11月28日,第十五届信息安全法律大会在北京召开,会议以“安全的边界 执法的协同 文化的力量”为主题。信息安全与保密通信杂志社作为学术支持单位与会。在本次会议数据安全与个人信息保护法治新图景论坛上,南京大学信息管理学院副教授张斌作了题为“企业数据合规与风险管理:基于情报学的视角”的报告,以下为报告内容。
报告现场
一、背景
广泛地讲,情报学涵盖军事情报、公安情报等,而高校在研究情报学时,主要聚焦科技情报领域,主要方向是科技创新,为科技部等相关单位提供科技创新发展规划支持。在研究科技创新的过程中,围绕数据、信息、知识、情报等展开,自然延伸到数字经济背景下的数字创新议题。反过来看,创新工作的主体必然涉及企业,而企业在数字创新过程中难免遇到合规和风险问题,故而从学科视角来分享本次内容。
聚焦当前的数据合规形势。全球范围内,数据合规相关的判罚案例不断敲响警钟:2021年7月,亚马逊因用户隐私数据保护问题被卢森堡罚款;2022年7月,滴滴因超范围收集用户个人信息被中国网信办罚款;2025年5月,TikTok因数据违规跨境被爱尔兰数据保护局罚款。这些案例背后,是全球监管体系的不断完善与收紧。
从全球监管图景来看,各国纷纷构建数据安全法律框架。欧盟2018年出台的《通用数据保护条例》被称为“最严数据保护法”,中国在2021年形成了《个人信息保护法》《数据安全法》《网络安全法》“三架马车”的法律体系,美国也于2024年2月发布行政命令,限制敏感个人信息流向受关注国家。此外,英国、德国、韩国、日本等多个国家都制定了相应的法律法规,形成了全方位、多层次的全球数据监管网络,合规已成为企业不可逾越的底线。
值得注意的是,生成式人工智能的快速发展带来了新的合规挑战。欧盟数据保护监督局(EDPS)在2025年10月发布了《确保使用生成式人工智能系统时数据保护合规的指南》第二版,明确了目的和法律依据、角色责任、风险评估等核心要求。2025年9月,我国推出了《人工智能安全治理框架2.0》,指出生成式AI在数据采集与预处理、模型训练与优化、应用推理与内容生成三个阶段,分别面临版权争议、算法偏见、虚假信息传播等合规风险,这需要我们高度重视并积极应对。
二、情报学视角下的数据合规
合规情报是情报学实际应用中的一个窄分支,它是服务于组织合规管理需要的系统性信息行为,会根据组织合规管理目标,经历信息收集、处理、分析、传递,最终到形成决策和采取行动的全过程情报生产活动,具有有组织性、服务对象广泛、重在信息转化等核心特征,其价值在于能否支持决策行动并达成合规目标。
从数据合规的角度来看,数据合规正在经历从“守法”到“治理”的范式转变。数据作为企业核心战略资产,其价值通过流动和利用产生,风险也随之而来。数据合规需要为数据流动建立规则,促进数据价值实现,助力数字创新发展。对企业而言,它不仅是生存的“安全带”,更是获取竞争优势的“导航仪”,为数据流动建立“航道”和“交通规则”,在保障隐私权益与公共安全的基础上,助力数据要素价值实现。此前颁布的“数据二十条”也鼓励企业数据流通使用,但实际中企业往往不会轻易共享自身核心资产,同时数据流动还涉及效率需求、隐私权益保护、公共安全保障等问题,情况较为复杂。
当前,数据合规的关键问题集中在五个方面:AI赋能技术实现与数据治理的融合、跨境数据合规的博弈与数据流动机制的创新、特定垂直行业的深度合规问题、企业数据治理与合规运营体系搭建、数据权利的实际行使与公平性等方面。整体而言,数据合规的研究呈现出跨学科、重技术、分行业、全球化的特征。
三、研究工作
在企业数据合规与风险管理的研究上,我们有开展一些研究工作。
在移动应用隐私设置方面,我们研究并构建了包含隐私政策设置、信息安全控制两大一级指标的评价体系,并对工信部52款首批示范应用进行了实证分析。结果显示,部分应用仍存在隐私政策告知不清晰、“双清单”访问路径复杂、权限控制不够灵活等问题,这些都是企业需要改进的重点。
在企业隐私保护治理方面,我们对比了Apple和Google的两种典型模式:Apple采用清晰透明、用户主动的隐私保护框架,通过ATT功能、智能防跟踪等措施构造数据壁垒;Google则试图构建和谐共生的框架,通过Privacy Sandbox等技术在保护隐私与维持广告效果间寻找平衡,但面临着广告主不信任、用户反对等挑战。这两种模式为不同类型企业提供了参考,但核心都是要在业务发展与隐私保护间找到平衡点。
我们还以Tiktok为典型案例,拆解了其在美国两场听证会的答辩内容,分析不同议员的关注焦点,进而了解特定国家制度下的监管重点,同时也在开展相关评价与合规体系设计工作。运用扎根理论构建合规风险分析模型,识别了“国家安全”“数据隐私保护”“内容合规监管”及“未成年人保护”四类关键合规压力。
四、平台建设
分析Gartner发布的2023-2025年中国网络安全技术的成熟度曲线,数据安全治理、数据安全平台、数据风险评估等技术正稳步走向成熟,AI信任、风险和安全管理等新兴技术也不断涌现,技术赋能成为数据合规的重要支撑。
在此背景下,“数据合规即服务”衍生出了新的商业机会,覆盖企业数据处理全生命周期,包括但不限于提供合规工具支持、态势研判、知识提供、人才能力提升等一站式服务,最终帮助企业降低合规成本、提升合规效率。
我们与中国移动开展联合研究,从隐私政策出发,定位合规服务象限。界定形式合规与实质合规的区分,探讨了企业是主动响应合规需求还是被动响应政府要求的问题,对合规下限进行了划分。研究工作基于过往情报分析资料,汇集隐私政策、标准、司法案例、各行业产品等大量数据,进行知识标注、构建及合规要点库搭建,以满足企业风险识别、管理及决策需求。
我们还做了一些知识服务尝试,如通过大规模解析APP隐私政策,抽取合规要点,发现不同行业的合规诉求差异,开展合规检测、文本处理工作;同时针对隐私政策专业性强、用户难懂的问题,进行语义增强和辅助阅读相关工作。目前我们正在尝试数据流通和传输方式相关研究,希望通过公开数据了解企业及产品的数据场景、采集的数据项及处理方式,但实际问题可能更为复杂,我们也在努力尝试为企业解决相关问题。
在数字经济发展背景下,数据合规之路任重道远。企业正在进行大量数字创新,而任何创新都游走在风险边缘,是创新就可能会触发合规风险,这是我们关注的重点。但机遇与挑战并存。让我们携手共进,以合规护航创新,让数据在安全的轨道上充分释放价值,共同构建可持续、可信赖的数字经济生态!
★
★ ★ ★
★
