400-123-4567

BOB全站对话StartDT何夕、跨国消费品牌DPO徐震天:数据安全合规的三要素规范、系统、组织|数智未来

  BOB全站数据被纳入同土地、劳动力、资本、技术组成生产要素之一,可见数据对于企业经营增长的重要性。

  但在企业早期的发展中,对于数据合规、隐私合规等方面的忽视,常常导致数据应用不合规,甚至发生用户隐私泄露等问题,因此,数据合规、隐私合规改革迫在眉睫。

  StartDT合伙人、战略咨询专家何夕分享:“企业数据安全合规有三要素,分别是规范、系统和组织。企业需要自查一下有没有做到数据分类分级的规范,还有数据安全的管理制度,包括风险管理预案,以及出了事故之后,有没有补救的基本规范流程”。

  从品牌企业的视角来看,某跨国消费品公司北亚区数据隐私官徐震天认为,当前企业在数据安全合规上普遍存在两大痛点,第一点是企业商业模式的快速发展与配套法律和监管要求之间存在“时间差”;第二点是关于“平衡”的概念,很多时候企业需要在效率、成本、风险这三者中间做好平衡,怎么找到这个平衡点是很多企业的痛点。

  在越来越重视数据合规、隐私合规的时代,企业面临的难题不言而喻,如何去打响数据安全合规的保卫战,在《数智未来》直播栏目第七期中,Morketing创始人兼CEO曾巧与(StartDT是由奇点云与GrowingIO两个公司共同组成)StartDT合伙人、战略咨询专家何夕、某跨国消费品公司北亚区数据隐私官徐震天两位嘉宾进行了一场深度对话。

  Morketing 曾巧:最近看到数据安全合规问题,屡屡发生,比如说前段时间某打车平台,因为数据合规问题,被监管部门罚款了80亿,二位如何看待这个问题?

  StartDT合伙人、战略咨询专家 何夕:首先这件事情我还是比较乐观看待的,自从国家把“数据”定义成生产要素之后,我们明显发现一个大趋势,就是数据变得越来越重要了。

  第一,我们要把“数据”真正的发挥作用,就必须要对数据进行确权。在某打车软件平台被罚款的事件背后,其实是《个人信息保护法》以及《数据安全法》、《网络安全法》,在法律意义上对个人数据进行确权,这是有利于数据行业发展的。

  第二,如今在个人数据安全隐私上的保护越来越严格,需要关注到自然人的数据尊严、数据权利,从另一个维度上看,包括营销技术如何安全合规地使用,可能在未来对数据营销模式产生变化。

  第三,从这个案例中还能看到,某打车平台几乎是违反了《个人信息保护法》中的大部分惩罚条款,甚至在涉及到国家安全领域,还会有一些刑事追责。总之,数据安全的管理和规范会越来越精细,这是一个大趋势。

  某跨国消费品公司北亚区数据隐私官 徐震天:这件事,我觉得有两个层面的意义。

  第一个层面,因为侵犯用户隐私被处罚,这件事起到了警示的作用,中国从2017年出台了《网络安全法》,包括后来相继出台了《数据安全法》和《个人信息保护法》等一系列法律文件,从处罚金额来看,这次可能是史上最高,尤其这次处罚对象是一个具有国际影响力的企业,对整个企业界都有相当大的震慑力;

  第二个层面,在这些处罚依据中,我们看到了一些监管的重点内容。首先,平台过度收集和使用个人数据,如:乘客、司机,由此可见自然人的隐私权是否得到尊重和保护,是国家监管的一个重点;其次,在违规储存的个人信息中,还包括有千万级别的司机群体个人信息,根据我们传统的理解是数据安全问题,但这里被上升到了一个新高度;以及,在企业收集、使用用户数据中,并没有明确规定可以或者不可以收集、使用,这中间缺乏一种“透明度”的概念。

  Morketing 曾巧:《网络安全法》《数据安全法》《个人信息保护法》相继推出,它们分别解决哪些方面的问题?尤为值得企业注意的点有哪些?

