为明确数据使用的红线，在法律允许的条件下发挥数据价值。去年7月，《数据安全法（草案）》（简称《草案》）向社会公众公开征求意见，有专家预计，今年末，《数据安全法》有望出炉。

   在“《草案》下，企业如何把握立法导向，合规利用数据”讲座上，小米公司安全与隐私委员会副主席朱玲凤表示，企业需要建设全流程的数据安全管理体系制度，一是要识别数据安全的外在需求；二是梳理数据资产；三是要识别敏感的数据；此外，企业应当建立“谁产生、谁拥有、谁负责”的逻辑去确定各方的角色承担、划定相关领域、理清相应的角色等。

  朱玲凤认为，企业不能一味追求数据的安全性，而数据若无法被用于业务增长，实现精准化营销、数字驱动成长，则是没有意义的。企业在设计数据安全目标和策略方针时，要从数据共享和应用的视角，以合规要求为基础，以数据利用为上层要求，以满足业务数据需求为驱动，将数据安全目标和业务发展目标进行结合，这一天平的平衡点向左倾还是向右倾，要根据企业本身的发展阶段来调整。

“欧莱雅是一家公认的美妆公司，但其实它是披着着美妆外衣的数据技术公司。”朱凤玲举例称，除了产品定位优势外，数字化的力量是它差异化竞争的核心，包括用户精准画像、数据中台。欧莱雅在小红书、天猫、微信等平台通过提供化妆品小样的方式，引导用户去注册，当用户注册之后会生成一个唯一的标识符，标识符用来收集各平台上的行为数据，形成精准的画像，为欧莱雅未来定制推广方案提供基础。比如，它在挖掘了上千名18岁到30岁的消费者对于面膜的诉求后，发现修复熬夜所引起的肌肤损伤是最迫切的，于是它就开发出了零点面霜，上市当天就卖掉了10万件，这就是对用户进行精准化画像的成果。当然，还有一个核心是建立数据中台，打通来自于不同渠道不同广告平台，汇成一个中央数据中心，建立一个监管的沙箱，它并不知道用户是谁，但是它的营销商仍然能接受指令，进行精准化的营销，数据中台的凝结性能力十分关键。

  除了强调国内企业的数据安全能力建设外，对于出海发展的企业，朱凤玲提出四点建议，一是要选择合适的出海资源或者是区域。在欧盟GDPR生效后，很多企业认为严格的规定会造成较大的合规成本，选择避开欧盟市场。但是，我们认为稳定的政治环境和公正的执法应成为选择目标国家和地区的关键考虑因素。去年，在中欧数字领域高层对话上，双方认为，中欧作为世界两大主要经济体和数字领域的重要力量，应把握机遇，求同存异，推动数字领域务实合作不断取得实际成效。此外，欧洲法院以可能影响民众自由为由，撕毁《欧美隐私盾牌》协议，显示欧美关系又一次出现裂痕。而对于中国企业而言，选择欧盟市场其实是一个比较好的选择。二是正确处理数据出口管制，外商投资中的数据审查具有普遍的意义，发达国家通常会有相应的条款，发展中国家会采取一些包括准入、外汇政策方面的措施，以达到出口数据本地化或者出口管制的效果。因而，企业对目标国的数字管控环境要有准确的认知。三是处理跨境执法需求，企业应密切地关注跨境执法的诉求，可以尝试一些本地化处理的方式。以微软和德国电信为例，微软一直坚持认为管辖数据应当限定于相应的地域范围内，而不是数据控制者归属于哪个国家来进行限制。它与德国电信进行合作，将德国电信作为数据托管方，只有德国电信才可以访问数据，微软访问数据也需要经过德国电信审批与许可，在这种情况下，美国政府是无法通过微软获取存储在德国服务器上数据的，这是在明确法律框架下可采用的数据本地化的处理方式。若国家之间政治形势变化不明朗，企业可采用一些创新性方式，或者类似于透明性报告，以换取出海地民众和国家的信任。四是按照当地法律要求履行数据安全义务，企业要熟知并了解当地法律本身安全和隐私上的要求，做到合规。目前来看，数据安全是比较容易被抓把柄的领域。(来源：中国贸易报)