数据安全相关立法日益健全,监管检查逐步落地,「数据安全合规」已成为当下企业经营绕不开的话题。
近日,受Morketing《数智未来》直播专栏邀约,某跨国消费品公司北亚区数据隐私官 徐震天和StartDT合伙人、战略咨询专家 何夕,与Morketing创始人兼CEO 曾巧展开了一场深度对话,围绕「数据安全合规」,分享业内人士的独家洞察。
关注数据安全、保护自然人权利,已被纳入企业社会责任范畴。
曾巧:最近看到数据安全合规问题屡屡发生,比如前段时间,某知名出行服务商因数据安全问题,被处80亿罚款,二位怎么样看待这个问题?
第一,数据已被定义为生产要素,而我们要让数据真正发挥价值,就必须要对数据来进行确权。在这个处罚事件背后,其实是《个人隐私信息保护法》、《数据安全法》、《网络安全法》从法律意义上对个人数据来进行确权,这将有利于数据行业发展。
第二,我们大家可以发现对个人数据安全的保护越来越严格,企业要更多地关注到自然人的数据尊严、数据权利,这也会引导未来数据营销模式发生明显的变化,包括营销技术如何安全合规地使用,是行业要关注的。
第三,案例中这家出行服务商几乎是违反了《个人隐私信息保护法》中的大部分条款,甚至已涉及到国家安全领域,触发了刑事追责。大家逐条确认,会发现数据安全的管理和规范正在越来越精细,监管落地精细化,这是一个大趋势。
中国从2017年出台了《网络安全法》,后来相继出台《数据安全法》、《个人隐私信息保护法》及一系列法律和法规。从处罚金额来看,这次可能是史上最高,受罚对象也是一个具有国际影响力的企业,这对整个企业界都有相当大的震慑力。
例如,平台过度收集和使用个人数据这一条,可见自然人的隐私权是否得到尊重和保护,是国家监管的一个重点;其次,在违规储存的个人隐私信息中,发现有千万级别的司机群体个人隐私信息被明文存储,这从我们传统的理解来看是数据安全问题,但在这次事件中它更上升了一个高度;以及,在企业过往收集、使用用户数据的过程中,但并没有向用户明示,这中间是企业忽视了透明度(transparency)的概念。
曾巧:《网络安全法》《数据安全法》《个人隐私信息保护法》相继推出,它们分别解决哪几个方面的问题?尤为值得企业注意的点有哪些?
徐震天:首先这三部法律都有一个共同的「上位法」,就是《国家安全法》。现在大家都有一个很明显的感知,无论是网络安全、个人隐私信息保护还是数据安全,都需要上升到国家安全的高度来看(事件的本质)。
无论从时间上还是内容上来看,这三部法律都是递进的关系。先是《网络安全法》在2017年6月1日正式实施,这是国内第一部关于网络安全、数据安全、个人隐私保护的法律。
第一,关于网络运营者的定义,绝大部分企业都被定义成网络运营者,包括政府组织和民间组织,都要遵守网络安全法。
第二,有一个概念叫「关键信息基础设施」(CII),国家层面把一些重点行业(比如金融、能源、科技、电力等行业)的网络运营者使用的IT系统定义成为国家层面的基础设施。这在某种程度上预示着如果基础设施遭到破坏,会对国家安全和社会稳定造成影响。
第三,《网络安全法》中提到了「分级保护」制度或者说「等保」。其实「等保」在21世纪前十年就已经被提出来了,但当时主要是针对一些国企或者金融等重点行业进行保护。如今网络安全法已经把分级保护上升到国家安全的高度了,作为网络运营者,我们都有义务去遵守。
接下来是《数据安全法》,我认为这一部内容写得很具体,企业内部在搭建数据管理机制时,《数据安全法》提供了一整套行动指南、行为准则,包括数据分类、组织建设、改造措施等,在这部法律中都有详细的说明。
