明明都是同样的文字，不同的人组成不同的句子，形成不同的段落，差别真的很大。这本书我真的是硬着头皮读下来的，虽然里面没有一个生字。诚然这不是故事性很强的书籍，也不是我很熟悉的内容，但我知道有些说理性写作也可以让人舒服的读完。我承认，读这本的全程我都在跑神，只有偶尔熟悉的地方才能集中一点注意力。关于数据合规，我工作中接触最多的就是个人信息保护，APP 违法违规收集信息，还有常被大家默认跳过的隐私政策。看了这本书的相关内容，我只想说：你不关心自己的信息安全，但国家可比你上心多了。就拿隐私政策来说，每当我们打开一个新的 app，页面就会有这个东西，但几乎不会有人点开看里面的内容，就默认同意了。其实这么一个被我们忽视的东西，公司却要做的小心翼翼。这其中就涉及法律法规要求的告知同意原则，别看简简单单的两个词，法条要求却非常复杂，公司要梳理清楚业务场景，说明信息收集的目的，方式和范围，还有第三方相关等要求。大概法律就是想说：他们可以不看，但不能不给他们想看就能看到的权利。在个人信息保护的要求里，我曾运用过一条：个人信息主体的账号注销权。有一次，我注册登录了一个 app，后来领导说不能用公司邮箱注册，我就去 app 里找账号注销，居然没找到。我去问客服，回复说这个 app 注册的账号不能注销，再三说明情况他们都不同意给我注销。我立马就想起工作中接触过的 app 违法违规收集信息和个人信息保护要求都提到了账号注销权。于是，我写了两句话给客服：第一，个人信息主体享有账号注销权，第二，注册新用户时没有充分告知无法注销相关情况，违反了国家法律法规要求，我可以去投诉你们这个 app。接下来很快就收到答复，他们可以后台操作注销。那会有一点自豪，知识真的有用。全民普及个人信息和数据保护意识，任重而道远，就连我们做网络安全的同事们意识也只能算勉强。我想大概是大家嘴上都在说数据很重要，但其实还没有真的明白它到底怎么重要，当然这个大家里也包括我。

之前没有接触过数据合规的项目，花了两天时间读完这本书，整个框架豁然开朗。数据合规的目标是合法合规地利用数据，要实现这个目标需要三种能力：一是，确定具体合规标准的能力，合规的要求散落在数十部法律法规、部门规章、行业标准以及相关案例里，这需要律师对法律文件的消化能力，并把法条和具体的数据应用场景结合，产出定制化的合规标准。律师是天时。二是，调动企业人员将标准落地的能力。有了标准后还需要人去执行，咨询师可以通过建立流程制度、宣讲培训、文化建设等，打通企业的各部门的藩篱，让大家形成合力，保证标准的落地。咨询师是人和。三是，技术实现能力。数据合规的很多措施如果通过技术手段落地，可以事半功倍，实现 law is code. 这个过程中难免会遇到大大小小的各种技术问题，工程师的加入可以像爆破手一样，清除这些障碍。工程师是地利。团队组建好后，攻克各种难题心里就有数了。用户同意使用数据的要求、数据的转让及共享、数据跨境的要求等，常见的场景书里都有介绍。虽然不能说方方面面都能顾及，但至少给了初学者一个方向。美中不足的是案例都是互联网企业为主，可能是作者服务这类企业比较多吧，对汽车、金融的介绍较少。另外，我比较感兴趣的人工智能算法数据合规，也没有深入分析和案例。