  某跨国消费品公司北亚区数据隐私官 徐震天:首先这三部法律都有一个共同的“上位法”,就是《国家安全法》,现在大家都有一个非常明显的感知,不管是网络安全还是个人信息保护还是数据安全,已经上升到国家安全的高度。

  从时间上来看,这三部法律是递进的关系,先是《网络安全法》在2017年6月1日正式实施,这是国内第一部关于网络安全、数据安全、个人隐私保护的法律。

  其中有几个重要的概念。第一,关于网络运营者的定义,绝大部分企业都被定义成网络运营者,包括政府组织和民间组织,都是要遵守国家的网络安全法。

  第二,在《网络安全法》中,有一个概念叫关键信息基础设施,国家层面把一些重点行业,比如金融、能源、科技、电力等行业的网络运营者使用的IT系统定义成为国家层面的基础设施,这意味着如果基础设施遭到破坏,那么会影响国家安全和社会稳定。

  第三,在《网络安全法》中提到的“分级保护”制度,其实“分级保护”的功能在21世纪的前十年就已经被提出来了,但是我们是针对一些国企或者金融等重点行业进行保护,如今网络安全法已经被上升到国家安全的高度,所以作为网络运营者,我们是有义务去遵守网络安全法。

  除此之外,我个人认为《数据安全法》中的内容写得非常具体,它给我们企业内部在搭建一套数据管理机制的时候提供一整套行动指南、行为准则,包括数据分类、建立怎样的组织、采取什么措施,在这部法律中都有详细的说明。

  2021年11月1日,《个人信息保护法》正式施行,我认为这是时代的必然产物。我们先是有一个非常大的网络空间概念,这是《网络安全法》,后来再聚焦到数据上,数据中有非个人信息和个人信息,中国是一个拥有14亿人口的超级大国,企业在日常的运营中会涉及到海量的个人信息,除了安全性以外,人的隐私权作为重要的人格权,也应该要受到法律保护。

  还有,通过这一系列法律的实行,包括《网络安全法》和《数据安全法》、《个人信息保护法》中均有提到的“数据跨境传输”的问题,也可以非常明显地感知到监管层面的意图。

  StartDT合伙人、战略咨询专家 何夕:大家不能仅仅只关注到《个人信息保护法》,从《网络安全法》到《数据安全法》再到《个人信息保护法》,这是一个层层递进式的关系。《网络安全法》是从法律运营上要求运营者要合法合规的收集和使用个人信息;《数据安全法》则是需要企业从自身角度规范数据处理活动,在开发使用数据的同时要保障数据安全;《个人信息保护法》相当于把企业数据处理活动范围进一步缩小了,企业需要建立一个个人信息的保护机制,确保个人的尊严、权利得到安全保障,这些都是企业需要关注的重点。

  另外,企业需要注意这些法律法规的背后,都有具体的落地动作,进行一系列的规范,比如有同意的告知机制,像工业和信息化部的“524”行动(信息通信服务感知提升行动),里面对同意的告知机制有非常详细的说明,另外如对数据进行安全评估办法、推荐算法机制等等,这些都是需要企业去综合衡量考虑的。

  Morketing 曾巧:根据永安在线数据泄露监测平台统计显示,从2020年1月1日至今,共发生数据泄露事件21620起,涉及的行业包括金融、互联网、电商、教育等行业。以您多年的从业观察,中国企业对待数据安全、合规的态度是什么样的?数据合规的建设水平目前到了怎样的阶段?

  某跨国消费品公司北亚区数据隐私官 徐震天:这个问题可以从时间维度和行业维度来看。

  首先在时间维度上,2000年-2010年,对于国内的绝大多数企业来说,在数据合规和隐私保护上的态度、认知是比较懵懂的状态,但是对于一些强监管行业,比如说银行,它们有一系列非常严厉的行业监管要求,包括一些外企会遵循总部的要求,做一些相关建设性的工作。

  2010年-2016年,这段时间与前十年相比有了较大的变化,绝大部分企业开始有了数据安全意识,这是一个社会发展的必然产物。这段时间国内互联网企业蓬勃发展了六七年,在这过程中诞生了非常多的互联网企业、品牌方企业等,它们在业务过程中会收集海量的C端个人信息,站在企业的角度来看,它会思考应该如何保护这些数据,应该如何确保用户体验。

