数据合规2021年展望

文 | 朱玲凤  小米集团安全与隐私委员会副主席

去年春节前写过一篇小文《数据合规2020年展望》，然而被突发的疫情打乱所有的节奏，神奇的是在下半年频繁被其他公众号转载，甚至有数据合规行业的同学问到这篇小文，盛赞预测之准确。所以，有了一个小小的想法，东施效颦罗振宇坚持做20年跨年演讲《时间的朋友》，分享过去一年的观察和学习心得，为终身学习者们献上“知识大餐”。那么我们不妨约定以自己过去一年内的小小观察，做些“不负责任”的展望和预测，期待数据合规行业真正成为一个成熟且蓬勃的行业。

一、数据合规行业进入高速发展

在《数据合规2020年展望》中指出数据合规行业的蓝海到来，数据合规岗可能成为一个中型以上公司的标配。

今年很可喜的看到了这个预测的准确，甚至比我想象的都要快。

从市场需求来说，目前大型通讯领域、移动终端设备、互联网公司均标配专职的隐私保护或数据合规的岗位，大型律所均有了独立的数据合规专业团队，且薪资水平在猎聘上显示超过同等年限的法务或律师。

从人才供给来说，如江西财经大学、中国政法大学、重庆邮电大学等知名高校开始开设数据法学或信息安全与个人信息保护等专业，提出“数据法学的研究生培养应紧密围绕《关于坚持德法兼修实施卓越法治人才教育培养计划2.0的意见》中所设定的“应用型、复合型法律职业人才”这一目标，坚持厚基础、宽口径的专业学习，强化学生法律实务技能培养，提高学生运用法学与其他学科知识方法解决实际法律问题的能力，促进法学教育与未来法律职业的深度衔接”[1]。

随着人才供给和市场需求的双向拉动，以及《个人信息保护法》等顶层单行法出台生效，数据合规已然成为一个独立的综合学科和岗位，并将继续保持高速发展的态势。

二、数据保护寻求多方共治解决路径已经形成综合治理体系，未来可期待整个移动生态的持续净化

中央网信办、工业和信息化部、公安部、国家市场监管总局四部门启动2020年App违法违规收集使用个人信息治理工作，延续了2019年一年执法行动总结发现移动生态中App和SDK的互相依存关系，制定SDK个人信息安全评估要点以外再引入手机操作系统、应用商店等角色，完整地纳入了整个移动生态中的重要参与方，各有规则，自成方圆。

2020年更有意思的是操作系统和应用商店层面自发地展开了净化生态的工作，包括Android10提出收回IMEI的权限，iOS 14提出收回默认读取IDFA权限、app store上线隐私营养标签，MIUI12开发了照明弹、隐匿面具等功能提升用户的知情权和控制权等。

移动生态下个人信息保护乱相在未来的一段时间内可以预期终结。

三、数据合规立法和标准稳步出台，期待更适合大数据时代发展的规则变革与拐点

在《数据合规2020年展望》中指出“数据合规立法和标准进入井喷期”，国内《民法典》之人格权编规定了隐私权和个人信息保护、《个人信息保护法》草案、《数据安全法》草案国家互联网信息办公室关于《常见类型移动互联网应用程序（App）必要个人信息范围》 层出不穷。信息安全技术系列标准不断迭出，《信息安全技术 个人信息安全规范》、《信息安全技术 个人信息安全影响评估指南》均已发布。工业和信息化部日前组织中国信息通信研究院、电信终端产业协会制定发布了《App用户权益保护测评规范》10项标准和《App收集使用个人信息最小必要评估规范》8项系列标准。

未来可以预期的是顶层的《个人信息保护法》、《数据安全法》均会生效，与《民法典》共同成为个人信息保护和数据合规立法层面的顶层设计，同时在立法和标准的颗粒度上将进一步精细化，能实现与欧盟EDPB能从车联网、员工个人信息保护、视频监控等细节方面详细规定。

