2021年8月20日，个保法在中华人民共和国第十三届全国人民代表大会常务委员会第三十次会议上通过，并于同年11月1日起正式施行。

个保法的出台，标志着我国数据合规的法律架构已初步搭建完成。

从无到有，从框架到落地，从混沌到清晰，这一年，我们见证了数字营销模式的变革，见证了巨额罚款、「靴子落地」，也见证了商业对「合规增长」的不断探索。

作为数据科技领域的先行实践者，StartDT Research Center（StartDT数据科技集团下属研究中心，原奇点研究院）将持续一年多的观察、研究与经过多年实践验证的成熟方案写入了这本《PIPL数据安全合规白皮书》，希望能为企业提供参考。

梳理个人信息保护法律法规的迭代及国家落地动作后，我们有以下发现：

首先，国家把个人数据视为重要的战略资产，要求企业从法律意义上关注自然人的尊严与权利，同时从国家安全和数据主权的视角确立了未来的法律保护框架，这在数据出境等相关规定中体现尤为明显；

个人信息保护法律法规持续迭代

下载《PIPL数据安全白皮书》查收清晰大图

此外，在「保护个人信息权益」的同时，PIPL对「个人信息处理活动」也做出了规范，将有利于推动个人信息在安全框架内被合理使用——与过去数据防泄漏、防丢失视角的安全框架有较大差异，在愈加完善的法律框架之下，数据更好地分享和使用方才成为可能。

拆解PIPL中的企业合规义务，可以大致分为三个阶段，每个阶段有其重点场景：

而当企业带着PIPL的视角，深入其更具体的经营业务，企业究竟需要在意什么、实现什么？

从企业数据全生命周期来看，包括但不限于：

1. 事前：平台能合规收集用户的哪些数据？不同来源数据的交叉合并和分级分类如何处理？

2. 事中：消费者的授权产生变化时，如何处理？出境数据如何处理，系统能否对数据进行功能性的自动筛选（例如指纹、面部信息等）？如何保证数据处理和分享的流程足够安全？

3. 事后：如何确认数据得到了删除、销毁等合规处理？一旦风险发生，如何以最小代价、最快速度来处理问题数据，例如，如何将风险数据最小限度地剥离开来？当收到用户申请删除其信息时，系统又能否自动处理，并将处理记录返回给品牌以便证实？

也就是说，为满足PIPL等数据安全法律法规的合规要求，企业需要做到「事前有指引」、「事中有管控」、「事后有跟踪」，在其背后，包含着对管理、技术和基础设施的要求。

StartDT「数据云+分析云」合规控制

下载《PIPL数据安全白皮书》查收清晰大图

在产品方面，数据云通过DataBlack为企业提供用户生命周期数据安全保障，GrowingIO分析云产品在PIPL/GDPR对个人信息处理原则、个人信息处理者的义务、个人权利、个人信息跨境提供的规则等方面已实现合规。

在实际应用过程中，根据数据所处生命周期不同，GrowingIO相关产品也有不同处理方式保障合规。

GrowingIO企业管理后台可进行角色权限配置

下载《PIPL数据安全白皮书》了解更多