  而2017年到现在,国内的绝大多数企业,特别是面向C端消费者的企业,在消费者数据使用和隐私保护层面开始“紧”起来了,一方面是法律层面的监管,另一方面是社会舆论层面的隐私保护要求,总之,在数据隐私保护方面,企业的意识已经上升到了一个新阶段。

  其次从行业维度来看,对于金融、医疗等强监管的行业,以及国家的一些重点行业、涉及到关键基础设施的行业,它们都是有非常强的监管要求,满足这些监管要求的同时,它们本身已经做了很多事。

  还有一类是本身监管属性没有那么强的品牌企业,它们在业务过程中收集海量数据,目前有这些法律法规的存在,会倒逼这类企业加强自身监管要求,为了合法合规,或者为了品牌生意都是会去遵守的。

  Morketing 曾巧:那么奇点云在服务过许多客户后,您发现企业通常会在哪些环节存在数据安全合规的弱点?

  StartDT合伙人、战略咨询专家 何夕:现在看整个数据安全的概念,其实是分为三个发展阶段。

  第一个阶段是以系统为中心的安全,这时候强调基础信息安全和信息安全合规;第二个阶段是数据分享安全;第三个阶段是以数据为中心的安全,作为企业应该看看自己是处于哪个阶段,每个阶段在数据安全合规上面临的问题都不一样。

  比如企业在第一个阶段,主要是防止数据泄露;第二阶段就需要去建立数据分类规范,形成一个分享流程控制的权限管理;第三个阶段主要是防攻击。

  从大的数据安全角度来看,数据安全合规有三要素,分别是规范、系统和组织。企业需要自查一下有没有做到数据分类分级的规范,还有数据安全的管理制度,包括风险管理预案,以及出了事故之后,有没有补救的基本规范流程。

  有了基本规范之后,才可以进入企业系统中去,比如说设置一些数据使用的OA流程,去进行相关数据权限的管理。除此之外,企业还需要考虑设定数据安全的确权,定期开展企业数据安全培训,对外需要做很多的监管合规的认证,对内需要开展相关的审计。

  Morketing 曾巧:站在从业者的角度来看,您觉得品牌在利用数据、保护数据、消费者隐私等层面,当前的痛点是什么?

  某跨国消费品公司北亚区数据隐私官 徐震天:以我个人的从业经验来看,主要是有两个:

  其一:企业商业模式的快速发展与配套法律和监管要求之间存在“时间差”,比如国内的互联网生态发展非常领先,但法律本身并没有很强的预测性,往往是先有商业模式、后有相关的立法,那实际情况就变成了商业模式先行。一旦相关的法律法规建立或完善了,如果这当中的缓冲期很短(立法从公布到生效的时长),会导致企业方在安全与合规层面的应对就有些被动。

  其实在5年前,作为一个消费品牌,在广告营销环节去获取消费者的Device ID,当时在法律上是没有明确要求这个事是不能做的,后来PIPL(《中华人民共和国个人信息保护法》简称)出台后,我们才明确把这种行为定义成数据提供,无论是媒体方还是品牌方去使用这个数据都是需要消费者同意的。

  当企业的商业模式快速发展时,法律法规没办法跟上企业的发展速度,因此企业要合法合规的做生意,又要保障消费者的体验,还要保证自业绩增长,这是多方品牌面临的一个难题。

  其二:是关于“平衡”的概念,很多时候企业需要在效率、成本、风险这三者中间做好平衡,比如这几年比较流行的“隐私计算”,它就可以解决多种场景之下对个人数据使用的难题,比如数据可以做到“可用不可见”,但是这个技术本身的投入需要巨大的成本,站在企业的角度会是去衡量做这件事的ROI会有多少,企业合规永远是底线,当合规与成本&效率发生冲突的时候,如何找到一个平衡点是困难的。

  Morketing 曾巧:针对徐总提到的痛点和刚才您谈到的安全弱点,奇点云在这些场景有哪些解决方案?

