大数据时代，个人信息的收集与使用已远远超过人们的预期。比如你或许曾疑惑过，为什么只是在线下提了一句“脱发严重”，结果竟有网站天天给你推送生发广告。

很多时候，企业的这种看似“贴心”的服务，反而让用户觉得个人隐私被侵犯。 

一方面是企业数据流通和利用的需要，另一方面是用户对个人信息保护的焦虑，二者如何兼顾？近日，一场讨论“数据保护立法与合规”的论坛在深圳南山区人民法院举行。围绕数据合规与企业实践等问题，中国人民大学未来法治研究院副院长、副教授丁晓东和中伦律师事务所合伙人陈际红分别发表了主题演讲。本期论坛吸引了来自企业、高校、律师等机构近百名观众到场。 

在丁晓东看来，数据保护与合规的基本原理包括底线、中线、高线的三层要求。首先是形式要合规，尤其是隐私政策。据南都记者了解，在一些企业中，隐私政策也被称为“数据使用政策”或“个人信息保护政策”，这是企业用以向用户告知如何收集、使用、共享和转让个人信息的协议。 

丁晓东演讲。主办方供图。

不过从实践来看，南都记者此前发布的一份问卷调查显示，仅有9.09%的用户有仔细、完整阅读隐私政策的习惯，高达64.94%的用户完全不阅读。因此，丁晓东表示，在隐私政策等形式合规之外，企业还需考虑用户的同意与合理期待，让用户知道哪些个人信息被收集和使用，对自身数据有更多控制的权利，同时满足数据伦理与用户利益的高线要求。

具体而言，企业如何进行数据保护与合规实践呢？中伦律师事务所合伙人陈际红在论坛上提出了一个合规路径。他认为，业务合规工作包含合规尽职调查、差距分析和合规法律意见、合规实施和优化等三个阶段。其核心在于，企业应当了解目前自身数据收集的情况，并对照现有的法律要求寻找差距点，然后有针对性地实施落地。

陈际红在论坛现场。主办方供图。

整个合规过程中，涉及组织、流程、制度和培训等四要素。陈际红表示，企业的合规实践不在乎早晚，关键在于公司领导层是否重视。因为合规工作需要大量资源投入和部门协调，甚至要改变原来的模式。所以组织的决策和授权是进行网络安全合规的第一步。

其次是流程管理，具体到整个数据生命周期，从收集、存储、处理、共享等环节。第三是制度，将流程的管理落实到相关制度里面。最后是重视培训，让不同业务部门都能认识到数据安全的重要性，明确安全责任。 

据悉，本期论坛由深圳市法学会、深圳市南山区人民法院和蓝海现代法律服务发展中心共同主办。