4月20-21日，“第二届企业合规管理与事务大会”在上海成功举办，来自政府、企业、律所的代表共同探讨企业合规相关的政策和热点话题。

用九智汇合规总监穆昭薇受邀参加互联网合规论坛，发表了“科技助力数据合规——实践与畅想”演讲，分析企业面临的数据合规挑战，深度介绍了用九智汇提出的合规方案——基于“数据合规LED （Law, Event, Data）”的治理框架，并提出“以科技，促合规”的理念，分享如何通过AI能力为数据合规治理带来智能、高效的体验。

- 演讲精彩内容记录 -

自《网络安全法》《数据安全法》《个人信息保护法》陆续颁布生效以来，受我国法律管辖的企业在数据合规建设中，通常会面临来自三方面的挑战：

监管侧：法律法规的广度不断扩展、深度不断细化，新的合规要求在最初发布阶段还没有建立起配套的实施指南，企业希望通过权威专家解读、行业讨论来明确落地路径；

用户侧：用户隐私保护意识不断提升，法律也赋予个人数据主体更多的权利，企业在C端处理个人信息时需要设计不同场景的隐私协议文本、做好交互体验，并及时响应用户行权请求；

合作伙伴侧：需要与三方明确数据处理的法律关系，做好事前尽职调查、事中持续监控和快速响应、以及事后的清退与黑名单机制。

而在企业内部，数据被访问、导出、下载、外发等等，数据使用场景多、流出敞口多，难以做好全面的防控和风险监测。

在此背景下，用九智汇提出“数据合规LED （Law, Event, Data）”治理框架，以解决“数据资产难摸清、裁量尺度难把握、泄露风险难防控”三大难题。

基于LED框架，用九智汇构建由隐私合规、数据安全、数据治理三大套件组成的一站式数据合规平台，实现隐私合规管理、风险防护监测、数据发现识别三向协同：

具体而言，企业可以参照上图来建设一套数据合规管理框架，从而实现数据合规的三个目标：建流程、防风险、塑心智。

目标一：建流程

基于Privacy by Design理念，建设统一标准化数据安全与合规评估流程；为帮助评估提效，用九智汇联合行业专家沉淀并不断更新业务场景库与合规规则库，可快速匹配评估模板、启动PIA/DPIA评估流程。

目标二：防风险

以数据资产发现和分类分级为基础，联通数据使用申请与合规评估，强化访问控制与行为监控，实现数据安全风险的管控和审计。

目标三：塑心智

建设面向管理层、面向员工、面向监管、面向用户的多视角隐私合规中心：

通过合规水位大盘，可以向企业管理层清晰地展现各条业务线的合规水位、高风险问题，从而获得相应的资源支持；

通过隐私教育门户，可以向员工持续宣贯隐私保护要求、开展安全合规意识培训、考核，并以积分兑换小礼品的方式鼓励员工自主学习；

通过合规监查平台，可以统一入口、集中化管理合规证据，例如安全制度、检测/评估/认证报告、审计报告等；

通过APP隐私中心，可以展现个性化设置界面，向用户展示“双清单”，并允许用户发起行权请求。

对于如何建立基于PbD的数据合规平台，用九智汇提出了三个关键步骤：

（1）制定规则：以合规知识库中的法律法规、标准指南为输入，制定评估模板、编排评估逻辑、维护风险库；

（2）开展评估：通过“数据合规评估”产品，开展日常评估或专项评估；评估结果可以与“数据处理活动”产品联动，实现RoPA的自动更新；同时，合规评估、数据处理活动产品也支持与数据分类分级产品打通，提示不同类型数据的敏感等级，对敏感数据对流转链路可以更加清晰地呈现；

（3）落实义务：在评估之后，可能需要更新隐私文档，或与第三方签订法律文件，或对识别出的问题评定风险等级，这些动作都可以由“隐私合规套件”来辅助完成。

分享的最后，穆昭薇介绍了用九智汇在“以科技，促合规”上做的三向探索：

智能生成内容——Privacy Chat

代码合规扫描——Privacy Scan

个人信息画像——Privacy Data

（1）智能生成内容——Privacy Chat

AIGC是近期的热门话题，那么当AIGC遇到数据合规，能擦出怎样的火花？

穆昭薇分享了用九智汇的思路：AIGC的应用场景不应仅限于智能问答，而应真正解放合规侧与业务侧双向的劳动力。

让我们一起设想以下场景：

业务方询问：“车外数据能否传到云端？”

Privacy Chat回答并追问：“车外数据可能包括个人信息和重要数据。已进行匿名化处理的视频、图像数据，可以通过网络向外传输车外数据。请详细描述车外数据的类型？”

业务方回复：“车外的人脸、车牌、建筑物…等数据”

Privacy Chat基于几轮交互后得到的信息，为隐私合规人员创建了一份“车外数据收集”的PIA模板，自动填充了采集、传输、加工使用的车外数据类型，并设置了若干相关评估问题，将模板推送给隐私合规人员做审核。

因此，AIGC能够总结业务问题、提炼业务场景、匹配合规规则、生成合规问卷，提速评估流程。

而这，只是AIGC应用的一个场景举例。

为了符合AIGC的相关监管要求，用九智汇提出了AIGC本地化部署的三层大模型——广域开源大模型、行业领域模型、企业私域模型，保证企业敏感数据不出域。

（2）代码合规扫描——Privacy Scan

代码扫描，在过去是SDLC中必不可少的一个安全环节。而今，通过代码扫描还可以快速生成一个实时的数据处理活动，识别出数据收集、传输、存储、使用、提供、删除环节，从而快速发现隐藏的数据合规风险，让PIA评估结果更真实、准确。

（3）个人信息画像——Privacy Data

隐私合规的保护对象是用户及其个人信息。结构化数据、非机构化数据（图片、文件、音视频等），可能都蕴含着大量的个人信息，需要全面识别和分类分级。

Privacy Data能够从企业大规模的数据中扫描识别出个人信息，形成集中式、可视化的个人信息画像，是做好个人行权响应（DSAR）、个人信息泄漏响应等合规义务的必不可少的输入。