  StartDT合伙人、战略咨询专家 何夕:两点,一个是合规监管的需求,第二个是容忍度评估的事,奇点云一直是有提供数据安全治理的一站式服务,包括产品和数据治理实施在内,在咨询层面,我们也有提供数据安全的治理咨询。

  合规监管的需求更多的是向外的,就是需要符合法律合规,而容忍度更多的是向内的,数据安全的问题不要影响到企业生意,那么企业会在这两者之间寻找平衡,奇点云会根据评估结果,为企业制定安全的规划,包括隐私政策BOB全站、以及企业未来规划实施,这些都是治理咨询服务需要提供的。

  同时,奇点云还提供相应的产品,分别从数据采集、数据存储、数据加工这三个层面。比如像使用一些海外的用户行为分析工具的时候,因为这些平台在国内没有数据中心,则必然要将采集来的数据直接传到国外的数据服务器上,这违反了相应的合规要求。我们会提供GrowingIO-UBA(用户行为分析平台),帮它从数据采集到分析全链路做到合规;在数据存储上,我们有 DataBlack(数据安全引擎),可以实现全场景、全智能、全链路地守护数据资产全生命周期安全;还有专门针对数据加工的产品,实现企业业务用数据合规。

  此外,在企业内部数据,涉及到个人数据、重要的数据、敏感的数据,奇点云可以做一个分类分级,然后制定出安全策略和规则。

  比如,奇点云现在正在服务的一个国际品牌,品牌方要求用户的个人敏感数据在进入中台之前就要完成加密,只有在中台上获得权限的人才可以解密,去分析和使用这样的数据,类似这样的安全设定,奇点云提供这样一套咨询+产品+实施的一站式安全治理服务。

  Morketing 曾巧:通常来说,国际性大品牌在数据隐私保护上有哪些有效措施?以及对于其他零售、快消品品牌方面您有什么建议呢?

  某跨国消费品公司北亚区数据隐私官 徐震天:仅从个人从业经验上谈几点内容。

  第一个,在组织层面,一定要找到相关的组织和人,最好是专业的人做专业的事,这一点在业界已经达成一定共识了,其中《个人信息保护法》中也明确规定要设定个人信息保护人的角色。

  第二个,在文化层面,数据安全合规这件事它永远不是公司某一个人的事,而是全公司、全员的事情,上至公司CEO,下至公司的实习生,都要有数据合规的意识,因为数据是贯穿公司整个业务生态和环境中。

  第三个,在技术层面,在中国这么发达的互联网生态中心,技术可以解决很多商业模式的问题,品牌方不要吝啬在技术方面的投入。

  Morketing 曾巧:如果企业即将开始数据安全合规的治理动作,在兼顾安全、效率和业务增长的前提下,奇点云建议从哪一步开始,如何规划与落地?

  StartDT合伙人、战略咨询专家 何夕:从实践经验来回答这个问题,把它区分成为三个要素,第一类要素叫管理要素,也就是怎么通过内部对法律的理解,实现法律层面的合规;第二个是技术层面的要素,要在技术上实现对数据的保护,还有就是安全合规的问题,需要保证人的遗忘权、拒绝权、携带权;第三个是基础要素,我们要保证数据是被安全存储和计算的,可以安全地迁移、更新、备份。

  当前有很多企业采取小切口的模式去跑,从亟需解决的方面入手,比如说碰到的问题是CDP(客户数据平台)/MA(营销自动化),这些问题都是与我们业绩直接相关的,于是采取“对症下药”的方式就行。还有一种方式是直接从规范入手,在三大要素中最核心的就是分类分级的管理规范,通过分类分级的管理规范不仅可以把企业数据安全合规起来,还可以在未来有很强的拓展性,比如说应用到企业内部的敏感数据、财务上的数据。

  Morketing 曾巧:那么,在整个数据链路的设计中,如何让数据既能得到安全保障,企业使用数据时又能方便调取?

