《PIPL数据安全合规白皮书》发布，全面了解数据云+分析云安全合规方案

「PIPL的出台不仅改写了消费者营销和商业零售的现有模式，也成为了未来面向消费者的数据驱动商业的基石框架。」

《中华人民共和国个人信息保护法》，简称「个保法」或「PIPL」（Personal Information Protection Law），是我国第一部个人信息保护方面的专门法律。

2021年8月20日，个保法在中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议上通过，并于同年11月1日起正式施行。

个保法的出台，标志着我国数据合规的法律架构已初步搭建完成。

从无到有，从框架到落地，从混沌到清晰，这一年，我们见证了数字营销模式的变革，见证了巨额罚款、「靴子落地」，也见证了商业对「合规增长」的不断探索。

作为数据科技领域的先行实践者，StartDT Research Center（StartDT数据科技集团下属研究中心，原奇点研究院）将持续一年多的观察、研究与经过多年实践验证的成熟方案写入了这本《PIPL数据安全合规白皮书》，希望能为企业提供参考。

↑扫码下载

前提：

为保障自然人权利、合理合规使用数据而生

梳理个人信息保护法律法规的迭代及国家落地动作后，我们有以下发现：

首先，国家把个人数据视为重要的战略资产，要求企业从法律意义上关注自然人的尊严与权利，同时从国家安全和数据主权的视角确立了未来的法律保护框架，这在数据出境等相关规定中体现尤为明显；

个人信息保护法律法规持续迭代

下载《PIPL数据安全白皮书》查收清晰大图

此外，在「保护个人信息权益」的同时，PIPL对「个人信息处理活动」也做出了规范，将有利于推动个人信息在安全框架内被合理使用——与过去数据防泄漏、防丢失视角的安全框架有较大差异，在愈加完善的法律框架之下，数据更好地分享和使用方才成为可能。

下钻：

当PIPL进入企业，数据安全合规要注意什么？

拆解PIPL中的企业合规义务，可以大致分为三个阶段，每个阶段有其重点场景：

· 数据采集阶段：遵循最小必要原则，并保障用户「明确可感知的拒绝权」；

· 数据储存阶段：要求从技术层面、管理制度、组织培训、应急演习及服务商合同约定等多层面，建立并落实完善的个人信息保护措施；

· 数据加工阶段：特别需要关注的场景包括「大数据杀熟」（不得在交易价格等交易条件上实行不合理的差别对待）、「营销拒绝权」、「自动化决策拒绝权」，同时，应对合作方、数据处理分析的受托方进行监督与管理。

而当企业带着PIPL的视角，深入其更具体的经营业务，企业究竟需要在意什么、实现什么？

从企业数据全生命周期来看，包括但不限于：

1. 事前：平台能合规收集用户的哪些数据？不同来源数据的交叉合并和分级分类如何处理？

2. 事中：消费者的授权产生变化时，如何处理？出境数据如何处理，系统能否对数据进行功能性的自动筛选（例如指纹、面部信息等）？如何保证数据处理和分享的流程足够安全？

3. 事后：如何确认数据得到了删除、销毁等合规处理？一旦风险发生，如何以最小代价、最快速度来处理问题数据，例如，如何将风险数据最小限度地剥离开来？当收到用户申请删除其信息时，系统又能否自动处理，并将处理记录返回给品牌以便证实？

也就是说，为满足PIPL等数据安全法律法规的合规要求，企业需要做到「事前有指引」、「事中有管控」、「事后有跟踪」，在其背后，包含着对管理、技术和基础设施的要求。

方案：

产品+服务，StartDT保障全链路、全生命周期的数据安全合规

作为独立第三方数据科技集团，StartDT提供完善的PIPL数据安全合规方案，包括咨询服务、合规产品及制度规程等。

StartDT「数据云+分析云」合规控制

下载《PIPL数据安全白皮书》查收清晰大图

在产品方面，数据云通过DataBlack为企业提供全生命周期数据安全保障，GrowingIO分析云产品在PIPL/GDPR对个人信息处理原则、个人信息处理者的义务、个人权利、个人信息跨境提供的规则等方面已实现全面合规。

实践：

GrowingIO在数据全生命周期中如何确保全面合规？

在实际应用过程中，根据数据所处生命周期不同，GrowingIO相关产品也有不同处理方式保障全面合规。

GrowingIO企业管理后台可进行角色权限配置

下载《PIPL数据安全白皮书》了解更多

· 数据采集阶段：GrowingIO严格遵守法律法规，同时遵循「最小权限」原则，只采集 GrowingIO服务所依赖的必要数据，只请求获取必要数据所需要的系统权限。

· 数据传输阶段：GrowingIO数据分析产品在传输数据过程时使用「传输链路加密（HTTPS）」和「传输数据压缩并加密」两种方式保障数据传输的安全。

· 数据存储阶段：GrowingIO数据分析产品会在服务器上存储客户自行埋点的埋点数据，同时会通过「使用 KMS 管理数据访问凭证」、「解密权限角色控制」等手段对数据做加密及访问控制，实现数据安全的可管可控。

· 数据删除阶段：按照相关法律法规的要求，GrowingIO为企业客户提供了用户数据退出机制。

从法律法规要求，到咨询与产品实现，我们将更多详实、可落地的方法写入了《PIPL数据安全合规白皮书》，希望能为企业实践提供帮助。

2022.11.1 个保法施行一周年之际

《PIPL数据安全合规白皮书》正式发布，扫码下载↑

创立于2015年，GrowingIO是国内领先的一站式数据增长引擎方案服务商，属StartDT数据科技集团旗下品牌。以数据智能分析为核心，GrowingIO通过构建客户数据平台，打造增长营销闭环，帮助企业提升数据驱动能力，赋能商业决策、实现业务增长。

GrowingIO专注于零售、电商、保险、酒旅航司、教育、内容社区等行业，成立以来，累计服务超过1500家企业级客户，获得LVMH集团、百事、达能、老佛爷百货、戴尔、lululemon、美素佳儿、宜家、乐高、美的、海尔、安踏、汉光百货、中原地产、上汽集团、广汽蔚来、理想汽车、招商仁和人寿、飞鹤、红星美凯龙、东方航空、滴滴、新东方、喜茶、每日优鲜、奈雪的茶、永辉超市等客户的青睐。

下载《PILP数据安全合规白皮书》