规风险、保护审计的时候，已经无法把这张标签用起来。数据分类、分级的标签结果无法应用到后续的动作中。

红途现在可以解决这个难点，让我们真正把数据的标签、分类分级和数据全链路过程中所有的资产和使用情况进行动态的关联，哪些人，哪些存储位置，哪些应用，包括通过什么链路使用这些数据，都做到心中有数。这样的话，通过分类分级标签，让治理、合规风险保护落地，这是我们一个跨越性的突破。

首席风控合规官：目前红途科技主要客户来自哪些行业？

刘新凯：客户会有几个大的特点，说完这些特点，我们再来看看不同行业。首先是它的整个经营活动中是有客户甚至是自己员工的个人隐私数据。第二类就是在经营过程中，它的数据会对企业的经营发展带来重要影响，比如说核心配方、研发数据、新的客户信息、项目信息等等，一旦出现泄密会对经营带来影响。第三类是企业在经营过程中会有国家的重要数据，一旦出现泄露或者是风险，会对国家安全产生影响。这三类都会有我们谈到的数据隐私治理、合规和安全保护的需求。不管是金融、快递物流、互联网企业，还是高新技术的企业，国企、央企和政府机构等等，都会有数据隐私合规管理的需求。

首席风控合规官：金融机构对这方面的需求主要是哪些？

刘新凯：金融机构本身对数据隐私治理就有需求，需要知道我有什么样的数据，都在哪里，有什么暴露面和使用风险，才能够有的放矢做相关动作。同时金融机构也是合规和监管重点关注的行业，国家的银保监会、证监会、央行都有相关的要求。他们的数据，除了符合金融的数据要求，也要符合国家重要数据，所以说现在金融行业，尤其是银行，关注程度很高。

不同行业其实都有或大或小不同的需求，包括医疗行业，汽车行业等都有这方面的问题。

我们的客户也有国内头部汽车企业，红途与客户在做数据隐私合规的合作和技术落地。车企很显然也有自己的敏感数据，车联网和汽车里面都有用户数据。以现在智能汽车为例，声音、视频、位置，这么多隐私数据，你想里面会带来多大的风险。数据在哪一侧处理，哪些数据能收集，如何进行管理，尤其是还有跨境的场景，各地的需求和要求又不一样，所以车企面临的挑战也比较大。

首席风控合规官：您之前在甲方待过，所以红途服务企业的时候，可能更能够了解企业有什么数据隐私合规的诉求，这一方面您有切身的体会吗？或者说有具体的案例吗？

刘新凯：这是红途非常重要的一个竞争优势，就是我们能够深切理解两件事情：第一甲方的需求和痛点到底是什么，第二整个行业的解决方案或者产品的有哪些不足。举一些例子，比如数据分类分级它的痛点和难点是什么，如何对经营数据、国家的重要数据进行分类分级和打标签自动化，这是一个问题。之后，如何针对数据源（比如说人或者是IOT设备）、API或者是服务应用的调用链路、存储的空间，进行自动化关联，都是我们在当时遇到的很难解决的问题，现在这些问题成为红途重点解决的场景。这是和跟甲方的工作背景是强相关的。

首席风控合规官：红途科技与一些律所达成战略伙伴关系，基于双方各自的优势联合打造法律+管理+技术的一站式数字合规治理解决方案。为什么红途科技作为一家科技公司会想到去和各个律所建立战略伙伴关系？

刘新凯：首先，红途做的产品就是基于数据隐私的治理和合规产品。一家企业做好治理和合规，需要在三个层面落地，分别是法律、管理和技术。国内外法律法规的出台，使很多全球性的公司越来越关注数据隐私合规话题，律师能够做好不同区域法律法规的解读，提供一部分的管理咨询，但是在真正的数据隐私治理和合规的技术层面是欠缺的。那么我们跟律所的合作是希望强强联合，在法律、管理和技术上能够提供一站式数据隐私治理和合规解决方案，帮助客户更好更完整的在数据合规领域落地。