然而，当前的个人信息保护规定以及数据安全合规规定是否真的能适应当前乃至于短期内智能时代的需求，尤其是在我国提出了数据生产要素的纲领下，是存在疑问的。如欧盟EDPB《欧洲数据保护委员会战略（2021-2023）》提出“保护个人数据有助于确保技术、新商业模式和社会的发展符合我们的价值观，如人的尊严、自主和自由。委员会将不断监测新兴技术及其对个人基本权利和日常生活的潜在影响。数据保护应适用于所有人，特别是在处理对个人权利和自由造成极大风险的活动(例如防止歧视)。我们将根据我们共同的价值观和规则帮助塑造欧洲的数字未来。我们将继续与其他监管机构和决策者合作，促进监管的一致性，加强对个人的保护”，其中EDPB给出的关键性举措之一就是进一步强化“设计和默认数据保护”及可问责性，就如何有效执行数据保护原则、个人可期望什么以及组织可以做什么提供清晰的指南，从而进一步提高个人对其个人数据进行控制和组织证明遵守义务的能力。以此达到在保障基本权利的基础上发展新技术的目标。其背后原因很清晰，欧盟充分认识到数字经济未来的发展诉求下会对个人数据保护产生冲击，也许会跟隐私权中衍生出个人数据保护一样剧烈。我大胆预测未来几年可能发生个人数据保护规则的拐点和变革，也许明年可能也就能看到征兆或冲突。

四、数据生产要素推动下的数据治理以及数据增强性技术的大范围突进

2019年12月31日针对安徽凤阳农商银行作出一项25万元的罚款，理由是未能有效开展数据治理工作，数据治理存在严重缺陷。在《数据合规2020年展望》中我认为不是个案事件，执法已经关注到了后端的数据安全治理情况。2020年5月9日，中国银保监会披露一批罚单，包括6家国有大行，2家股份制银行在内的8家银行被罚了1770万元。被罚原因是，监管标准化数据（EAST）系统数据质量及数据报送存在违法违规行为，比如理财产品数量漏报、资金交易信息漏报严重等。这是中国银保监会首次就监管标准化数据报送等问题向银行业开出罚单。工信部数据安全能力专项治理仍在持续推进，同时信通院推出了《数据安全治理能力评估工作方案》以正向引导来助力数据安全治理。

《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》正式发布，明确将数据作为一种生产要素写入政策文件，培育发展数据要素市场，同时强调要加强数据安全保护，为构建以数据为关键要素的数字经济保驾护航。其中很准确的描述了数据安全与数据生产要素之间的关系，所以在数据生产要素的充分挖掘时，数据安全会比2020年更强大的推动，数据安全管理能力可能成为组织管理的基本范畴。

隐私增强型技术，尤其是差分隐私、联邦计算、多方安全计算等，对于发挥数据生产要素，解决数据安全问题以及交易双方信任问题等起到较大的作用。所以，这样的市场需求促使了隐私增强型技术从实验室到实践，乃至于标准化方向发展。2021年1月中国通信标准化协会大数据技术标准推进委员会召开了《隐私计算性能测试方法》启动会、《基于联邦学习的数据流通产品 技术要求与测试方法》标准修订研讨会等，强有力地通过标准化，使隐私增强型技术的市场化成为可能性。

五、人工智能的伦理问题将进入研究和重点关注领域

在《数据合规2020年展望》中提出了“人脸识别等AI前沿技术运用的数据合规规制”，认为2020年将为人脸识别提供清晰的规制规则，四部委2020年App违法违规收集使用个人信息治理工作，提出了针对面部特征等生物特征信息收集使用的不规范行为开展专题研究和深度检测。电信终端产业协会公布团体标准《收集使用个人信息最小必要评估规范人脸信息》提出了数据合规要求。

2020年在人脸识别方面的发展在国内更是被公众所关注，戴着头盔去看房、94岁老太太被抬着进行人脸识别激活社保卡等，都将人工智能的伦理问题引入到了我们的视野中。需要更多的探讨人工智能的本质，例如应当如何保障可信和符合伦理，而这方面在国内研究尚浅，但是国内市场具备极高速的技术发展和商用价值发展空间，意味着空白的规制阶段必须尽快减少。可以预见2021年将真正地开始人工智能的伦理研究，并在几年时间内达到一定水平，落实于法律规制中。

每天只需一块钱，