---

---

前言

数据安全与个人信息保护是属于两个范畴的问题。

数据安全既包括企业数据安全风险的全面治理也包括影响国家，社会，公众权利的数据安全应尽的合规义务，对未尽到数据安全保障义务而造成的涉及国家，社会等公共利益的损失需要承担相应的责任。所以，从数据安全的角度来看是个保护企业，个人，社会，国家多方面权利的综合目标。

个人信息保护是企业在向个人提供产品和服务过程中，对获取和应用的个人相关数据综合考虑业务需求，个人权利保护，在保护个人权利的前提下，在企业业务开展的全过程保护个人信息生命周期的应用最小，必要，合规，安全。

---

一、合规

1、合规的目标导向原则

数据安全合规关注的企业对涉及个人，社会，国家权益的谨慎义务，目标是企业对数据安全风险关注的义务以及采取的措施。要关注数据资产在生命周期流转过程的脆弱性、内外部威胁，建立控制措施将风险控制到谨慎业务的合规范畴之上。理论上，企业的实际数据安全治理诉求，应该高于合规的底线要求，数据安全合规是数据安全的子集。

但需要关注合规要求直接对控制措施的定义和监管，要考虑控制措施的有效性与风险和控制措施的相关性，需要具有充分的论证，才能制定控制措施的合规要求和监管检查，更需要谨慎对待以安全产品替代控制措施的要求和检查。避免安全厂商参与规范，标准和技术指南的制定作为监管和合规检查措施直接应用于企业。提供纳入监管体系安全产品的企业在监管部门检查和监管企业时应该回避，已避免厂商对监管规则的寻租与绑架。

个人信息保护或个人隐私保护，除了企业履行安全保障义务之外，还要履行对个人信息采集，应用的谨慎义务，个人信息的范围，边界，以及业务应用的合理性应充分考虑行业，企业的实践特征，目的是保护个人信息的合法权利，但不应该损害用户个人的其他权益，造成企业为用户提供产品和服务的缺失，不便，最终损害用户