编者按
合规社推出「数据合规50人」专访计划,深度访谈50位数据合规领域的实践者与思考者。
本期对话嘉宾,是任祖森,现任某快消品企业的信息安全负责人,同时兼任个人信息保护负责人。他曾在制造业、地产、汽车等行业从事安全合规工作,具备丰富企业级信息安全0-1经验,履历十分亮眼。

受访人物介绍PROFILE
任祖森 某快消品企业信息安全负责人兼PIPO
曾先后就职于东风悦达起亚、万科集团、smart汽车等企业,现就职于某快消品企业,国内DSMC首批牵头参与人;DSI数安智库专家;中国信通院卓信大数据50人计划专家组首批特聘专家;
具备多行业企业级信息安全0-1经验;参与CCSA TC601、中国汽车工业协会相关行业标准制定;编写及发布智能网联汽车数据分类分级白皮书;
持有CISSP、EXIN-DPO数据保护官、EXIN-AICO人工智能合规官、CDSO注册数据安全官、ISO27001/ISO27701内审员等多项证书。
你别站在业务对面,你站在他旁边,指着前面的坑说“你看那个坑是你的,不是我的”。
——任祖森
文 / 王贤智
2016年《网络安全法》正式颁布,搭建起国内信息安全领域首个顶层法规框架,行业发展迎来拐点。彼时,任祖森入职东风悦达起亚,一家中韩合资的车企,公司提供完整培养平台,支持他全程参与企业信息安全体系从0搭建工作,在实战中系统学习安全建设全流程。
“那时,行业对信息安全的认知十分浅层,工作大多围绕等级保护测评、防火墙部署、网络与终端基础防护等传统安全领域展开。”
在2019年,任祖森离开深耕多年的车企,加入万科集团(物流BU)入局地产及物流行业。”
任职万科期间,他的岗位架构极具特殊性:不隶属于IT部门,直接划归总裁办管辖。他坦言,安全合规属于全域业务治理工作,单纯挂靠IT部门,权责受限、跨部门协同阻力极大,很难打通治理链路。归入总裁办后,依托顶层管理权限,他牵头成立信息安全委员会,搭建虚拟跨部门组织,拉通IT、法务两大核心板块,稳步搭建地产及物流企业数据合规体系。
行业真正的变革转折点,落在2021年。《数据安全法》《个人信息保护法》接连落地,叠加国内企业出海业务扩张,GDPR境外合规关注度持续走高,市场对安全人才的能力要求彻底改写。
“业内体感非常直观,只懂安全技术已行不通,从业者必须补齐数据、合规能力。近两年企业招聘趋势变化最明显,行业不再需要单一能力的安全工程师,急需打通安全、数据、合规全链路的复合型人才。”也正是在这一年,他毅然回归合规要求严苛的汽车行业,入职smart汽车(吉利与戴姆勒的合资品牌),全面统筹信息安全、数据安全、数据合规三大核心板块。深耕汽车领域多年,在三大安全体系建设、落地实践中实现技术与合规思维融会贯通。
为拓宽安全治理视野、在不同产业场景下重新丈量安全管控边界,他主动寻求职业新突破,跨界转型投身其他行业(他说:“与其说是我主动转型,不如说是行业浪潮推着所有人往前走,固守单一能力,迟早会被行业淘汰”),目前任职于一家快消品企业,探索多元化场景下的安全落地模式。
现阶段,任祖森全面统筹三大板块工作。三项工作保护客体同源,核心都是守护企业数据,但治理视角、落地路径、工作重心截然不同。
信息安全解决的是“数据别被偷、别被改”。偏技术侧,防病毒、防入侵、防泄露、身份认证、访问控制,这些都是传统安全的基本功。
数据安全解决的是“数据别乱流、别滥用”。偏治理侧,关注数据分类分级、数据流转管控、数据脱敏加密、数据出境评估,这些工作随着个保法和数安法的落地而迅速增长。
数据合规解决的是“数据该不该收、怎么收”。偏合规侧,涉及个人信息收集的合法性基础、用户权利响应机制、隐私政策设计、PIA评估,这些工作对法律解读能力和业务理解能力要求都很高。
“看似三条独立工作线,本质指向同一个命题:数据全生命周期,如何实现规范化治理。差异化在于沟通语言:对接技术团队讲安全逻辑,对接业务团队讲经营逻辑,对接法务团队讲合规逻辑。所谓三大岗位,本质是同一个治理问题,切换三个观测切面。”

2025年7月18日,国家网信办发布个人信息保护负责人报送公告,明确处理百万级以上个人信息的企业,必须设立PIPO岗位、按期完成备案。
