企业数据合规面临着哪些现实问题?
随着互联网、数字技术的发展,数据已然成为一种新资产,可用作交易。而数据之所以有价值,就在于它能预测。对于一个国家来说,它能够预测各种各样的政治风险,能够进行国家的治理。对于商业机构来说,基本上可以做到精准的营销。
与此同时,随着数据成为世界的新货币,新的规则将基于业务分析而制定,而关键规则之一便是数据合规性。这里的数据,不是单条的信息数据,而是指如公共数据、商业数据、科学数据、个人数据等在内的大数据。
我国针对数据合规安全的相关法律法规有:网络安全法、个人信息保护法、数据安全法,以及9月开始实施的“数据出境安全评估办法”。这些法律法规的制定、实施都是为保证了数据的合规、安全。因而,从律法角度,简单来说,数据合规就是遵守法律法规,业务规则和道德规范。
在数字经济时代,对于企业来说,数据是其核心竞争力,数据合规是其生存发展的基石。企业需要在数据标准、数据分类、数据存储、数据安全、数据文化等方面做到数据合规。其目的是合法合规地引导数据资产实现价值变现。
但是,数据也面临着风险和危机,稍有不慎便可能成为引发个人信息保护、市场秩序、社会治理和国家安全等问题的导火索。例如,数据违规收集、应用和储存使得企业面临巨额罚款甚至停产停业危机,黑客入侵、数据泄露等外部风险让企业风雨飘摇,企业合规成本高昂、内部泄密严重等让企业应接不暇,漏洞百出。
当前,企业数据合规面临的现实困境及其成因有:
1、数据应用违规,企业合规成本高昂
对于企业来说,数据合规最关键的两点在于:一是要求数据应用合乎法律规定(包括数据的利用、处理、使用等行为合乎法律规定,不得违反国家强制性法律规定),二是数据应用不得侵犯他人的正当合法权益,这同时也是数据合规审查的两条红线。
但企业很大程度上要做到上述两点的成本十分高昂。据Telos 最近开展的一项企业合规成本调查显示:每家企业要做到数据合规,平均需要遵守至少 13 个不同的 IT 安全或隐私法规,并且每年在合规性活动上要花费高达 350 万美元。
尤其是小型企业,高昂的合规成本使之望而却步,似乎只有对数据的无限制使用才是其获取利润的“唯一”选择。例如,一些公司通过爬虫技术获取其他公司数据,在数据应用上出现过度收集、过度使用用户个人数据等违法违规现象。
2、企业内外数据泄露严重
随着技术的快速更迭,数据泄露的方式也多种多样,如病毒与非法入侵、系统漏洞、访问控制和权限管理不善等,这些都使得企业遭受巨大损失。当下许多企业尤其是互联网企业都时刻面临着来自内部和外部的各种风险挑战。
内部风险主要包括系统存在漏洞未及时发现、系统未及时更新、个人私密信息未使用脱敏技术、对企业核心数据未采用加密保护的技术手段等;根据Markel Direct 的一项调查结果显示,51% 的中小企业都曾有过网络安全漏洞,这对中小企业来说,一旦遭遇攻击,企业将面对来自资金链断裂和核心技术泄露的双重威胁。
外部风险主要是黑客出于炫耀或其他目的,利用特定的漏洞来窃取信息数据,或者是来自恶意人士的攻击,包括网络钓鱼诈骗、数据盗窃赎金勒索和鱼叉式网络钓鱼活动等,这些都给企业及个人造成了严重损害。企业防不胜防,一定程度上也说明了企业在数据保护技术上的不足,使得不法分子有了可乘之机。
另外,企业内部员工由于疏忽或恶意导致的数据泄露,也是企业数据泄露的重灾区。数据合规的专业性较强,但很多员工尚无相关的知识储备,无法意识到数据合规的重要性,会有意无意地接触到核心数据或者关键数据并使其泄露或者流失,给企业造成重大损失。这也说明了企业员工的违法违规操作可能给企业数据合规造成潜在的威胁和损害。
3、立法管控愈严,数据处理不当的后果愈重
随着国内外对数据合规的监管不断加强,企业对数据的处理不当导致的泄露,引来监管部门的关注,在调查清楚事件后,等待的是相关执法机构的一系列处罚,其中最引人注目的便是巨额罚款了,如国内的某出行公司。
这些都说明了国内外对数据安全的重视,同时,巨额罚款对某些企业来说是致命的打击,可能导致企业出现资金周转困难、企业信誉下降等后果,从而失去市场中的竞争力。
再如国内近期引起热论的“网安法首修意见征求通知”,其中提到:对于违反《网络安全法》网络运行安全保护义务或者导致危害网络运行安全等后果的,情节特别严重的,由省级以上有关主管部门责令改正,处100万元以上5000万元以下或者上一年度营业额5%以下罚款......这在很大程度上给企业造成了隐形的压力,迫使企业不得不开始注重数据合规。
4、合规意识淡薄,企业潜藏重大风险
数据是一个企业的生命,但是企业员工甚至企业管理者却没有意识到这一点,从而导致数据流失、数据泄露,给企业造成一笔不菲的“支出”,甚至让企业面临“死亡”的危机。
在企业治理上,很多企业管理者由于没有正确认识公司治理风险的概念和种类,难以意识到合规风险的重要性,比如行业将风险分为技术风险、销售风险、产品质量风险、知识产权风险等,但是并未抓住分类的依据和意义,从而将合规风险这一重要类别忽视不管,使企业数据安全隐患大大增加。
企业管理层分不清风险类别,不了解数据合规的重要性;企业员工或其家属在网上随意大放厥词,或是发表与企业相关、行业相关的不当言论,在网络上存下数据、留下痕迹,埋下安全隐患。这些都反映了企业整体合规意识的淡薄,对核心竞争力的保护力度不够。
现下,企业面临着一系列数据合规难题,但企业若不重视起来积极寻找解决之道,则很可能有倾覆之险。同时,企业要从不同方面加强自身数据合规建设,在合法合规的前提下充分利用数据,发挥数据的最大价值,做到以数据合规促进企业更好发展,才是现代企业的生存之道。
本文综合整理自安全内参、澎湃新闻等。