1、確立合規(guī)目標

數據合規(guī)驅動業(yè)務增長，這是良好的理念，但它不是目標。很多企業(yè)在數據合規(guī)方面無法確立清晰、準確的合規(guī)目標，以致于內部合規(guī)團隊難以形成合力或者合規(guī)工作難以推進。

合規(guī)目標有大有小，如企業(yè)初涉數據合規(guī)領域，建議將合規(guī)目標盡可能拆分，從小做起，以點帶面。例如：

• 監(jiān)管檢查專項應對
• 行業(yè)新規(guī)合規(guī)響應
• KA客戶投標過審
• 業(yè)務合作方合規(guī)審查
• 境外總部合規(guī)要求
• 業(yè)務出海數據跨境
• 投資方合規(guī)審計
• 擬境內外上市前整改
• 網絡輿情事件處理
• 合規(guī)形象公關展示
• 底層數據刑事風險隔離
• ......

企業(yè)對外宣發(fā)可呼“合規(guī)自律”，但內部推動還是應確立可接受、能執(zhí)行、易量化、有反饋的合規(guī)目標。

2、以理解業(yè)務為前提

數據合規(guī)切勿自嗨，不要看到這個數據安全事件、那個行政處罰案例，就感覺天降大任于斯人、奈何隊友不給力。數據合規(guī)很重要，但如何支持業(yè)務發(fā)展、如何平衡業(yè)務增長與合規(guī)成本更重要，亦是合規(guī)部門與業(yè)務部門配合協(xié)作的基礎。不要強推合規(guī)而不顧用戶流失，不要爭搶合規(guī)業(yè)績而忽視營收壓力。

合規(guī)整改牽一發(fā)而動全身。數據合規(guī)不僅僅是數據流的合規(guī)，更是業(yè)務流、合同流、資金流等等再加上數據流的合規(guī)。理解數據，更要理解業(yè)務與場景，理解可承受的風險與應讓渡的資源，理解行業(yè)的潛規(guī)則以及底層違規(guī)的無可奈何。

另一方面，對標頭部但不要盲從，數據合規(guī)應建立在企業(yè)自身的業(yè)務之上。多少所謂保護用戶隱私的行業(yè)優(yōu)秀實踐案例，是以合規(guī)之名謀取競爭利益。合規(guī)可以是一門生意，但不應完全是，也不一定會成為你的生意。

合規(guī)，是企業(yè)減少負反饋的過程，是良幣驅逐劣幣，是企業(yè)“在自己身上，克服這個時代”。

3、合規(guī)要求融入整改解決方案

數據合規(guī)整改普遍面臨的難點：

• 如何全面識別數據合規(guī)相關的各類風險？
• 如何將各類合規(guī)要求轉換為企業(yè)內可執(zhí)行的標準？
• 如何持續(xù)滿足不斷更新變化的相關監(jiān)管要求？
• 如何有效評價數據合規(guī)工作的實際效果？
• ......

將合規(guī)要求融入整改解決方案，是數據合規(guī)能否有效落地的關鍵。

• 建立外部合規(guī)規(guī)則矩陣，基于對合規(guī)規(guī)則的分類、整理而形成合規(guī)基線。
• 綜合考量企業(yè)所在的行業(yè)、業(yè)務領域以及業(yè)務開展地、合規(guī)需求等因素，建立適配的、可拓展的數據合規(guī)治理框架，將合規(guī)要求提煉為可執(zhí)行的控制項。
• 根據各業(yè)務線與特殊敏感場景設立合規(guī)管控側重點，對風險進行分級分類并設置內部響應機制。
• 定期對控制項實施情況進行效果評價，審查控制項在企業(yè)內部的執(zhí)行程度。

另一方面，使合規(guī)要求自動（數字化）/主動（組織自覺性）觸發(fā)合規(guī)管理流程，將數據合規(guī)融入企業(yè)日常管理中，降低可預期的風險。

（以PIA為例）

4、數據合規(guī)項目管理

準確拆解合規(guī)計劃及任務、及時調配各類資源以支持項目、有效協(xié)調企業(yè)各部門間分工協(xié)作、合理推進合規(guī)整改進度、整體把控合規(guī)項目質量與效果等，既是技術，也是藝術。項目管理，一言難盡。

5、主動擁抱監(jiān)管，但不迷信諂媚監(jiān)管

合規(guī)不是合乎某某領導一家之言，不是合乎某某內部會議之道聽途說，亦不止于合乎法規(guī)、政策、標準、規(guī)則等，更是合乎規(guī)律。特別是數據合規(guī)領域，很可能今日之種種專項行動，明日卻被否定推倒重來。合規(guī)部門應與法務、公關、GR等部門通力合作，但更應有自己的合規(guī)主線與合規(guī)智慧。聽風就是雨，很容易喪失合規(guī)應堅守的原則與底線。

我們也曾/正服務多家政府監(jiān)管部門。如客戶在合作洽談期間談及“與XX部門有沒有關系”，我們坦誠直言“沒有關系”。所謂“有關系”，無法解決“合規(guī)問題”。

最后，祝愿大家在合規(guī)里卷出一片天地。