近兩年，“合規”二字逐漸成爲企業在業務發展之外的一大關鍵考量。去年11月1日，《中華人民共和國個人信息保護法》開始實施；今年上半年，各部門相繼發佈《網絡安全審查辦法》《互聯網信息服務算法推薦管理規定》等。

隨着數據安全立法逐步走向成熟，法律層面的約束極大促進了企業對於網絡安全和隱私保護的關注。

和數字經濟息息相關的互聯網企業，或許在這一年時間裏感知到了最多的變化。在近日接受媒體採訪時，安永大中華區網絡安全與隱私保護諮詢服務主管合夥人高軼峯總結稱，最大的變化在於，企業開始把合規變成一條新的“生命線”。

高軼峯表示，理念方面也發生了很大的變化。“以前互聯網公司是以流量制勝的，這些法律法規發佈以後，互聯網公司首先想保證的是合規，以合規作爲底線保證企業的生存，再通過安全促成發展。”

如何適應新的合規環境？高軼峯總結，國內企業採取的手段主要包括兩大方式：第一種偏向管理，即建立機制和相關的流程。第二種則偏向技術方面，包括廠商的技術、自研的技術和企業技術人才的投入。

尤其是在網絡安全和數據保護的人才方面，國內企業呈現出明顯的短板。高軼峯介紹稱，中國網絡安全人才的缺口將近200萬，這類羣體的招聘成本很高，但依然很難招。在數據保護上有兩三年經驗的人才，通常擁有同類IT職位5-8年的薪資水平。

聚焦在高度關聯的互聯網企業身上，除了將網絡安全和隱私保護放入早期的產品設計中之外，企業開始建立新的機制、新的流程，讓不同的部門甚至一把手承擔一定的（合規）責任。“不光是對傳統人員的投入，互聯網公司中的網絡安全人才屬於複合型，既要懂安全技術，又要懂合規和業務，這樣的團隊成本很高。”高軼峯稱。

實際上，經過近兩年的“法規教育”，各類企業都意識到了數據保護的重要性。高軼峯提出，假設沒有比較完善的大環境，只會出現兩個極端：一是數據濫用，二是“不敢用數據”。尤其是在開放公共數據的過程中，如果沒有較好的指引，企業不敢開放很多數據，有價值的數據也就無法被使用。

但對於大部分企業來說，更難的是有序落實，且預算問題也是中小企業必須考慮的挑戰。例如在隱私保護方面，美國隱私認證權威機構TrustArc發佈的《2022全球隱私基準報告》提出，規模越小的公司，日常業務決策中保護隱私的意識越弱，只有收入超過50億美元的大型企業能在近年來保持對隱私的重視程度。

高軼峯表示，經過他們的長期觀察，在網絡安全和隱私保護過程中，整體企業的投入預算仍然偏低。

他也強調，現階段，衆多企業存在的一大誤區是把網絡安全或者隱私保護當成業務發展的對立面，要解決這個問題，需要更多管理層面的共識，明確做網絡安全和隱私保護會促進業務健康有序發展。“如果一家企業現在踩了紅線，當它走進資本市場的時候，總有一天還是會暴露出問題。”