企业数据合规管理难点

数据合规很热，但行业仍在摸着石头过河。在承办数十起数据合规项目后，互联网合规君发现，企业数据合规管理难点主要表现如下：

数据合规，企业如何解决管理难点？

1、确立合规目标

数据合规驱动业务增长，这是良好的理念，但它不是目标。很多企业在数据合规方面无法确立清晰、准确的合规目标，以致于内部合规团队难以形成合力或者合规工作难以推进。

合规目标有大有小，如企业初涉数据合规领域，建议将合规目标尽可能拆分，从小做起，以点带面。例如：

监管检查专项应对
行业新规合规响应
KA客户投标过审
业务合作方合规审查
境外总部合规要求
业务出海数据跨境
投资方合规审计
拟境内外上市前整改
网络舆情事件处理
合规形象公关展示
底层数据刑事风险隔离
......

企业对外宣发可呼“合规自律”，但内部推动还是应确立可接受、能执行、易量化、有反馈的合规目标。

2、以理解业务为前提

数据合规切勿自嗨，不要看到这个数据安全事件、那个行政处罚案例，就感觉天降大任于斯人、奈何队友不给力。数据合规很重要，但如何支持业务发展、如何平衡业务增长与合规成本更重要，亦是合规部门与业务部门配合协作的基础。不要强推合规而不顾用户流失，不要争抢合规业绩而忽视营收压力。

合规整改牵一发而动全身。数据合规不仅仅是数据流的合规，更是业务流、合同流、资金流等等再加上数据流的合规。理解数据，更要理解业务与场景，理解可承受的风险与应让渡的资源，理解行业的潜规则以及底层违规的无可奈何。

另一方面，对标头部但不要盲从，数据合规应建立在企业自身的业务之上。多少所谓保护用户隐私的行业优秀实践案例，是以合规之名谋取竞争利益。合规可以是一门生意，但不应完全是，也不一定会成为你的生意。

合规，是企业减少负反馈的过程，是良币驱逐劣币，是企业“在自己身上，克服这个时代”。

3、合规要求融入整改解决方案

数据合规整改普遍面临的难点：

如何全面识别数据合规相关的各类风险？
如何将各类合规要求转换为企业内可执行的标准？
如何持续满足不断更新变化的相关监管要求？
如何有效评价数据合规工作的实际效果？
......

将合规要求融入整改解决方案，是数据合规能否有效落地的关键。

建立外部合规规则矩阵，基于对合规规则的分类、整理而形成合规基线。
综合考量企业所在的行业、业务领域以及业务开展地、合规需求等因素，建立适配的、可拓展的数据合规治理框架，将合规要求提炼为可执行的控制项。
根据各业务线与特殊敏感场景设立合规管控侧重点，对风险进行分级分类并设置内部响应机制。
定期对控制项实施情况进行效果评价，审查控制项在企业内部的执行程度。

另一方面，使合规要求自动（数字化）/主动（组织自觉性）触发合规管理流程，将数据合规融入企业日常管理中，降低可预期的风险。

（以PIA为例）

4、数据合规项目管理

准确拆解合规计划及任务、及时调配各类资源以支持项目、有效协调企业各部门间分工协作、合理推进合规整改进度、整体把控合规项目质量与效果等，既是技术，也是艺术。项目管理，一言难尽。

5、主动拥抱监管，但不迷信谄媚监管

合规不是合乎某某领导一家之言，不是合乎某某内部会议之道听途说，亦不止于合乎法规、政策、标准、规则等，更是合乎规律。特别是数据合规领域，很可能今日之种种专项行动，明日却被否定推倒重来。合规部门应与法务、公关、GR等部门通力合作，但更应有自己的合规主线与合规智慧。听风就是雨，很容易丧失合规应坚守的原则与底线。

我们也曾/正服务多家政府监管部门。如客户在合作洽谈期间谈及“与XX部门有没有关系”，我们坦诚直言“没有关系”。所谓“有关系”，无法解决“合规问题”。

最后，祝愿大家在合规里卷出一片天地。