首席风控合规官：数据合规落地有什么困难和挑战，怎么渗透到管理过程当中？

刘新凯：数据合规，现在国内外都有政策要求、且推进压力比较大的一个点，叫做DSR数据主体请求，或者简单理解为数据主权。比如我作为用户，有权要求运营方提供我所有数据的使用情况，当我要停止使用服务的时候，我有权要求运营方把我所有相关的数据删除。当有其他的服务商提供类似服务的时候，我也有权要求服务方把我的数据打包给我，提供整体的报告，我有把数据携带走的权利。

DSR回归到管理和技术，要回答几个非常重要的问题。第一，我作为用户，到底使用过这个平台或者服务方的哪些服务、哪些应用，我提供的数据都是什么，都被哪些不同的应用和存储进行了调用或者存储。光这一个问题现在绝大多数的运营方没有办法很好的回答。我们在提供数据隐私合规平台和能力的时候，DSR就是很重要的一个点，帮助运营方自动化地发现用户相关的数据如何被使用、存储，在提供相关报告或者能力的时候能够自动化，帮助用户在最简便或者是成本最低的情况下来满足合规的要求。

首席风控合规官：从个人用户亲身体验的角度来讲，我可能感受更深的就是APP的使用。

刘新凯：是的，这就是强相关的，比如说你用了一个APP，填了很多的数据，有一些使用行为，其实是有权要求运营方给你提供DSR报告。当你注销的时候，也有权要求运营方把你个人的数据删掉。

这一类，不管是《个保法》，还是GDPR，现在全球跟个人隐私有关的法律法规都有这个要求，Google、Facebook、Twitter等大公司早就已经实现这个能力。这是必由之路，也是一定要满足的需求。如何能把这事儿做好，对技术的要求是比较高的。像荣耀、小米，很多公司都已经开始做这一类相关的动作。

首席风控合规官：APP可能会对数据进行抓取，广告商给你推送相关的资讯的时候，发现你符合我客户群体的定位，给你精准推送资讯。这种数据访问数据使用是合规的吗？

刘新凯：APP违规数据抓取，比如说通讯录、照片等等，以前是没有人管的，也造成了很多影响。这几年国家网信办在这儿的关注程度很高，也做了无数轮的APP检测和整改，现在的情况会好很多。

回到你的问题，APP抓取用户数据给到第三方广告公司，定向推广告，我个人觉得在这里面会存在很多违规场景和行为。比如在使用APP的时候弹出来的隐私声明有没有授权？给其他公司进行广告服务的时候，相当于进行了数据转卖或者是给到新的第三方，是否合规其实要看整个隐私声明和传递链条，里面不合规的可能性非常大。

首席风控合规官：国家开始关注个人隐私保护，企业也慢慢开始响应起来，但是用户可能还在门外。

刘新凯：我觉得现在用户的个人隐私保护意识比几年前要强太多了。比如在不同的系统、平台上起不同的名字，遇到骚扰电话到底是哪里出问题，好去追责。APP这一侧，比如说金融，假设我是一个券商，有用户开了股票账户，就有人过去给他推荐股票，用户都会做投诉的，投诉量高了很多。我们看去年和今年的315，有关于个人信息泄露、诈骗这种话题，315的关注程度都很高，这意味着用户或者是个人的认知觉醒这几年提升速度非常快。

首席风控合规官：您个人对于数据安全、数据合规还有什么寄语？

刘新凯：我相信数据的隐私合规和安全是未来整个行业中非常重要的一个领域，对企业而言能够加深核心竞争力，保证业务开展符合法律法规。数据合规、数据安全的技术发展，也能够逐渐地帮助企业做得更快、更好、更有效的落地。新技术、新产品的出现，也能够给行业带来更好的发展。

首席风控合规官：好的，感谢您参加今天的访谈，期待下次给您出更多更有趣的合规话题，合规请听好，我们下期再会。

刘新凯：好的，谢谢。