任祖森到公司内部先盘点了一下,确认公司属于申报主体,未及时申报将产生合规风险。经与管理层沟通对接后,正式承接PIPO相关管理工作。接下来,他逐步落实数据处理协议、PIA、年度风险评估报告,以及个人信息保护相关认证工作。“总体觉得风险的口子会越来越小。”
但真正干下来,他发现这个角色最难的,不是技术能力,不是制度设计,而是“推动”。信息安全是底线,出了问题后果直接可见,业务部门自然重视。但PIPO的职责是监督个人信息处理活动是否合规,这意味着他要在事前去说服业务部门提前规范,而不是出事后再去堵漏洞。而数据合规,往往被业务视为“额外的流程”和“添堵的动作”。
“你跟业务讲合规要求,他听不进去。他觉得别人都在做,为什么我不能做?你跟他说风险,他觉得离自己很远。你逼他执行,他就应付。他可能会绕开你的流程,通过其他方式拿到数据。所以PIPO这个角色真正的难点不在于你懂多少,而在于你能不能让别人觉得,这事跟他有关。”
“安全合规这件事,不能只在一个行业里做,你得跨行业去看,才能知道什么是真正的基线。每到一个新行业,我第一件事不是急着建体系,而是先去度量这个行业的安全水位线在哪。”
制造业关注的是OT和IT,地产关注的是客户数据,汽车关注的是车联网和供应链安全,快消品和物流关注的是交易数据和用户隐私。“每个行业的侧重点完全不一样,但底层的控制点其实是相通的。”跨行业经历,其实是在用不同行业的实践去反哺ISO27001和ISO27701的落地。“不是照搬标准,而是看标准在不同场景下怎么真正能用起来。”
纵观各行各业合规差异,任祖森总结,行业合规建设其实只有一条核心判断准则:“这个行业的数据在哪儿流转、在哪儿卡住,安全就应该先建在哪儿。同时要考虑预算情况,是通过流程体系、制度,还是通过工具来做建设。”依托这套底层判定逻辑,他沉淀出一套可复用的方法论,称为三步定锚:先锚数据、再锚监管、最后锚业务。
“我看监管给它画了多少条线。线越多,说明这个行业被关注得越深,合规水位就越高。”
汽车行业的监管颗粒度最细,从准入、数据出境到软件升级,全流程均有明确监管要求,是全行业监管颗粒度最细致的领域。制造业配套多层工业数据安全专项文件,强制落地分类分级。
制造业监管力度同样突出。工信部出台多项工业数据安全规范,要求企业落实数据分类分级,并配套专项方案明确阶段性建设目标。其余赛道监管逻辑各有侧重:物流行业监管近两年持续收紧,将网络货运平台、车货匹配系统、电子运单系统纳入等保三级强制合规范围。地产针对人脸采集出台专项整改规则;快消主要依托通用法规兜底。
“每个行业面对的风险场景不一样,监管的着力点也不一样。但有一点是确定的:哪个行业的数据一旦出事,社会影响面越大,监管就会越严。这不是成熟度的高低,是监管的权重在哪。”

在他深耕过的多个行业里,制造业的安全合规落地阻力最大。“并非制造企业不重视安全,而是行业特性决定,安全建设天然和生产业务存在冲突。”落地难点集中在三重矛盾叠加:
第一重,IT与OT体系割裂,数据分散难治理。零售、物流行业数据集中跑在信息系统中,而制造业数据扎根产线、工控设备,设备型号多达上百种,数据毫秒级持续生成,格式杂乱、结构不统一。“不少工控设备硬件配置偏低、设备老旧,多数为海外进口机型,系统封闭性强。落地工控安全改造时,常会出现适配故障、占用设备算力等问题。产线数据零散分布,问及数据存储、流转位置,一线工段、产线管理人员大多无法清晰梳理。数据治理服务商普遍不愿深耕OT场景合规、数据分类分级业务,该场景无法依靠单一工具解决,需要多产品组合方案配套落地。”
第二重,安全管控与生产效率存在天然冲突。“产线工控终端硬件性能普遍偏弱,部署DLP、文件加密类安全工具后极易出现运行卡顿,直接影响正常生产。二者平衡无法单纯依靠制度条文调和,核心依赖底层架构优化,但多数制造企业安全团队并不具备相关架构设计能力。”
第三重,数据权责划分错位,跨部门推动阻力突出。数据由业务部门生产,权属归属业务侧,但安全管控规则由安全部门制定,天然会对业务的数据使用行为形成约束。“数据安全体系由安全团队牵头搭建,但数据资产的实际权责归属于业务部门,落地推进必然遭遇阻力。制造业信息化建设起步偏晚,具备数据安全实操经验的从业人员稀缺,多数企业建设目标模糊、实施路径不清晰,甚至连梳理法规要求、盘点业务数据规范的基础工作都难以启动。”
