剛剛開始,各有解法。文|徐文璞編輯|真梓來源|數字時氪(ID:digital36kr)封面來源|視覺中國變局大約14個月以前,入職一家網際網路大廠近5年的張楊感受到,公司的大客戶廣告業務產生了些許震動。“由於廣告投放的效果降低,當時從銷售端看,客戶分配給我們的預算少了10%。”時過一年,他向36氪回憶。對這家每年廣告收入超百億元的大廠來說,廣告業務仍是公司的現金奶牛。這其中,“KA(大客戶)廣告業務的營收約佔40%。”張楊估計。起因則是14個月前,也就是2021年的7-8月左右,恰逢《個人資訊保護法》和《資料安全法》從頒佈到生效的視窗期。在過去,廣告行業出於精準營銷的目的,對資料的使用處於粗放狀態。有行業人士對36氪表示,在法律逐步嚴格之前,廣告主常用的方式是,先對使用者的性別、年齡、地域等基本資訊畫像,再透過使用者的行為資料(如使用者的錄音、檢索內容、聊天記錄)和演算法,精準定位具體使用者是否為潛在有購買能力的消費者。"基本上10個推送,起碼有3個會被點選,有1個可能會下單。以一個售價2萬的GUCCI箱包舉例,如果有100個人去買就是200萬收入,廣告費可能是30萬,品牌商就能賺翻了。”他向36氪算了一筆賬。而在2021年下半年之後,顯然,這種方式再難在合規範圍內奏效。在當年11月正式實施的《個人資訊保護法》中有明確規定,處理個人資訊應當具有明確、合理的目的,並應當與處理目的直接相關,採取對個人權益影響最小的方式。收集個人資訊,應當限於實現處理目的的最小範圍,不得過度收集個人資訊。於是,“公司後面新產品的測試,都不太推針對精細化人群的產品了。”張楊表示。這也是文章開篇提及的,“廣告投放效果降低”的緣由所在。而這只是圍繞個人資料的部分,在當前《網路安全法》、《資料安全法》和《個人資訊保護法》共同成為上位法的前提下,企業的資料合規範疇,往往超越個人資訊——所以,在一些業務更關乎國計民生的基礎設施領域,資料合規產生的影響比想象更深。出行行業就是一個例子。比如,地圖是地圖廠商最為重要的資源,也是本地生活最為重要的流量入口之一。而測繪資質,對圖商的重要性不言而喻。地圖往往涵蓋敏感資訊。一點陣圖商領域的專家告訴36氪,"業內規定高塔橋樑、軍事基地等地理位置,不能出現在電子地圖上。"這些資料屬性意味著,隨著合規要求的細化,電子地圖測繪資質也成為稀缺資源。而這一資質或將對自動駕駛、智慧交通等業務造成深遠影響。2021年6月改革後,國內電子地圖測繪資質分為甲級和乙級。獲得甲級資質即意味著搭載其地圖的車輛可以在全國暢行。乙級資質對應著省級測繪單位的認證,搭載其地圖的車輛可以在特定省級轄區內暢行。對於現在的新車,地圖導航已經成為必備功能。這意味著尋求外部圖商合作的整車廠,其合作物件必須要有電子地圖甲級測繪資質,才能讓搭載其地圖的車輛在全國發售、在全國道路交通行駛。自然資源部在今年2月、3月和8月公佈的電子地圖甲級測繪資質複審透過名單中,江蘇智途、Momenta、晶眾地圖、中海庭、滴滴等顯示尚未透過。高德則出現在2月複審透過名單中。兩種變化,兩類解法整體來看,自相關法律法規施行後,企業產生的變化可分為兩類。第一類,不少企業改變了過去做業務的方式。張楊告訴36氪,自己所在的公司將過去廣告主可自勾選的業務中,需要個人敏感資訊做精準投放的相關選項都下線了。這期間,多家公司也做出了相應的業務調整或者傾斜。36氪瞭解到,百度更加倚重廣告主運營的"風雲計劃",以應對不能過度搜集使用者資料,做精準廣告投放的現狀。百度為付費客戶提供免費素材在站內搭建主頁。當用戶以該品牌關鍵詞搜尋時,會出現佔據頁面篇幅60%的品牌廣告。接著,它為廣告主提供站內使用者洞察結論,告知廣告主使用怎樣的物料、素材更加吸引使用者的注意力。