18｜合规与安全：让CIO踏实睡好觉

曹犟

你好，我是曹犟。
在上一节课中，我们学习了 house keeping，了解了如何通过日常维护让大数据系统持续可用。但是，即使系统运行得再稳定，数据质量再高，如果在安全合规方面出了问题，一切努力都可能付之东流。
2025 年 9 月初，某全球知名奢侈品品牌，因为用户数据的合规问题，被网安部门处罚。这一新闻在行业内掀起了轩然大波，神策的很多国际知名零售品牌客户，也都在内部开始了严格的安全和合规自查。可以看出，在现在这个时间节点，安全合规已经是一家公司内部大数据系统建设和维护的重中之重。
在正式讨论之前，我想先澄清一下“合规”和“安全”这两个概念。虽然常被放在一起讨论，但它们其实是两个不同维度的要求。
安全，指的是技术层面的防护能力。它关注的是如何防止数据被未经授权的访问、篡改、泄露或破坏。
合规，指的是符合法律法规、行业标准、内部政策等规范性要求。它关注的是数据的采集、使用、存储、传输是否符合规定。
两者之间的关系是什么呢？可以这样理解：安全是合规的基础，合规是安全的目标。一方面，没有足够的安全保障，就无法满足合规要求。另一方面，仅仅做到技术上的安全还不够，还必须确保行为上的合规。
举个例子，一家公司为了提升安全性，对所有用户数据都进行了强加密，黑客根本无法攻破。从技术角度看，这个系统非常安全。但是，这家公司在用户不知情的情况下，采集了用户的通讯录、位置信息等敏感数据，并将这些数据提供给第三方广告公司。虽然技术上是安全的，但在合规层面是严重违规的。

公开

同步至部落

取消

完成

0/2000

荧光笔

直线

曲线

笔记

复制

AI

深入了解
翻译
英语
中文简体
法语
德语
日语
韩语
俄语
西班牙语
解释
总结

1. 安全与合规是大数据系统建设和维护的重中之重，安全是合规的基础，合规是安全的目标。 2. 数据采集、传输、存储、处理、应用和删除各个阶段都需要遵循特定的合规原则和安全措施。 3. 构建完整的安全合规体系，包括第三方安全攻防验证、CI/CD中的依赖库安全管理、全面的审计与操作记录、全球化部署的数据合规以及组织保障与文化建设。 4. 通过安全合规体系取得的成果包括成功服务高要求客户、技术层面未发生重大数据泄露或安全事故、团队安全意识和能力提升、成本控制和预防成本远低于事后补救。 5. 安全合规应内嵌到研发流程，持续验证比一次性认证更重要，全球化业务必须考虑多地区的合规差异。 6. 安全合规是业务能力，不是成本负担，应该平衡合规与业务效率，持续学习、持续改进让合规与安全成为组织的文化。

仅可试看部分内容，如需阅读全部内容，请付费购买文章所属专栏
《大数据应用实战》，新⼈⾸单¥59

立即购买

登录后留言

全部留言(1)

最新
精选

大寒
思考题一：我认为目前更多处于被动应对状态，困境更多在于没有人力去专门做这个事情，而且它的产出量化很难体现，另外老师提到的DPO角色在现实中应该是比较稀缺的吧。所以从人力成本考量现阶段应对政府部门提出的合规要求还是最优解，而随着合规要求的不断收紧也会推动企业不断去思考与完善合规安全要求。思考题二：对于大数据团队来说我接触到的典型场景是人群用户的手机号，这个之前曾经有过对接流程，即需要提供工单来获取人群手机号。但是新业务由于需要快速验证且是在新开发的业务系统下面，和原有系统的结合能力不是很好，也没有资源再去大量迭代，造成的后果就是业务跨过了规范流程去索要手机号，而直接对接的分析师索要需求过于频繁，给到了底层手机号查询权限。所以综合来看是非常不符合要求的，但是也是无奈之举。而由于研发团队相对稳定，更多依靠的是人员的职业操守。总结来说就是看起来越来越不规范，但是也属于权衡后的考量。从我个人来讲，作为数据产品这一角色也会去推动这些内容能集成到新业务系统上，随着过程推进来越来越完善合规要求。
2025-12-03归属地：北京



收起评论