到2021年11月1日,《个人隐私信息保护法》正式施行,我认为这是时代的必然产物:最开始,我们有一个非常大的互联网空间概念,《网络安全法》出台;后来,聚焦到数据上,《数据安全法》发布;数据中有非个人隐私信息和个人隐私信息,而中国是一个拥有14亿人口的超级大国,企业在日常运营中会涉及到海量的个人隐私信息。除了安全性以外,人的隐私权作为重要的人格权,也应该要受到法律保护。
通过这一系列法律的施行,包括三部法律中均有提到的「数据跨境传输」的问题,我们也可以很明显地感知到监管层面的意图和要求。
何夕:没错,大家不能仅仅只关注到《个人隐私信息保护法》。从《网络安全法》到《数据安全法》再到《个人隐私信息保护法》,这是一个层层递进的关系。
《网络安全法》要求运营者合法合规地收集和使用个人隐私信息;《数据安全法》则需要企业从自身角度规范数据处理活动,在开发使用数据的同时要保障数据安全;《个人隐私信息保护法》把企业数据处理活动范围进一步缩小了,企业要建立个人隐私信息的保护机制,确保个人的尊严、权利得到安全保障,这些都是企业要关注的重点。
另外,这些法律和法规的背后,都有具体的落地动作。比如工业与信息化部的「524」行动(信息通信服务感知提升行动),对同意的告知机制有非常详细的说明,另外如《数据出境安全评估办法》、推荐算法的管理规定等等,这些都是需要企业在提高意识的同时多加注意的。
曾巧:一个数据泄露监测平台曾有统计显示,2020年1月1日至今共发生数据泄露事件21620起,涉及的行业包括金融、互联网、电商、教育等行业。以徐总多年的从业观察,中国企业对待数据安全、合规的态度是怎样的?数据合规的建设水平目前到了怎样的阶段?
首先在时间维度上,2000年-2010年,对于国内绝大多数企业来说,在数据合规和隐私保护上的态度、认知是比较懵懂的状态。但对于一些强监管行业,比如说银行,这个行业有非常严厉的一系列监督管理要求,又譬如说外企,它们会按照总部的要求,开始做一些数据安全相关建设性的工作。
2011年-2016年,最近一段时间与前十年相比有了较大的变化,大部分公司开始有了数据安全意识,这是社会持续健康发展的必然产物。此阶段,国内移动互联网生态蒸蒸日上,诞生了很多互联网公司和品牌企业,在发展的过程中也会收集、处理海量的用户个人隐私信息。站在企业的角度来看,要开始摸索思考怎么样保护这一些数据,保障用户的权利与体验。
而2017年到现在,国内绝大多数企业,特别是面向C端消费者的企业,在消费的人数据使用和隐私保护层面开始有了更多落地层面的动作。这一方面是来自法律层面的监管约束,另一方面是社会舆论层面的要求。总之,在数据隐私保护方面,现在企业的意识已经上升到了一个新阶段。
其次从行业维度来看,一类是行业本身有强监督管理要求的,譬如金融、医疗、涉及到关键基础设施的行业等等,它们在满足国家法律要求的同时,其所在行业本身也做了很多事。
另一类是本身监管属性没那么强的品牌企业,它们在业务过程中收集到海量数据,而法律和法规倒逼了这类企业加强自身监督管理要求。为了合法合规地发展生意,品牌企业都是会去主动遵守、「修炼内功」的。
还有一类企业,其实它们并不怎么涉及到用户的数据,但伴随着数据安全意识的提升、法律和法规的健全完善,他们也在提升对于自身数据资产的保护能力。
曾巧:StartDT(奇点云&GrowingIO)在服务过许多客户后,您发现企业通常会在哪些环节存在数据安全合规的弱点?