由於百度站內的主頁是廣告主自己搭建,百度透過合規協議與廣告主共享使用者在廣告主主頁的資料。因此,百度對使用者的付費洞察資訊可合規共享給廣告主,廣告主可在站內進一步觸達使用者變現。這考驗的是一家公司細緻的運營能力。可以說,“以往百度是躺著賺錢,現在需要小跑著賺錢。”有百度內部人士向36氪評價到。電商平臺也有類似的品牌商服務方案。2021年各平臺釋出資料隱私政策後,被動沉澱私域已是主流方式。有平臺ISV高管指出,平臺鼓勵品牌將使用者發展成授權會員,會員在平臺中可以隨時觸達。品牌商也在進行自己的努力。“過去不少電商平臺會主動給品牌共享包括消費者性別、年齡和地域,甚至家裡是否有車、房等資訊。但法律出來後,我們連性別資訊都沒有權利獲取,只能拿到暱稱和頭像這些對數字化運營沒有任何幫助的東西。”一位腰部零售品牌的數字化負責人告訴36氪,目前,該品牌正在升級自己的會員體系。第二類更深入影響行業格局的情況中(如上文列舉的地圖),等待政策進一步明晰,可能是更合適的做法。不久前,有高德內部人士向36氪推測,如果沒有相關測繪資質的單位依然要開展相關運營活動,必須要找有資質的圖商合作。"已有企業在討論這種合作模式。"一家擁有資質的網際網路公司透露。無獨有偶,這一合作方式恰好在兩天前迎來轉機。2022年8月30日,自然資源部官網釋出《關於促進智慧網聯汽車發展維護測繪地理資訊保安的通知》,《通知》明確僅限內資企業可依法取得地圖測繪資質,外商投資的企業可委託具有相應測繪資質的單位開展測繪活動。同樣的情況還發生在跨境業務上。美創科技CTO周杰告訴36氪,對運營商企業、金融企業、跨境企業或在美國上市的企業來說,《資料安全法》等相關法律帶來的影響可能比其他行業來更大——這些企業很可能資料量較大,且要受出境政策的監管。36氪數月前採訪一家跨國企業時,對方表示,當前集團針對敏感資料的加密儲存、脫敏等基本安全建設已經完備。最為迷茫的部分恰好在於跨國資料的互動,"這部分都停滯了,要等政策清晰。"這位安全負責人說。幸運的是,幾個月過去,資料出境的規定正如他所期待的一樣日漸明確。最新的變化是在8月31日晚間,國家網際網路資訊辦公室釋出《資料出境安全評估申報指南(第一版)》。在不少解讀中,這一《指南》在已正式施行的《資料出境安全評估辦法》基礎上,進一步明確了資料出境安全的評估細則——包括適用範圍、申報方式及流程、應當提交的申報材料以及申報諮詢的官方渠道等,並提供了資料出境安全評估申報書模板以及資料出境風險評估報告模板等內容。穿越陣痛期新的變化還在持續。比如億邦動力報道,為保護消費者隱私,9月1日起阿里巴巴將提供虛擬號碼解決方案,以切斷商家與消費者訂單上真實手機號的聯絡。這帶來的影響是,商家將無法透過平臺獲取消費者電話,也無法再透過外呼或簡訊等方式直連使用者。一個合理推斷是,未來關於資料合規的動態將只多不少——這也和當下監管動態,以及不少企業的合規治理現狀息息相關。在採訪中,不少從事合規業務的人士向36氪提及了“合規不起訴”。專注DPO培訓業務的山竹科技CEO向麗表示,目前檢察院推出了“涉案企業合規第三方監督”評估機制,即我們所說的“合規不起訴”,這個機制也適用於資料合規。“合規不起訴”即,倘若違規企業在檢察院給出的整改期內,對不合規行為請第三方評估機構進行整改,整改結果受檢察機關評審通過後,檢察機關會作出不批准逮捕或不起訴或量刑建議等決定。合規不起訴,對企業意味著自我修正的空間。但另一方面,合規建設可能在不同企業間產生巨大差距。螞蟻集團副總裁兼首席技術安全官韋韜在接受36氪專訪時提到,相關法律實施近一年,行業對安全的投入依然有巨大缺口。