个人信息保护法实施，互联网平台「守门人」如何避免再次「踏雷」？( 五 )_李静|陈阳|咖啡店|下沉|外卖

而从整个行业视角看，要避免再次踏雷：
“从业务视角来说，第一个要做企业业务个人信息资产盘点。在11月1号之前，企业至少心里有底，若真的出现问题，我们能够达到一个心理预期和心理准备，知道某一个App某个业务开发团队没有做这块内容，所以才泄露了，比如手机验证随便修改，大家要快速下线或整改这个业务。
第二个对管理层，盘点之后要进行整个企业业务发展方向的一个重新的设计，在现有的企业战略规划中加入个人信息的相关内容，最快最简单的就是在企业内部，把相应的人找到，管理者找到，比如CIO或者CISO，去承担这块的业务。其一是让大家现在做一个查漏补缺快速自查，其二就是委托职能部门或者高管推行或者承担这件事情，要持续投入人员精力或者需要一个部门。
第三个在相应的其他单位，比如审计或者第三方监管机制，需要有人去做承担和执行。执行的方式，有两点建议，一是要有专业的人，专业的机构去做，律所，或者我们这种专业机构，售卖产品的厂商，籍由专业咨询机构或者有咨询服务能力的团队或者找现有的供应商厂商，要求它在合同里去进行这方面的产品输入，并在下一年的IT规划和整个战略规划里要去同步。
第四个要做数据安全委员会出发的应急响应机制，把企业的法务部门、内控部门、公关部门、政府关系部门拉拢去规避突发事件，因为安全行业永远不变的主题就是永远会有事件。”
安恒信息上海总部首席科学家周亚超则鼓励大家从态度层面正视：“随着法律的正式实施肯定还会有一波热点，这些问题暴露出来，其实是一件好事。我们这两年来围绕App的治理行动，包括围绕违规行为，对于保障用户权益的个人信息治理典范，其实是一个很好的合作者管理体系。整个大的治理体系，光靠用户，运营商，监管机构可能也不太够，实际过程中可能需要一个推动政府、企业以及社会公众共同参与共治的过程，以及明确在这个过程中，大家各自的角色以及在相关问题上，各自的主体责任的边界。”
另外，在正式实施的“热点”来临之前，“其实企业内部通过一些风险评估的工作，也能够及时规避掉不少这类内部风险。我觉得这个可能不是方法而是需求驱动的，比如一些热点行业属于监管的重点领域，企业可能会有抱团意识，形成行业内部的监管协会。以人工智能为例，围绕生物特征、生物信息等领域，它自身存在较大需求，就会推动一个参与共治的机构或是机制来做这方面的加强。”
从实操层面，明略科技高雅也反馈，“首先需要做内部的管理制度和操作规程的要求。如果搜集了个人信息，对于一些敏感程度比较高的，要做单独的处理和管理。技术方面，需要采用更严密的加密或者去标识化，安全的措施。规定、处理这些接触个人信息的人，有操作权限的限制和安全教育培训，另外可能有一些应急预案。”
从第三方监督层面，相关专家表示：
“首先，目前法律规定的确有模糊的地方，这对企业合规带来了挑战。因此企业需要密切关注下一步的细则文件出台。
其次，目前很多企业都在按照个保法的要求进行整改，但这种整改是自发的，事实上在很多企业内部也存在着法务部们和业务部门“角力”的情况，因此，出现一些整改不彻底甚至没有整改的空间，这是正常的。当出现‘角力’ 的时候，业务部分要需要充分尊重法务意见，因为合规是生命线。而法务部门也要深刻、正确理解法律条文的含义，不是机械照搬。
另外，关于最近用户维权意识的觉醒的问题，这是好事，是一个社会形成健康的数据安全文化的前提条件。以前，用户不是不重视自己的权益保护，但重视了也没用，诉求得不到满足，甚至被置之不理。在法律威慑下，现在企业的态度改变了，用户因此增强了维权意愿。但对企业而言，有时候也会遇到滥诉，这不可避免，但总体的影响是正面的。