何夕:在不同阶段,其实企业会有不同的「弱点」。我们看数据安全发展阶段,大体上可大致分为三段:
企业需要看看自己处于哪个阶段,每个阶段在数据安全合规上面临的问题和弱点都不一样。
比如企业在第一个阶段,主要是防止数据泄露;第二阶段需要去建立数据分级分类规范,形成权限控制、数据分享流程等管理体系;第三个阶段主要会遇到防攻击、数据产品合规、数据确权等问题。
从大的数据安全角度来看,企业数据安全合规有三要素,分别是规范、系统和组织。大部分弱点都出现在这三要素上,公司能够做个自查。
在规范层面,譬如有没做到数据分类分级的规范,有没有建立数据安全的管理制度,有没有风险管理预案,以及出了事故之后,有没有补救的基本规范流程。
有了这些基本的规范之后,才能把数据安全合规的要求固化进企业系统中去,比如说设置数据使用的OA流程,进行有关数据权限的管理。
除此之外,企业还需要按照法律和法规的要求,对组织做调整,例如设立安全责任人,定期开展企业数据安全培训,对外完成监管合规的认证,对内开展相关审计等等。
曾巧:站在从业者的角度来看,徐总您觉得品牌在利用数据、保护数据、消费者隐私等层面,当前的痛点是什么?
比如国内互联网生态发展非常领先,例如营销领域有许多领先的「玩法」。但法律(存在的)目标就并不是为了预测商业模式,因此本身不具备很强的预测性。往往我们会先有商业模式,后有相关的立法。从真实的情况来看,就是商业模式先行,有关规定法律法规会在后续建立、完善,定义商业模式中的风险判断及合规要求。如果这当中的缓冲期(立法从公布到生效的时间)很短,企业方在安全合规层面的应对就难免有些被动。
举个例子,其实在5年前,一个消费品牌在广告营销环节获取消费者的Device ID,这在当时的法律上是没有明确禁止的,后来PIPL(《中华人民共和国个人信息保护法》简称)出台后,我们才把这种行为定义为数据提供,明确了任何一方去申请和使用这个数据都需要消费者同意,再在实际的商业场景中去改进。
企业的商业模式在快速发展,而法律和法规通常不能「预知」一些新发展、新变化,因此企业既要合法合规地做生意,保障用户的体验,还要维持自身业绩的增长。这是很多品牌企业都会面临的一个难题。
其二,找到「平衡」,很多时候企业需要在效率、成本、风险这三者中间做好平衡。
比如这几年比较流行的隐私计算,它就可以解决多种场景下个人数据使用的难题,数据可以做到「可用不可见」。但这个技术本身投入需要比较大的成本,站在企业的角度会去衡量做这件事的ROI有多少。
合规永远是底线。当安全合规与成本、效率发生冲突的时候,如何找到一个平衡点对企业来说是个难点。
曾巧:针对徐总提到的痛点和刚才您谈到的三个环节,StartDT在这些场景有哪些解决方案?
何夕:从痛点出发,可以分为两类,一类满足合规监管的需求,另一类是容忍度评估,在生意和安全的平衡中做评估。
奇点云(StartDT)一直有提供数据安全治理的一站式服务,从数据安全治理的咨询,到产品,以及具体的实施,来帮助企业解决数据安全合规过程中的各种「疑难杂症」。
合规监管的需求,更多向外的,也就是需要符合法律合规;而容忍度更多是向内的,数据安全的问题不要影响到企业生意。那么企业必然要这两者之间寻找平衡。奇点云会根据评估结果,为企业制定实际可落地的数据安全规划,包括隐私政策更新、数据安全Milestone的设立、未来数据安全体系的实施规划等等,这些都是安全咨询服务需要提供的。
同时,奇点云也提供相应的数据产品,从数据采集、数据存储、数据加工等层面保障企业数据的安全合规。
譬如在分析环节,企业在使用一些海外的用户行为分析工具时,因为这些平台在国内没有数据中心,则必然要将采集来的数据直接传到国外的服务器上,这违反了数据出境安全的规定。我们提供GrowingIO-UBA(用户行为分析平台),帮它从数据采集到分析全链路做到合规;
在数据存储上,我们发布了数据安全引擎DataBlack,可以实现全链路、全智能、全场景地守护数据资产全生命周期安全,包括实现数据自动化的加解密等等,保障数据资产在使用中没有安全合规风险。
此外,对于有了规划和产品但还是不太清楚应该如何落地的企业客户,我们也提供实施的服务。举个例子,在企业内部数据,涉及到个人数据、重要数据、敏感数据,我们会制定出安全策略和规则,对数据进行分级分类。
以我们现在正在服务的一个集团品牌为例,敏感数据在进入数据中台之前就要完成加密,只有在中台上获得授权的人才可以解密,并进而分析和使用数据。在实际落地过程中,我们不能仅考虑规则怎么设定,还需要在产品上去做实现,包括提供一些安全相关的智能算法,并且保障整个业务流程不受影响。这就是奇点云(StartDT)在提供的「咨询+产品+实施」一站式安全治理服务。
曾巧:通常来说,国际性大品牌在数据隐私保护上有哪些有效措施?以及对于其他零售、快消品品牌方面您有什么建议呢?