  StartDT合伙人、战略咨询专家 何夕:在数据被调取使用之前,企业需要第一优先解决数据的合规问题,其中最为核心的问题就是按照分类分级的规范去设计实现数据全生命周期的安全,从数据的采集、数据存储、数据加工,在每一条链路上都要符合规范。

  当合规的问题解决了之后,我们再解决易用性的问题,易用性的问题常常出现在合规的流程、组织的设计、安全算法等方面。例如公司的财务数据,如何保证在开发人员看不到原始数据的基础上,还能进行有效的开发。

  解决这个问题的通常做法是,先是把数据进行第一时间加密,加密之后完成计算结果,只要在业务端拿到授权的人才能去解密,这样的操作在使用过程中能有效的避免数据安全性问题,先要考虑可用性的问题,然后不断在业务实践的过程中不断迭代易用性的问题。

  Morketing 曾巧:再问一下徐总,站在甲方的角度,企业在数据安全合规层面,您希望选择怎样的服务商?

  某跨国消费品公司北亚区数据隐私官 徐震天:从甲方的角度来看,对于发展不同阶段的企业的服务商诉求是不一样的,有成熟度不是特别高的企业,还有就是成熟度较高的企业。

  那么,对于发展成熟度不是特别高的企业,在企业数据安全合规层面往往是需要一个服务商来提升数据安全合规的意识,可以帮助企业来建立一整套框架,包括组织机制、规范流程、工具使用等等,这类企业需要的服务上可以是咨询机构,它们能提供这样的服务。

  对于发展到一定阶段的企业,它们在组织内部流程、工具使用、人员意识上都达到不错的水平,它们往往需要解决非常细、非常具体的问题,比如说广告主如何合法的与媒体方共享信息?面对这类问题,它们则需要一个技术服务商来解决。还有一些大型机构,在数据上本身的能力已经很强了,它们则需要一个独立的第三方机构能出具一些审计报告,可以展示给消费者或者监管方。

  Morketing 曾巧:对于好的第三方供应商,有没有一些“共性”的提炼?

  某跨国消费品公司北亚区数据隐私官 徐震天:我认为第三方的供应商一定要懂得甲方的业务,这是至关重要的一点,还有就是很多甲方并不知道自己的痛点在哪里,作为供应商能不能清晰地将这些痛点展示出来,协助甲方一起找到背后的问题根源所在,一起能够解决问题,最后,作为供应商既要有高大上的方法论也要有可以落地解决实际问题的能力。

  Morketing 曾巧:最后,数据合规、隐私保护对整个品牌零售/消费品行业的可持续发展有何意义?

  StartDT合伙人、战略咨询专家 何夕:可持续发展是从现在刚刚开始,之前在解决问题的过程中,不管是营销也好,或者运营增长也好,都存在灰度空间,有时候我们在边缘不断试探,也存在很多跟个人隐私保护不相符的地方。

  在《个人信息保护法》中,它要求企业要关注自然人的数据尊严和权力,企业不仅仅只是关注业绩增长,还要关注对于自然人的保护,现在这一点已经被纳入企业社会责任的范畴中了。

  最后,数据合规、隐私保护给企业未来发展,还是带来了比较多的挑战,这要求企业在营销、技术、产品等一系列综合性要进行迭代,未来我希望和更多的品牌企业一起面对这个挑战,一起创造出更好的应对办法。

  某跨国消费品公司北亚区数据隐私官 徐震天:企业不仅仅要创造利润,还要有积极承担社会责任的义务,我相信任何的品牌方在世界任何范围内做生意,都应该有这样的一个责任和义务。

  从企业可持续发展的角度来说,企业永远不止是仅仅卖产品或者服务,而是它要传递一种价值,那么数据合规、隐私合规,可以让消费者感知到这个企业的价值观。

  站在消费者的角度来说,在这家企业或者品牌中购物是安全的、放心的,我认为这就是一种企业可持续发展的状态,未来还有很长的路要走,希望业界同仁朋友一起努力,在创造商业价值的同时,也不忘传递社会责任。

Copyright © 2018-2024 BOB全站.(APP)官方网站 版权所有  xml地图  网站地图  备案号:苏ICP备17067289号-1