游云庭介绍 ， 这是他在《数据安全法》生效后两三天遇到的真实经历 。 他认为 ， 这说明相关的监管部门不能说没有准备 ， 而是新法生效后 ， 一下子涌现那么多企业需要办理数据合规的相关业务 ， 他们受理不过来 。 “他们也不会去接（企业）锅的 ， 万一你（企业）这些数据有问题呢？”
企业要有国家安全思维
那企业该如何做到合规经营？
中国信息通信研究院互联网法律研究中心主任方禹向新京智库表示 ， 企业首先要强化数据合规意识 。 《个人信息保护法》所构建的很多规则 ， 在一定程度上是对企业进行“补课” ， 过去“重发展、轻保护”的经营思路需要做较大调整 ， 而调整的起点就是个人信息保护意识的形成和强化 。
“还要持续合规” ， 方禹说 ， 个人信息保护本身具有动态性 ， 合规也是一项持续性动作 ， 企业确定个人信息保护总体框架后 ， 需要结合技术发展、业务变化等持续开展合规工作 ， 以符合个人信息保护的安全状态 。
从技术操作层面而言 ， 刘文印建议 ， 企业需要优先梳理、盘点自己的数据资产 。 首先要知道自己都有什么（数据） ， 才能有针对性地提出管理和合规的策略 。 同时 ， 通过合规性检测来确定自身的问题点 ， 然后再制定适当的、有效的治理手段和风险管理方式和目标计划 ， 从而有效执行实现合规化 。
“网络安全治理和风险管控每一个步骤都是为了减少安全威胁” ， 刘文印认为 ， 企业经过有效的梳理后进行集中治理并定期不断循环升级 ， 从而形成一种生态模式 。 网络安全的链条很长 ， 主要涉及三个要素 ， 即人员、流程和技术 。 因此 ， 企业在培训和优化流程时 ， 也需要在技术上提高 ， 特别是着重提高可以优化、减少人员犯错流程的技术和能自动执行合规的技术 。
对于金融机构而言 ， 索信达的数据治理专家魏强向新京智库表示 ， 需建立个人信息保护的制度体系 ， 明确工作职责 ， 规范工作流程 ， 完善IT系统 ， 设计并实施覆盖个人信息全生命周期的安全保护策略 ， 需要从敏感个人金融信息的收集、传输、存储、使用、删除、销毁等处理的整个过程采取措施进行全生命周期的保护 。 “比如遵循明确和最小必要原则对个人信息收集进行规范；采用加密等安全措施传输和存储个人敏感信息 ， 避免泄露等” 。
王岩飞认为 ， 做好新时代下的数据合规 ， 企业还需树立两种思维 。 首先是树立国家安全思维 ， 这对很多企业来说都是非常重要的 ， 但是大部分企业都没有 。 因为平台企业采集的信息 ， 不仅包括用户个人信息 ， 还可能包括天气、地理等数据 ， 只有树立了国家安全思维 ， 才能在数据出境工作中不踩国家安全“红线” 。
其次是树立刑事风险的思维 。 很多企业家可能都会想 ， 如果可以赚10亿元 ， 但只罚3000万元 ， 那他就愿意去冒违法的风险 。 但是他们忽略了一个问题 ， 就是《刑法》中有好几个涉及个人信息保护、数据安全的罪名 。
有些违法行为可能就不只是罚钱了事 ， “我们去年接手的几起刑事案件 ， 就是金融企业各板块的员工相互导数据 ， 他们完全没有意识 ， 认为这是合理的” ， 王岩飞说 。
北京大学法学院教授薛军向新京智库表示 ， 企业在遵守《个人信息保护法》 ， 包括《数据安全法》的过程中 ， 需要有一定的意识 ， 即促进统一的执法标准的形成 ， 比如一些指导性意见或行业准则的出台 。 这样才能使得大家在一个“水位线”上 ， 在同等的、合规的标准上来展开竞争 ， 这样才能真正促进行业的健康、良性发展 。 “特别是在个人信息保护的合规监管力度、标准的拿捏上 ， 是不是能够实现一体的、统一的执法标准” 。