第一个,在组织层面,一定要设立相关的组织和人,最好是专业的人做专业的事,这一点在业界已经达成共识了。《个人隐私信息保护法》也明确规定了要设定个人信息保护人的角色。
第二个,在文化层面,数据安全合规永远不是公司某一个人(例如法务/IT)的事,而是全公司、全员的事情,包括CEO和实习生,都要有数据合规的意识。因为数据是贯穿公司整个业务生态和环境中的。那对于DPO(数据隐私官)来说就有一个职责,要在企业内部建立数据安全合规的文化,让全员都具备这样的意识,方能真正达到比较成熟的(安全合规)状态。
第三个,在技术层面,在中国这么发达的互联网生态下,技术可以解决很多商业模式的问题,那换个角度想,技术其实也可以解决很多合规的问题。所以我也趁此机会向大家特别是品牌方的伙伴们呼吁,品牌方不要吝啬在数据安全合规技术方面的投入,技术能帮助我们解决很多现实的问题。
曾巧:如果企业即将开始数据安全合规的治理动作,在兼顾安全、效率和业务增长的前提下,奇点云建议从哪一步开始,如何规划与落地?
第一类要素「管理要素」,也就是基于对法律和法规的理解,从公司内部管理层面实现法律层面的合规,这个部分需要律师、咨询顾问来帮企业落地;
第二类「技术要素」,要在底层实现全链路的数据安全,保护数据免受未经授权的一些访问和操作;在技术和产品之上,还有一个安全策略问题,即我们不仅要在技术原理上实现对数据的保护,还要从策略上对产品进行规范,例如充分保障自然人的被遗忘权、拒绝权、携带权等等。这个环节需要安全专家顾问以及专业的数据产品及技术开发来解决;
第三类「基础要素」,也就是围绕基础设施展开,我们要保证数据是被安全存储和计算的,可以安全地迁移、更新、备份。在这个环节通常由云厂商及数据平台团队来保障。
从切入口来看,当前有很多企业会采取「小切口」的模式去跑,从亟需解决的方面入手,比如说CDP(客户数据平台)/MA(营销自动化)等涉及到私域运营投放、用户数据分析等环节,必须要满足PIPL(《个人隐私信息保护法》)的要求。这些问题都是与业务直接相关的,我们就要尽快「对症下药」。
还有一种方式,在我们实践和服务下来可能会更推荐。直接从顶层规划入手,建立分类分级的管理规范,这也是三大要素里最核心的。分级分类的规范不仅可以让企业满足PIPL的合规要求,在未来还有很强的拓展性,比如说应用到企业内部的敏感数据、财务数据的合规。这种方式相比我们只在某个领域来做合规,会更长远,更利于企业长期可持续的数据安全合规。
曾巧:那么在整个数据链路的设计中,如何让数据既能得到安全保障,企业使用数据时又能方便调取?
何夕:我们还是需要把「合规」和「容忍度」放到台面上,一起来考量。企业第一优先要考虑的一定是数据合规,不合规就没有办法把数据用起来。其中最为核心的问题就是按照分类分级的规范,去设计并实现数据从采集、存储到加工等全链路的合规,最起码能满足国家法律和法规的要求。这是第一优先级。
当合规的问题解决了之后,我们再解决易用性的问题。易用性的问题常常出现在流程、组织的设计等方面,包括是否需要引入数据安全的算法,采用怎样的加解密和脱敏的技术。
举个例子,怎样保证在开发人员看不到公司原始的财务数据的基础上,还能进行有效地开发,并且开发的数据时可用的。解决这个问题的通常做法是,数据第一时间进行加密,加密后完成计算,只有拿到授权的人才能去解密。这样的操作能有效避免数据泄密问题。总的来说我们还是需要先要考虑最基础的可用性,然后在业务实践的过程中,不断迭代、提升易用性。
曾巧:徐总站在甲方的角度,企业在数据安全合规层面,您希望选择怎样的服务商?
