本文由CIO发展中心根据《解读数字化时代的企业合规与数据保护——走进金杜律师事务所活动》中的高峰对话环节整理
在《解读数字化时代的企业合规与数据保护——走进金杜律师事务所活动》中,由Boris担任嘉宾主持,与特斯联信息安全官李学庆、万达集团信息科技中心基础设施部副总经理王雷、金杜律师事务所网络安全与数据合规合伙人吴涵、金杜律师事务所网络安全与数据合规合伙人蒋科四位嘉宾就数字化转型背景下的各项安全合规政策展开了深度讨论。企业的安全合规与数据保护如今已经成为影响企业发展的关键因素。因此,如何保证系统合规、加强数据安全保护是企业数字化转型过程中不可忽视的一环。以下文字内容为对话环节各嘉宾主要观点。
主持人:Boris(左一)
分享嘉宾:(左二至右一)金杜律师事务所网络安全与数据合规合伙人蒋科
特斯联信息安全官李学庆
万达集团信息科技中心基础设施部副总经理王雷
金杜律师事务所网络安全与数据合规合伙人吴涵
Boris:国家政策深刻影响着每一家企业的发展,随着我国关于安全合规政策的正式出台,广大企业即将面临新的挑战。安全合规政策的出台为企业带来了正面和负面的双重影响。站在企业相关部门负责人的视角下,他们将重新审视安全合规政策与数字化转型的关系。
特斯联信息安全官李学庆指出:目前整个行业都处于数字化转型的阶段,国家新基建政策的提出,5G、人工智能、大数据等前沿技术成为了未来基建的有力支撑。当然这些技术都是基于互联网来实现的,未来的时代是万物互联的时代,从此造就了新时代的智慧城市,所以CIO和CISO的观念也要随之转变。国家安全合规的政策出台,从正面来看,在一定程度上为企业数字化转型中的安全、稳定、合规提供了重要的参照,帮助企业打造“安全围栏”,确保业务的安全并且不影响业务的发展。从反面来看,很多企业的IT负责人在推进数字化转型过程中对新技术的理解不到位,导致出现诸多安全风险。因此对于转型过程中安全的考量至关重要,而且一定要循序渐进,不能急于求成。
“目前我国出台的相关法律法规,更像是高速公路上的指示牌,它起到了指引的作用。而且对于企业长远的发展提供了法律的保护。但是从另一个方面来看,往往企业中的业务是希望能够快速敏捷地响应市场要求的,由于涉及到政策以及合规的限制,以数据驱动的业务就会降低响应的速度。”万达集团信息科技中心基础设施部副总经理王雷谈到,“就万达来说,国家出台相关政策以后,担任安全管理和数据治理的同事便明确了改进的方向,同时自己正在推进的工作也得到了国家法规的背书。” Boris:在数字化转型中数据处于非常重要的位置,随着企业规模的不断扩张、业务范围的国际化,很多企业会涉及到数据的跨境传输,这对于数据安全产生了重大的影响,我国为此也出台了相关的法律法规,保证数据的合规传输,数据安全成为企业数字化转型中不可忽视的一个重要组成部分。
金杜律师事务所网络安全与数据合规合伙人蒋科:数据跨境是一种不可避免的情况,企业首先要明确自身的业务是否具有数据跨境传输的必要性,是否还有别的方法能够实现同样的目的,因为数据跨境往往会带来合规和IT的风险。例如企业在进行个人信息传输的时候,经过梳理,可以去除一些敏感字段;再或者在境内完成数据的相关计算和整理,只传输得到结果,而不是传输原始数据;境内外的部署是否可以做一些切割和区分;这些看似简单的方法在一定程度上降低的数据跨境合规的风险,而且在涉及到法律法规要求具体操作的前期就避免了相关的问题。
金杜律师事务所网络安全与数据合规合伙人吴涵:法律具有滞后性,因此法律扮演着“减速带”的角色。而且法律本身又具有模糊的特性,所以企业要掌握法律的底线,找到合规的平衡点。对于企业中的数据来说,核心系统数据对外传输与日常办公数据对外传输的风险一定是不同的,核心数据传输的风险一定大于日常的办公数据;实时传输与定期传输、脱敏传输与不脱敏传输的风险也是不同的,因此企业在进行数据传输的过程中要充分考量自身所处行业以及传输数据的具体情况,以保证数据的合规传输。企业在IT建设的过程中也要考虑到法律的刚性与弹性,明确法律本身立法的原意对于公共安全、国家利益本身有无受损,同时也要对国际大势具有一个前瞻性的判断。
