2021年服贸会期间，普华永道中国风险及控制服务部门合伙人李睿女士在展区现场接受记者采访时表示，随着中国《网络安全法》《数据安全法》《个人信息保护法》等信息安全法律法规的颁布实施，企业需关注监管要求的最新动态，应对数字化时代数据安全及隐私合规所面临的挑战。

近年来，“大数据杀熟”现象备受关注。原本电子商务平台经营者利用大数据分析、算法等技术手段，根据消费者或者其他经营者的偏好、交易习惯等特征对其进行“精准画像”，可以为用户提供个性化推荐和精准服务，但一些商家也利用了熟人信任，采取歧视性定价攫取额外利益，侵犯了消费者的知情权、公平交易权等一系列合法权益。对此，李睿认为，这需要从法律、技术、行业自律以及第三方监管等层面共同应对。

据悉，《个人信息保护法》于今年8月20日由十三届全国人大常委会第三十次会议表决通过，将于2021年11月1日起施行。相较于此前的二审稿，《个人信息保护法》的最终版本在诸多方面的变化值得关注，尤其是将宪法纳入其立法基础，更加彰显中国立法者对于个人信息保护的重视。

李睿认为，对于企业而言，大数据的安全需要合规管理。她举例说，通过自动化决策方式向个人进行信息推送、商业营销，应提供不针对其个人特征的选项或提供便捷的拒绝方式。处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息，应取得个人的单独同意。对违法处理个人信息的应用程序，责令暂停或者终止提供服务。

在李睿看来，《个人信息保护法》作为我国第一部专门的个人信息保护立法，需要关注包括明确界定个人信息种类和适用范围等多方面内容。

瑞柏律师事务所公司法主管李晓蓓律师认为，在经济全球化的大背景下，境外公司通过跨境支付的方式向中国境内消费者提供商品或服务的情形非常普遍。在此过程中，不可避免地会涉及收集、使用和处理中国消费者的个人信息。在实践中，有些境外公司并未履行中国相关法律法规所规定的义务，如告知同意原则、针对中国用户的隐私政策、个人信息主体权力等，《个人信息保护法》的出台，为诸多跨国企业敲响了数据合规的警钟。

《数据安全法》于今年9月1日生效，相较于《网络安全法》，该法案也体现出很多亮点，包括设立重要数据和国家核心数据管理制度、增加保障弱势群体正当需求的条款、建立国家层面的数据安全工作协调机制、增加国家机关在履职中对数据的保密义务、加大针对违法行为的处罚力度，同时也明确了与其他网络、安全、出口管制等相关法律法规的衔接关系。

对“大数据杀熟”现象，李晓蓓律师表示，《数据安全法》的出台，对于已上市公司来说，将可能面临常规且更全面的数据合规审核。尤其对于在境外上市的企业，如果在业务开展过程中涉及数据出境，特别是重要数据出境，将面临很大的监管压力。对于有上市计划的企业而言，坚持合法合规为第一要务是明智的选择。“对于不合规的企业，加大对侵犯个人信息行为的惩罚力度，不仅是巨额罚款，对于企业管理者一把手也会有牵连责任。因此安全合规不可忽视，需要专业机构提供相关服务。”

李睿提出，《数据安全法》作为我国“数据安全领域的基础性法律”，重点关注数据安全保障制度方面的建设，明确了数据分类分级保护、重要数据与核心数据保护义务、数据跨境流动的合规义务、针对数据活动的国家安全审查义务、数据安全保护义务等数据安全合规重点内容。