徐震天:从甲方的角度来看,数据安全处于不同阶段的企业,对服务商诉求是不一样的。
对于数据安全合规成熟度不是特别高的企业,往往先需要一个服务商,来提升数据安全合规的意识,并帮企业建立一整套框架,包括组织机制、规范流程、工具使用等等。这类服务商可以是有数据安全咨询能力的专业机构,它们能提供这样的服务。在建立大框架后,先从中选择核心的、最有痛点同时也是与业务最相关的领域,把数据安全合规的治理启动起来,再去深耕。
对于发展到一定阶段的企业,它们在组织内部流程、工具使用、人员意识上都已经达到不错的水平,这时候往往需要解决非常细、非常具体的问题,比如说广告主如何合法合规地与媒体方共享数据?面对这类具体问题,它们更需要一个能落地的专业服务商来解决。
还有一些大型的集团企业,其本身的数据能力已经很强了,会更需要一个独立的第三方机构(作为见证人)来出具一些审计报告,能提供给用户或监管方。
徐震天:我认为第三方的供应商一定要懂得甲方的业务,这是至关重要的一点。也就是说,你不能只懂数据安全、数据隐私,而要真正理解企业的业务。
第二点,希望服务商能帮企业找到自己的弱点并解决。很多甲方也并不清楚自己的痛点在哪里,作为服务商,如果能清晰地将这些痛点展示出来,协助甲方一起找到背后的问题根源所在,一起处理问题,会是更理想的服务商。
最后,希望服务商对企业、对项目会有ownership,既要有「高大上」的方法论,也要有可以落地解决实际问题的能力。
正如跨国消费品牌北亚区数据隐私官徐震天所说,「企业不仅仅要创造利润,还有着积极承担社会责任的义务。」在DT时代,数据安全合规值得每一家公司、每一个经营者重视并落实到行动,也值得每一位公民关注。
未来,StartDT及旗下奇点云、GrowingIO将继续坚守「数据安全」,不仅确保自身产品的自主可控、安全合规,更以先进可靠的数据技术帮助客户实现数据资产全链路安全,让数据在安全合规的「跑道」充分的发挥其价值,支撑企业一同应对数智世界的挑战。
数据安全相关立法日益健全,监管检查逐步落地,「数据安全合规」已成为当下企业经营绕不开的话题。然而...
2022年的金九银十之战正如火如荼进行着,汉臣氏品牌终端持续发力,在企业成立17周年之际,开展各种类型的市场...
强强联合,储动未来!2022年9月17日,固德威技术股份有限公司(以下简称:固德威)与湖北亿纬动力有限公...
近几年来,我国慢慢的变多的企业意识到职场的健康问题日渐严重,员工由于长期高压高强度工作而出现了慢病...
每日互动股份有限公司(股票代码:300766)是国内专业的数据智能服务商。近年来,随着中国数字化的经济蓬勃发...
随着国家东数西算战略全面启动,大数据产业向京津冀、长三角、成渝等国家算力枢纽节点不断集聚。以上海...
科技改变生活,特别是随着AI和大数据技术的广泛运用,人类的基本生活方式发生了翻天覆地的变化。...
近年来,伴随着新能源车的生产制造及其对安全性较高驱动力电池的要求,高效率驱动力电池BMS愈来愈获得重...
9月16日,由中国农业技术推广协会、中关村大数据产业联盟主办,中国农业技术推广协会数字农业分会承办,...
近日,2022IDC中国未来企业大奖案例名单正式公布,国内机械密封件行业唯一A股上市公司中密控股,以智慧...
数据安全相关立法日益健全,监管检查逐步落地,「数据安全合规」已成为当下企业经营绕不开的话题。然而...
2022年的金九银十之战正如火如荼进行着,汉臣氏品牌终端持续发力,在企业成立17周年之际,开展各种类型的市场...