不少企業把數字化系統應用得相當廣泛,但往往能看到他們專業安全團隊的建設滯後。“一些企業買了安全產品,有了安全報警,卻沒人管,這不在少數。”韋韜說。與此相對的是監管科技的進步。無訟網路科技CEO孔令欣認為,國內的資料安全監管還會往前走,會比歐盟和美國更加先進。“中國的特色是用技術實現彎道超車,今天很多審計單位已經在用程式碼級或者資料庫級的技術,監察各個公司的資料採集體系和交易體系。從大趨勢判斷,資料安全監管還會更嚴。留給企業自行整改的時間視窗,或在不遠的將來關閉。”故事的另一面是,不少在這一時間段內進行合規建設企業,也會遇到現實挑戰。美創科技CTO周杰觀察到,《資料安全法》《個人資訊保護法》頒佈一年多了,但總體來說,不少企業的合規還處於一個比較初期的探索階段。“我們很多客戶都困惑於,現在資料合規從法律到技術落地之間還缺少細則。目前看,這可能要根據企業所處行業的敏感度區分,高敏感度行業的細則可能會來得更快。”在更為實操的層面,當企業走到業務和產品層面的合規整改階段時,往往需要用技術手段解決最終問題——如何把法律語言轉化為技術語言,並最低程度減少對業務的影響,也是它們當下面臨的主要難點之一。"對於法律意見的解讀,技術人員可能看不明白。"有企業對36氪坦言。對此,全資料安全服務商雲集至的聯合創始人宣淦淼認為:“安全廠商有責任帶頭探索如何透過技術落地合規要求,在這方面也更有經驗優勢。透過大家豐富的經驗,結合對法律法規的深刻理解,制定可供參考的行業技術標準和規範,從而讓資料安全建設合規落地更專業更高效。”從更現實的角度,合規建設可能涉及諮詢、培訓、相關係統改造和升級等多項支出。一位從事合規諮詢的業內人士強調:"合規是一件需要成本的事。"他向36氪講述,自身所在的公司曾以90萬元報價競標某消費電子品牌的合規諮詢,但品牌商選擇了報價75萬元的一家四大財務諮詢公司。但儘管如此,該品牌後來依然發生了資料合規問題,並導致了相關產品的下架。這導致的一個現象是,當前有著強合規壓力和建設動力的企業,往往是數字化水平較高、財力和技術能力靠前的公司。也就是說,雖然我們常常看到很多網際網路頭部企業被約談、處罰,但其實,這類企業的資料合規基建往往已是行業前沿水平。“這是一個非常複雜的語境,當前這件事可能沒有最佳實踐。”在幫助近百家企業開展資料合規建設後,無訟合作律師、世輝律師事務所合夥人王新銳坦言,“這就是我們在參與立法和監管工作中,經常聽到的,’能力越大,責任越大'。一個企業能拿到多少資料,就要承擔多少責任。”一個背景是,跨越網際網路、移動網際網路時代,資料已經被各行各業視為一種“資產”,也成為與土地、勞動力、資本、技術並列的新“生產要素”。從這個角度,在數字化大勢所趨的當下,透過法律、技術的雙重作用,讓國內企業補上過去安全能力建設的缺失之處,大機率是一場必修課。在《資料安全法》施行一週年的節點,一切才剛剛開始。(完)
*感謝悠易科技、紅途科技對本文的支援。
參考連結:
境內外上市企業的資料合規策略
淘寶揮刀!2天后,商家再也拿不到消費者手機號了
永不平靜的網約車,泥沙之戰
文中提及相關法規政策:
《關於促進智慧網聯汽車發展維護測繪地理資訊保安的通知》(https://www.mnr.gov.cn/dt/ywbb/202208/t20220831_2758156.html)
《資料出境安全評估申報指南(第一版)》(http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm)
部分內容來自六度專家訪談
文中張楊為化名
36氪旗下官方公眾號
真誠推薦你關注
來個“分享、點贊、在看”????
一切才剛剛開始