图：企业增长模型衡量维度

完美日记，在增长的初期，是聚焦在爆款的。完美日记的初期依赖于什么数据？洞察数据偏多。做品牌或产品的推广，需要实现比较有效的目标人群洞察，且这些数据是临时收集，临时使用的，并且不需要特别依赖于自有数据。

建立围绕“个人信息”的基础设施？在那个时候并无必要，甚至连CRM系统都不那么需要。打造爆款，在小红书等平台上制造热度，然后实现快速的销售变现。

这种方式是有效的，直到今天仍然有效，以至于会导致一种误解，即DTC就是快速打造爆款的一种模式。事实是很多DTC品牌也已开始进入挖掘消费者生命周期价值的新阶段。

今天，完美日记同样开始重视长效消费者关系的构建，以提升ARPU。在这种情况下，他们需要投入更多资源，构建自己的数据基础设施。

另一个品牌是美赞臣。这个品牌，如同所有的母婴产品（尤其是婴儿奶粉）的其他品牌一样，饱受如何找到真正的目标人群的困扰（人群要非常精准到具体的年龄，以帮助推荐真正适合该年龄的婴幼儿的产品）。并且，这些产品本质上不可能像美妆或者大众食品一样，迅速爆发出爆款的。

这样的品牌对于数据的依存度极高，即使它要采用DTC的模式，它仍然极为依赖于消费者的数据。

因此，对于管理层，尤其是对于CEO，需要做一个清晰的判断，自己的产品增长模型是否真的极为依赖数据，以及，自己的企业在当前的增长阶段是否极为依赖数据。如果不需要建立完善的数据能力，尤其是考虑到今天所谓的完善的数据能力还要包含对“个人信息”提供有效保护和遵纪守法的能力，相关的工作就显得多余，并且短期收益有限，甚至会拖慢迅速爆款起量的节奏。

这是一个短期和长期平衡的问题，但毫无疑问，在《个保法》的影响下，数据的价值越来越体现在长期价值，而不是短期的效果爆发上。如同我们前面所说的，数据的价值衡量（为数据进行投入后的回报比，即数据的ROI），将越来越趋向于长效的价值输出，而更难以做出短期的价值判断。

某一个部门，例如市场部门，可以自行决定数据如何获取与使用。一般情形下，CEO及管理层并不需要对此特别加以关注。

但《个保法》之后，情况变得复杂。

简单讲，如果按照原有的粗暴方法行事，最后的问责会回到公司管理层头上。

管理层不可能具有对于数据的全盘的专业性，而避免问责风险的最好办法，就是让具有专业性的部门一起参与进来。

这些部门包括，IT部门、法务部门、客户关系管理部门，以及外部的智囊等。

《个保法》导致复杂性的另一方面，是它可能严重伤害组织间的协同。

尽管从CEO的视角，协同各个专业部门，对于个人数据的合法获取与应用至关重要，但各个部门，尤其是相关数据的具体责任部门，一定会有不同的看法。

理想化的数据应用状况，是数据获取之后，相应的部门将这些数据提供给所有能够发挥这些数据价值的部门，例如市场部门获得的消费者数据，提供给客户关系管理部门使用。

但《个保法》下，市场部门获得的数据，如果在客户关系管理部门没有得到正确合法地使用而导致了侵权责任，市场部门或许难辞其咎。

因此，市场部门当然是选择将这些数据存放在自己的闭环中，封闭自己的数据，降低自己的风险。结果是，这些数据也没有能够得到更大价值的使用。

企业管理层当然不喜欢看到这样的局面。

这时，组织架构的调整成为必然，表面上，这种调整是对人员的重新分配，或者增加新的职能，但根本上，这种调整是对数据权力的重新安排。

管理层应设置CDO这样的职位，以全面协调企业各个数字化部门，以及各个部门的数字化。

CDO可以解释为首席数字官，也可以是首席数据官。我倾向于CDO作为首席数字官存在，本质上，数据的应用不是一个数据技术的问题，而是一个业务（如今天被革新的数字营销）、数据技术、数据管理三者交融的问题，业务是首要的，是数据存在的意义。而数字官的职责，要比数据官的职责更为广泛。

CDO也需要为企业不恰当获取或应用数据所带来的风险承担责任。因此，CDO或许是一个企业内最具风险的职位，他需要有很好的专业性，还需要很强的管理能力，他要有防患于未然的“上游思维”，也需要有协调各个部门的智慧。CEO则需要赋予CDO一些实际的权力，但归根结底CDO是支持和控制的职责，而不可能对业务本身负责。

一个重要的原则是，数据的应用体系需要闭环。毕竟，管理层要确保在所有数据流动的环节中，数据都不能被转移，或是被泄露。

如同互联网巨头们构建起的围墙花园，企业肯定也需要有自己数据的围墙花园。

围墙花园的含义，不是只修围墙，不修门和窗。企业应该确保个人数据不出库的安全，也需要在这个安全的情况下，能够最大化地应用数据。安全，需要围墙；应用，则需要门和窗。

构建这样的闭环体系包含一系列的举措。

在获取数据，尤其是获取自有数据上，企业应构建自己的私域触点体系，并且需要充满想象力地合理地设计自己的触点功能与互动，以突破《常见类型移动互联网应用程序必要个人信息范围规定》所限制的数据收集的基本范围。（当然，前提是要做知情同意，甚至单独同意的告知。）

在应用上，需要将数据本身与数据赋能的对象在应用上连接，在物理上隔离。

这么讲或许非常难以理解，你可以想象成，数据本身不被查看不被转移，但同时它又可以变成能力输出给各应用系统。就像隔山打牛。

为了实现这一点，数据必然要和这些系统深度地耦合，这是企业构建CDP这样的数据系统的意义所在。为了实现与外部应用的耦合（例如企业和媒体的数据的耦合），如同量子纠缠，新的技术尤为重要，例如隐私计算技术，以及更新的加密技术。

CEO和管理层，应该积极拥抱这些技术。利用围墙花园，以及支持企业围墙花园的相关技术。

举个例子，如果我是外企，很可能涉及到个人信息数据出境的情形。《个保法》明确了数据出境的合法性要求，但是当你真的需要出境的时候，你会发现完全不知道应该如何才能做到合法，因为与《个保法》所明确的主管机构还没有出台相关的配套规则。

这种情况并不罕见，一个上位法的出台需要大量下位法和规则的出台才能保障其实施。

因此，如果你的企业仍然在使用Google Analytics这类海外的SaaS数据工具，至少在当前，被问责和起诉的风险并不大。但Google Analytics的数据服务并没有在国内，因此在法律意义上，这属于数据出境的情形。从长远看，你将不得不切换它为别的数据工具。

如果我们在不得已的情况下被动切换这个工具，或者在法律已经开始追责的情况下我们因为使用这个工具而被处罚，显然得不偿失。（这也是我在前面所讲的，如果什么都不做，最终会发生的“厄运”。）

所以，公司的管理层需要提前做好准备，将自己的数据体系分为三个层面去应对：

• 现在和未来都安全的
• 现在暂时没被问责，但已经不合法的
• 现在已经有巨大风险的

考虑到法律的落地到执法的落地之间还有不少的鸿沟要填平，我们不能一刀切地认为所有的数据都存在风险，都需要立即开始整改。但同样不能认为一切都安全。

或者说，对于现在暂时没有被问责，但已经不合法的，要做好备份方案，以确保在必要的时候能够随时切换。