前言

鉴于全球各国都把隐私保护提上了日程，拉高了Level ，企业对于这一块的工作也越来越重视了。

基于工地之前没有专职人员负责隐私保护工作内容，而我恰好对其中内容有些许认知与理解，种种原因，前段时间在工地ReOrg之后，我也从一名信息安全工程师转换了Title成为了一名信息合规下的合规管理打工仔。

至少有一周真是两眼一抹黑，得益于之前的工作经验，我知道隐私保护是什么、知道安全合规是什么，但是对于信息合规这一个概念其实是比较模糊的，到底什么是信息合规，它所包含的工作和信息安全似乎又切不开的关系、和法务也有千丝万缕的牵扯、似乎又和风控沾了一Neinei边。那么它和前述内容的关系是什么？

答案是：不清楚，没有非常明确的定义。它似乎包罗万象，又似乎啥都没有。

最近一直在思考信息合规应该是一个什么样的成长路径，我应该做什么、能做什么、怎么去衡量我做到了什么程度？

有了以下的思考。

扔在前面可供Argue的点

很多人认为合规人员是不需要具备技术能力和技术背景的，其实不然。在互联网行业中，斯认为合规人员需要比法务同学懂技术、比技术同学懂业务。这样才能产出能够实际落地而非浮于纸面的解决方案，让业务方真正觉得合规确实是有帮助的，而不是业务发展上的拦路虎。不然合规的路子只会越来越难。

很多信息安全人员认为合规就是定期将标准对齐一下，次年用前一年的材料应对一下检查。周而复始，没有什么价值。

这也许与个人做事风格甚至是企业风格相关，不作任何评价。毫无疑问，但是带来的止步不前也是显而易见，甚至说某些工作一说，大家都一副了然于胸的感觉。

关键点取决于是否想成就个人，毕竟公司给你发薪水你必须要成就公司。

信息合规定义

首先，明确什么是合规，合规包含的内容很多：对外需要强制符合法律法规、国际标准和行业规定等；对内需要符合公司规章规范、行为准则等。

其次，明确什么是信息，个人信息、商业信息、公司信息、交易信息、服务信息以及其他一系列引申出来的内容，均可以称为信息。信息覆盖面非常广，载体承载的信息（如，营业数据）以及非载体承载的（如，公司声誉）。

最后，信息合规是在开展一系列技术或管理手段的基础上，为业务在符合内外部环境监管要求下保驾护航。

「Anyway，可能目前经验比较浅薄，认知不够，如果有不同的看法也欢迎提出来」

信息合规范围界定

1、业务范围

1）内部合作方

A .产品研发：融入SDL、PbD、合规需求开发等

隐私保护中非常强调Privacy by Design及Privacy by Default，在产品研发初期就将隐私或者说信息保护纳入评估范围内，从源头即开始，同时伴随整个周期。

提前约定需要在业务开展过程中，需要involve Compliance的场景，如：某一类型法律发布、某一类型事件发生、某些涉及个人信息处理的Feature开发。

B .信息安全及IT运维小伙伴：合规要求的部分技术落地等

主要关于数据采集、存储、传输、处理、销毁过程中的安全技术手段保底。

C .法务：法律法规要求、合规性探讨、隐私政策等

这一部分就不用多说了，专业的人做专业的事情，要充分的相信法务小伙伴的专业性。及时和小伙伴沟通并更新隐私政策和合规类内容。

D .客服：服务过程中的顾客信息保护、信息传递等

顾客就是上帝。客服过程中经常会涉及一些关于用户的个人信息及帐号、各类记录「如：消费记录、浏览记录等」。需要谨慎对待，大部分为加强系统权限管理结合安全意识培训进行提升。

E .风控：风控策略合规优化、信息埋点

风控分为业务风控和金融风控「或者其他内容，我目前没有接触的内容，勿喷」，合规侧需要符合的内容很多埋点都可以辛苦风控的小伙伴添加规则进行拦截。合规风控是一家！

F .人事：雇员雇主关系、招聘人员信息保护、简历收取及存储等

对于一家陌生公司的初印象，往往来于早期的招聘。从招聘初期就奠定一个良好的合规形象是必不可少的。入职后，如对人脸、身份信息有收集，也应关注信息收集的合规性。

G .行政：物理环境安全、访客信息保护等

这一部分大多涉及的是办公环境监控，包括对于进入办公环境的人「不限于：雇员、访客、外包」，监控会涉及到人脸收集及行为跟踪，如何做好适量的敏感信息采集也需要得到格外的关注。

H .管理层

一定一定要做好向上管理，自上而下的推动更容易哦～事半功倍

2) 外部机构： 监管机构（如：网安）、标准委员会（如：ISO）、客户客户客户「重要内容说3遍」以及其他可能突然出现的组织

2、职责范围

1）外部

A.各类认证：ISO27001 、ISO27701、等保、PCI-DSS、C-Star等

B.治理工作：APP违法违规收集个人信息认定办法

2）内部支持

A.业务咨询，如：某个业务遇到了什么场景，是否合规

B.合规解决方案输出（这一部分内容会稍微靠后，主要基于外部监管要求继而推动内部

不同阶段应具备的能力

1、短期

1）熟悉公司业务，确保公司各项生产经营活动遵循内外部的法律、制度、条例、规范、指引等，合规可以起到最基本的抑制操作风险的作用

2）定期进行当前业务的隐私风险评估

2、中期

1）发现问题并针对性的给出合规解决方案，自动化工具，解放双手，提升效率

2）发展完善的工具，持续性地监控，不断地优化，纠正

3）不断进行体系融合整理，沉淀基线内容

4）衍生的能力：如开发技能

3、长期

1）服务公司战略发展，让合规成为业务的盈利点，由成本中心转向收益中心

2）沉淀合适或者适用于公司业务场景的解决方案，建立内部各Team的合规能力，切记一直当救火员

3）国际化发展，熟悉数据跨境要求，进而发展编制统一化要求

对于未来的发展「短期」

未来可期，分享一下最近在做的内容。初级打工仔当前工作内容，求各位师傅指教 ～

写在最后

信息保护肯定脱不了数据安全，无论是境内数据安全还是跨境数据安全。

这一部分还在摸索沉淀，下次再写。

欢迎各位有对这一方面或者对隐私治理及合规治理感兴趣的师傅们联系我一起讨论~

第一次写东西，轻喷，感谢～