个保法在今年11月1日正式生效，在当前强监管的态势下，各家大厂都在瑟瑟发抖。App合规一定是每一家最高优的工作，但细细一想，除了死盯App权限和隐私政策，作为合规团队，在企业落地个保法还能做哪些更多的事儿呢？

这是我在国庆后就开始思考的问题，现在也做了一些实践，和大家分享一下，抛砖引玉，希望未来能和同行朋友有更深入的交流。

1、引子

我以「App/业务」为中心，识别了业务活动中的4类干系人，具体的个保法合规工作也将围绕这些干系人来开展。

• 监管机构

• 外部用户
  

• 合作伙伴
  

• 内部员工
  

监管机构目前更多的是关注App合规，暂时不在本次讨论范围，我们将目光放在其他干系人身上。

2、围绕外部用户我们的工作策略

外部用户在使用公司产品中，当感受到自身的「隐私权益」被侵犯时，往往会选择发声维权。

客户发声通常有两个重要渠道，1是客诉，2是社交媒体。

因此，我们现在给合规团队新增了如下两项工作：

1、客诉信息收集与研判。通过个人信息权益侵犯类的关键词过滤每日客诉信息，合规同学从中研判是否存在违反个保法的现象，及时协调业务方处置，避免事态扩大，甚至引发更大舆情和监管关注。

2、舆情收集与研判。通过个人信息权益侵犯类的关键词过滤每日多渠道舆情，合规同学从中研判是否存在违反个保法的现象，在第一时间主动响应，在最快的时间协调各方削减舆情影响。

目前，客诉能在T+1天处理，舆情能在T+15分钟响应，能看到的效果就是一下子就把整个合规团队的节奏给带起来了，也确实在业务和产品方面做出了不少改进，还需要继续坚持运营。

3、围绕合作伙伴我们的工作策略

业务开展过程中会有很多的第三方合作，需要向第三方提供用户的个人信息用于履约，根据个保法要求，公司与第三方同属于个人信息处理者，都有尽责义务。

因此，我们计划加强这么两件事。

1、凡不是必须要用户个人信息明文的场景，部署脱敏策略和隐私号。

2、落地更多的第三方安全风险管理工作，包括：

• 更新第三方安全要求作为合同附件

• 实施更严格的安全检查，包括技术测试和现场审计

• 为合作伙伴提供安全漏洞通告

4、围绕内部员工我们的工作策略

个人信息从外部进入公司内部后，会被内部员工传递、使用、存储，我们需要一些手段感知内部场景的合规问题。大概说说还是加强密码应用、脱敏、权限控制、流转审批等等，具体的就不展开了，各家都有各家的做法。

5、总结

以前总觉得合规是一个偏后台的团队，写点制度，应对检查，搞好等保，维护认证就齐活了，不用太紧张。但个保法发布之后，信息安全合规猛然成了业务的红线，做合规的同学一下被推到了前台聚光灯下，需要我们熟悉监管要求的同时，还要更加理解业务逻辑，团结业务同学，确保不在执行上翻车。

这是机遇，也是挑战，更希望个保法这个大伞能让我在这个行业里混得更久一些吧。

~~~正文完，笔芯❤️ ~~~

最后，再打一个招聘广告：

招人啦！【美团-信息安全BP】

延伸阅读：

做信息安全BP的一些感悟 

（听说友商拿我这篇分享招人，让我又感动又失落。。。。感动的是我的一点自娱自乐的分享对大家还是有帮助的，失落的是我咋就一直没想着用来招人呢！！！）

作者：韭菜永不黄，十余年来一直混迹于信息安全行业，扛过设备，卖过服务，做过审计，查过黑客，反过欺诈，岁月神偷带走了我的苹果肌，留下了一肚子的瘫软，貌似我将要成为一个油腻的中年男人，不过依然对世界充满好奇，依然是一颗嫩绿的韭菜~