“制造业的安全合规,从来不是‘要不要做’的选择题,而是‘优先保障生产稳定,还是优先落地安全管控’的平衡题。”
这套名为“三步定锚”的落地框架,是他多年实战提炼的底层逻辑,执行顺序固定不变,各行业落地细则则按需调整。先明确保护对象、厘清监管约束、匹配业务诉求,顺序理顺,完整合规框架自然成型。
第一步,锚定数据。进入任何企业,首要工作都不是搭建安全体系,而是摸清数据分布、流转路径与使用主体。“刚入职一个月会走访各部门负责人开展访谈调研。核心是梳理数据全貌与内部业务场景,明确数据存放位置、业务核心节点。”汽车行业重点梳理车端数据、用户信息、地理数据三条链路;物流聚焦运单、轨迹、资金数据;制造业区分OT生产数据与IT管理数据两张网络。“数据模型不同,后续整套治理方案都会随之变化,但本阶段执行动作统一为数据分类分级”
第二步,锚定监管。梳理行业专属合规红线。“这一步梳理全部监管约束,区分仅适用数据合规通用法律,还是叠加行业专项法规。”各行业法规细则有区别,但落地动作一致:将监管条文转化为可执行控制措施,嵌入等保2.0、ISO27001体系框架。
第三步,锚定业务。这是各行业差异化最大的环节。“安全合规本身不是最终目标,保障业务稳定运转才是核心。”汽车行业核心约束是车型准入、数据出境,两项不达标则产品无法上市;物流行业核心约束是经营牌照、税务数据合规,不合规平台无法正常运营;制造业底线是保障产线不间断生产,安全策略不得干扰OT设备运行。“完成前两步梳理后,再定制阶段性落地规划:搭建基础安全能力、优化业务场景合规或是立项专项建设。”

行业合规检测工具大多围绕移动端App打造,车载场景缺少对应的配套检测能力。任祖森曾牵头落地一套此前行业空白的车机App合规检测方案。
彼时通用工具无法适配定制安卓、QNX、Linux等各类车机系统。“手机能用的检测办法,放到车机上基本全都行不通,需要重新开发。”落地项目时,他遇到三个最棘手的难题。
首先,多异构车机系统缺少适配工具。各类手机检测脚本无法稳定运行,车机休眠、锁屏机制还会中断检测,车企过去只能整车外送检测,团队联合机构定制开发专属工具。
其次,车载预装插件潜藏合规风险。导航、语音、推送插件多由上游供应商预装,后台逻辑不透明;车机应用绑定专属证书,外泄易遭恶意程序入侵,团队搭建隔离测试环境规避风险。“车机九成合规隐患都藏在这些插件里面。”
此外,车载专属规范无对应校验手段。车载对人脸匿名处理、信息采集提示、授权弹窗有硬性要求。“手机合规只看有没有违规,车机不仅要查违规,还要核对是否违反汽车专属规定。当时没有任何工具适配这套要求,这也是最难卡点。”
他梳理出简单清晰的三步落地办法:
第一步,搭建汽车专属合规规则库,整合监管与行业标准,新增一成至两成车载专属检测项。第二步,搭建自动化检测平台,七成标准化流程自动完成,弹窗、人脸效果等内容人工复核,配套业务整改指引,平台仅适配车企自有系统,无法对外复用。第三步,建立新车合规闭环:新车型立项→匹配对应车机合规规则→自动化首轮检测→输出风险清单→研发整改→复测核验→合规材料归档→整车交付。
回顾项目价值,任祖森表示:“以前车企做车机合规,看不清有没有违规、查到问题不会改、整改完不知道是否达标。这套平台落地,彻底补齐了短板。”
无论是风险研判、专项整改,还是合规落地方法论,都需要标准化治理框架作为长效支撑。任祖森主导落地三套标准化治理体系:ISO27001信息安全管理体系、ISO27701隐私信息管理体系、DSMC数据安全管理能力体系。
关于落地顺序,他有着清晰思路:优先搭建ISO27001筑牢安全底座,补齐终端、网络、云、移动端、基础数据安全等技术基建。“没有底层技术支撑,所有合规管控都是空谈。”基础能力完备后,再对用户数据开展脱敏、加密等隐私治理,先定顶层权责框架,再逐步细化流程。
“搭建三套体系后最大的体会:合规不是在原有业务流程上叠加补丁,而是重塑整套流程。落地阻力从来不在技术层面,而是扭转各业务部门长期形成的固有工作习惯。”
谈及为何要重构流程而非简单增补管控,他做了通俗解释:各家企业原有业务模式早已固化,业务人员普遍抵触改动;如果原有业务逻辑和合规要求天然相悖,零散补丁只会治标不治本,极易失效。以ISO27001权限管控为例,标准要求最小权限、默认关闭访问权限,但传统业务习惯默认开放、出现风险再临时封堵。单纯新增审批节点会大幅降低业务效率,业务侧很难接受;根源是整套权限设计逻辑需要彻底反转,绝非简单打补丁可以解决。