近日,中国内燃机工业协会乘用车动力总成专业委员会(英文简称SCP)及中国汽车工程学会汽车先进动力系统...
日前,金佰利秋招真正开始启动,将招募年少有为的优秀毕业生进入销售部、电子商务部、品牌市场部三大部门,...
金秋九月,位于合肥瑶海区的优信二手车合肥大卖场,前往看车的客户络绎不绝,这里慢慢的变成了二手车消费者...
随着传播媒介的变化、培育 IP 的周期缩短、商业化变现的链条缩短,Web3 0的版权体系成为最具效用的新...
金融稳,经济稳。今年以来,兴业银行驻马店分行坚持稳字当头、稳中求进,聚焦重点领域、薄弱环节,加大...
从青春期开始,很少有人能逃脱长痘的困扰,更加让人烦恼的是,祛痘的方法用了很多,痘痘依然顽固,一顿...
王志强,九三学社成员,王氏品牌创始人、王氏集团董事长。杭州市工商联常委委员,2021年新锐杭商,天下...
在安徽买车不知道去哪里买?想少花钱但是新车价格居高不下?想快点开上车来一场说走就走的旅行,但是车...
近期,昆仑健康保险爱在三伏 温暖一冬健康主题客户服务活动圆满结束。作为一家专业的健康险公司,昆仑...
曹克将,教授,博士,睿智儒雅,思维敏捷,与共和国同龄,但仍然朝气蓬勃、神采奕奕。曹克将于1987年到...
2021年11月在合肥瑶海区磨店附近新开业了一家二手车大卖场,拥有4栋16层,整个卖场占地10万平米,满仓可...
设计创造幸福东方生活美学之夜主题活动于2022年9月17日晚在上海黄浦滨江电竞馆举行。主题活动是首届...
随着开学季的到来,各位家长迎来接送孩子上学这一艰巨任务,不少家长有了购车的想法,二手车行业也迎来...
强强联合,储动未来!2022年9月17日,固德威技术股份有限公司(以下简称:固德威)与湖北亿纬动力有限公...
银行卡被止付该如何正确地处理?如果是因为逾期或是透支导致止付的,用户是需要及时归还逾期金额或透支本息后,...
近日,浙江省全过程工程咨询与监理管理协会发布《关于公布2021年度浙江省优秀监理企业和优秀监理人员的通...
近几年来,我国慢慢的变多的企业意识到职场的健康问题日渐严重,员工由于长期高压高强度工作而出现了慢病...
每日互动股份有限公司(股票代码:300766)是国内专业的数据智能服务商。近年来,随着中国数字化的经济蓬勃发...
2022年9月7日-9月9日,一年一度的腾讯公益日如约而至。今年,「黄金第一口奶」母乳公益再次入选腾讯99公...
近年来,数字化浪潮愈演愈烈,各行各业纷纷加入数字化转变发展方式与经济转型的行列。以时尚鞋服行业为例,消费者对于...
《公共卫生大家谈:新冠防治中医药的实力担当》节目中,张炜主任向市民解答连花清瘟可治疗肌肉酸痛怕冷...
2022年9月18日下午,由广西壮族自治区乡村振兴局、广西壮族自治区工商业联合会、广西壮族自治区人民政府...
东方网记者刘轶琳9月17日报道:中国妇幼保健协会医院后勤服务与保障专业委员会成立大会暨委员工作研讨会...
在快节奏的生活中,社会面逐渐形成了两个不同派别,分别是今朝有酒今朝醉的嗨皮派,以及都道无人愁似我...
9月秋意渐浓,又到了金九银十家装旺季,家装市场硝烟弥漫。作为家装管道市场的常胜将军,日丰集团匠心打...
随着国家东数西算战略全面启动,大数据产业向京津冀、长三角、成渝等国家算力枢纽节点不断集聚。以上海...
载载硕果飘香,年年百花齐放。9月17日-18日,中国大学生好创意第14届全国大学生广告艺术大赛策划案现场...
近日,飞鹤星飞帆卓睿获得了多项国际大奖,其中有由美国博物馆联盟和美国国际奖项协会主办的美国MUSE缪...