Boris:伴随着《个信法(草案)》的发布,足以看出国家对于个人信息的保护力度,当然企业也应该适时采取相应的应对措施。《个信法(草案)》的发布,给企业带来了深远的影响。
特斯联信息安全官李学庆:在《个信法(草案)》发布之前,我们公司就已经对内部的数据进行了梳理,同时对数据进行了相关的分类分级操作,在个人信息和用户处理上,企业内部非常重视。数字化的开展中,往往会涉及到数据的传递与共享,但是要遵循数据的属地治理和使用原则。所以CIO在未来的工作中,要注意两种数据的把控,一种是与隐私相关的,另外一种是公司的核心数据,在后续的工作中一定要严格管理,不能放宽权限。数据安全没有灰色地带,只有0和1的区别,一旦出现问题就前功尽弃。
万达集团信息科技中心基础设施部副总经理王雷:建议企业一定要明确法律法规层面对于个人信息,个人敏感信息的定义。同时要搞清楚什么是明示同意,什么是授权同意,只有搞清楚相关的法律定义,才能在法律允许的范围内进行相关的活动。一些线下商业业务场景,其实是有可能接触到敏感的个人信息,或者是信息采集的。例如精准客流或者是精准营销,不论是明示还是授权都会多少涉及到个人信息的采集。新零售业的某些自动贩卖机还会涉及到人脸的识别与支付等等。所以企业在推进相关工作的时候,一定要清楚自身的情况,注重进行信息的分类与保护。
Boris:当今时代是一个多变且难以预测的时代,但能够预见的是未来我国对于数据保护的要求将会越来越严格,在这样的背景下,企业应当如何“自救”,怎样在合规的要求下实现更好地发展,是每一个企业管理者需要思考的问题。
“目前来看法律法规对于个人信息的保护呈现出越来越严格的趋势,即便企业的业务是独立的,也难免会涉及到信息的收集,因此在企业的信息安全建设、保证合规的过程中,需要法务+安全+技术+具体场景,这是一个多方配合的过程,IT部门需要进一步去了解相关的法律法规,而法务也要对企业的系统进行了解,相互配合才能收获更好的结果。”金杜律师事务所网络安全与数据合规合伙人蒋科说。
特斯联信息安全官李学庆提出了4个关键词:数字化转型、新基建、网络安全、网络安全周。从以上四个关键词中不难看出安全于企业发展中的地位。未来企业的业务和工业互联网安全管理将是重中之重。以往更多的是传统行业去拥抱互联网,随着时间的推移,互联网与传统行业的结合中,互联网的能力会赋能传统行业,而传统行业也会逐步学会使用互联网。所以CIO要基于这些变化,在新时代中打造安全观念,推进企业的数据安全建设,需要法务部门、IT部门、安全部门站在同一起跑线上,共同推进。这不仅能够提升效率,而且能够综合解决风险。
万达集团信息科技中心基础设施部副总经理王雷,讲到从《网络安全法》及等保的发展路径来看,推测《个人信息保护法》首先也会是技术条款先行,制定相应的定级规范、测评规范,之后会通过立法明确相关的要求和执法依据。一旦国家出台了正式条文,企业与监管执法部门的关系将会有更强的关联性,以往企业不需要打交道的部门可能也将会进一步密切交流。当前涉及到等保的备案,要求企业的法人代表签署授权函,这在一定程度上也提升了企业的重视程度,整个企业内外的环境也将会随之产生一定的变化。
金杜律师事务所网络安全与数据合规合伙人吴涵说:关于个人信息的保护的加强,希望这一点不会给国家的发展带来影响,目前中国正处于上升阶段,而且是一个由原先零散建立国际形象的方式转变成尝试体系化输出管理规则和价值观的阶段,在这种情况下,个人信息的保护一定是与普适价值、CPI相一致的。企业一定要明确法律的底线,洞察国际的形势,这样才能更好地把握安全合规。
处于数字经济时代,数据作为企业中非常重要的资产,对于数据以及信息的保护值得企业去重视,随着国家陆续出台相关的法律法规,企业面临的合规挑战日益严峻,但是大势不可逆,通过技术、策略、管理等手段在法律法规要求内保证业务的快速响应、数据的合规传输,将更加有利于企业的持续发展。