“三套体系落地得出统一结论:合规不是给原有流程套一层防护外壳,而是更换业务运行骨架。表层防护可以修补,但底层骨架一旦调整,整套业务运转模式都会随之改变。”
三套体系里ISO27701落地难度最高。“企业要同步适配多个地区相互冲突的合规规则,却只能维持一套业务流程,平衡难度极大。”一是法规要求冲突:GDPR支持用户完整删数,国内个保法要求涉税数据留存十年,一套流程难以兼顾;二是跨境主体身份多变:海外多作为数据控制者,国内兼具控制、处理双重身份,权责边界混杂;三是车载、地理、生产类敏感数据,跨境合规定性模糊,进一步放大落地矛盾。
2025版ISO27701已从ISO27001附属附件调整为独立标准。“这也能看出,隐私管理早已不是信息安全的附属延伸,需要单独配套能力、独立研判规则、专项投入资源搭建管控体系。”
“搭建体系的难点不在于标准条文,而在于落地过程中人的配合问题。各类标准都有现成模板,配套框架、分级方法也成熟,三个月就能搭建完成。真正卡住推进进度的,是体系落地后,业务部门不愿按规范执行。”
面对业务部门长期形成的固有工作习惯,他总结出一套落地思路。
别上来就甩合规要求,先找业务自己的痛。“比如销售不愿留存客户访问日志,不要直接搬出‘这是ISO27001硬性要求’,可以先问对方‘有没有丢失过客户资源、遭遇过数据泄露相关投诉?’大多销售都有类似经历。这时再说明:日志留存不是为了应付合规检查,而是方便自己追溯客户数据的操作人,后续出现客户信息丢失也能定位责任人。业务一听管控是为自身业务兜底,抵触情绪会明显缓和。合规是最终目标,但不能作为沟通的开场白。”
不要三套体系同步铺开,优先吃透单一场景做出样板。多套规则同时推进,很容易让业务产生抵触、消极应付。可以先挑选痛点突出的部门落地,帮其解决实际问题。“等单个场景跑通形成成功案例,再以此为范本向其他部门推广,效果远强于下发制度硬性约束。一个落地可行的样板,远比十份书面制度更有说服力。”
最关键,让业务部门自己提方案,你只守底线。“比如数据分类分级,研发说‘我的数据我最清楚’,你别跟他争,你说‘行,你来分,分完给我看,我只检查有没有漏掉敏感数据’。他分完拿过来,你发现漏了,别否定他,就指着那条说‘这块要是出事,责任在你不在我’。他自己就去补了。你不是在推他改流程,你是让他自己发现不改不行。”
“制度压他,他应付你;考核逼他,他绕过你;但你让他自己意识到不改会出事,他比你还急。”
如今任祖森对信息安全负责人这个岗位,有了完全不一样的认知。“早年我觉得这个岗位只是风险守门员:搭建体系、落实等保、抵御网络攻击,出了安全问题承担责任。现在我明白,这个岗位根本不是守门员,而是企业里的‘翻译官’。”
之所以称其为翻译官,他解释道:“岗位核心能力不在于精通安全技术,而是做好双向转化,把监管条文翻译成技术可落地的方案,再把专业技术逻辑转化成业务能听懂、愿意接纳的语言。这份工作不止要懂技术,还兼顾业务、合规、政策多重属性,算得上一名六边形战士,业务、合规、监管、技术每一块都要有认知储备。”

“只懂安全远远不够。不用深挖各类底层安全技术,但在法规没有明确红线的场景里,要找到适配企业的落地路径,至少做到八十分,守住基础安全底线,不触碰硬性合规要求。”
“如果安全工作只局限在IT内部,那始终只是守门员;只有能深度参与合规、法规全流程,才能真正做好翻译官,拉通各业务板块协同。”
合规氛围浓厚的企业,管理层重视度、岗位专业门槛都会更高。“这个岗位的职业天花板,从来不是掌握多顶尖的安全技术,而是在大量规则模糊、无明确红线的业务场景中,自主划定一条各方都能接受的安全边界,保障业务顺畅推进。”
任祖森在访谈里说了一句话:“你别站在业务对面,你站在他旁边,指着前面的坑说‘你看那个坑是你的,不是我的’。”
本栏目持续邀请数据合规领域的实践者参与对话。如果你在数据合规的某个方向上积累了足够多的实践,或者有一些值得分享的案例或项目经验,欢迎自荐或推荐合适的受访者。
⬇️⬇️⬇️
欢迎加入合规社知识星球,获取更多深度内容与行业交流

