数据安全相关立法日益健全,监管检查逐步落地,「数据安全合规」已成为当下企业经营绕不开的话题。
然而,有了安全意识,实践依旧困难重重:
· 企业内部最致命的安全合规弱点究竟在哪?
· 如何同时保障数据资产的安全和易用?
· 效率、成本与风险博弈,企业该投入多少来完成合规改造?
近日,受Morketing《数智未来》直播专栏邀约,某跨国消费品公司北亚区数据隐私官 徐震天和StartDT合伙人、战略咨询专家 何夕,与Morketing创始人兼CEO 曾巧展开了一场深度对话,围绕「数据安全合规」,分享业内人士的独家洞察。
甲方乙方碰面,他们的着眼点有何不同,将激发出怎样的火花?
同为数据安全生态建设者的他们,又会带来哪些前沿见解?
数据安全保卫战已经打响!
8000字长文全回顾,给DT时代每一位关心数据安全合规的你。
观点速览
· 合规永远是底线。
· 企业内要设立相关组织和负责人,专业人做专业事。
· 数据分级分类是关键。
· 数据安全服务商必须懂得甲方的痛点和真实诉求。
· 关注数据安全、保护自然人权利,已被纳入企业社会责任范畴。
嘉宾
曾巧 | Morketing创始人兼CEO
徐震天 | 某跨国消费品公司北亚区数据隐私官
何夕 | StartDT合伙人、战略咨询专家
本文整理自嘉宾对话实录
数据安全立法有何启示?
「监管落地精细化,光有意识并不够」
曾巧:最近看到数据安全合规问题屡屡发生,比如前段时间,某知名出行服务商因数据安全问题,被处80亿罚款,二位如何看待这个问题?
何夕:这个事件我还是比较乐观看待的。
第一,数据已被定义为生产要素,而我们要让数据真正发挥价值,就必须要对数据进行确权。在这个处罚事件背后,其实是《个人信息保护法》、《数据安全法》、《网络安全法》从法律意义上对个人数据进行确权,这将有利于数据行业发展。
第二,我们可以发现对个人数据安全的保护越来越严格,企业需要更多地关注到自然人的数据尊严、数据权利,这也会引导未来数据营销模式发生变化,包括营销技术如何安全合规地使用,是行业需要关注的。
第三,案例中这家出行服务商几乎是违反了《个人信息保护法》中的大部分条款,甚至已涉及到国家安全领域,触发了刑事追责。大家逐条确认,会发现数据安全的管理和规范正在越来越精细,监管落地精细化,这是一个大趋势。
徐震天:这件事,我觉得有两个层面的意义。
第一个层面,对业界尤其是涉及到C端用户数据的企业,是一个警示。
中国从2017年出台了《网络安全法》,后来相继出台《数据安全法》、《个人信息保护法》及一系列法律法规。从处罚金额来看,这次可能是史上最高,受罚对象也是一个具有国际影响力的企业,这对整个企业界都有相当大的震慑力。
第二个层面,从本次事件的处罚依据中,我们能看到监管的一些重点。
例如,平台过度收集和使用个人数据这一条,可见自然人的隐私权是否得到尊重和保护,是国家监管的一个重点;其次,在违规储存的个人信息中,发现有千万级别的司机群体个人信息被明文存储,这从我们传统的理解来看是数据安全问题,但在这次事件中它更上升了一个高度;以及,在企业过往收集、使用用户数据的过程中,但并没有向用户明示,这中间是企业忽视了透明度(transparency)的概念。
曾巧:《网络安全法》《数据安全法》《个人信息保护法》相继推出,它们分别解决哪些方面的问题?尤为值得企业注意的点有哪些?
徐震天:首先这三部法律都有一个共同的「上位法」,就是《国家安全法》。现在大家都有一个非常明显的感知,无论是网络安全、个人信息保护还是数据安全,都需要上升到国家安全的高度来看(事件的本质)。
无论从时间上还是内容上来看,这三部法律都是递进的关系。先是《网络安全法》在2017年6月1日正式实施,这是国内第一部关于网络安全、数据安全、个人隐私保护的法律。
《网络安全法》中有几个重要的概念:
第一,关于网络运营者的定义,绝大部分企业都被定义成网络运营者,包括政府组织和民间组织,都要遵守网络安全法。
第二,有一个概念叫「关键信息基础设施」(CII),国家层面把一些重点行业(比如金融、能源、科技、电力等行业)的网络运营者使用的IT系统定义成为国家层面的基础设施。这意味着如果基础设施遭到破坏,会对国家安全和社会稳定造成影响。
第三,《网络安全法》中提到了「分级保护」制度或者说「等保」。其实「等保」在21世纪前十年就已经被提出来了,但当时主要针对一些国企或者金融等重点行业进行保护。如今网络安全法已经把分级保护上升到国家安全的高度了,作为网络运营者,我们都有义务去遵守。
接下来是《数据安全法》,我认为这一部内容写得非常具体,企业内部在搭建数据管理机制时,《数据安全法》提供了一整套行动指南、行为准则,包括数据分类、组织建设、改造措施等,在这部法律中都有详细的说明。
到2021年11月1日,《个人信息保护法》正式施行,我认为这是时代的必然产物:最开始,我们有一个非常大的网络空间概念,《网络安全法》出台;后来,聚焦到数据上,《数据安全法》发布;数据中有非个人信息和个人信息,而中国是一个拥有14亿人口的超级大国,企业在日常运营中会涉及到海量的个人信息。除了安全性以外,人的隐私权作为重要的人格权,也应该要受到法律保护。
通过这一系列法律的施行,包括三部法律中均有提到的「数据跨境传输」的问题,我们也可以非常明显地感知到监管层面的意图和要求。
何夕:没错,大家不能仅仅只关注到《个人信息保护法》。从《网络安全法》到《数据安全法》再到《个人信息保护法》,这是一个层层递进的关系。
《网络安全法》要求运营者合法合规地收集和使用个人信息;《数据安全法》则需要企业从自身角度规范数据处理活动,在开发使用数据的同时要保障数据安全;《个人信息保护法》把企业数据处理活动范围进一步缩小了,企业需要建立个人信息的保护机制,确保个人的尊严、权利得到安全保障,这些都是企业需要关注的重点。
另外,这些法律法规的背后,都有具体的落地动作。比如工业和信息化部的「524」行动(信息通信服务感知提升行动),对同意的告知机制有非常详细的说明,另外如《数据出境安全评估办法》、推荐算法的管理规定等等,这些都是需要企业在提高意识的同时多加注意的。
(搜索奇点云视频号,收看直播回放)
曾巧:一个数据泄露监测平台曾有统计显示,2020年1月1日至今共发生数据泄露事件21620起,涉及的行业包括金融、互联网、电商、教育等行业。以徐总多年的从业观察,中国企业对待数据安全、合规的态度是什么样的?数据合规的建设水平目前到了怎样的阶段?
徐震天:这个问题可以从时间维度和行业维度来看。
首先在时间维度上,2000年-2010年,对于国内绝大多数企业来说,在数据合规和隐私保护上的态度、认知是比较懵懂的状态。但对于一些强监管行业,比如说银行,这个行业有非常严厉的一系列监管要求,又譬如说外企,它们会按照总部的要求,开始做一些数据安全相关建设性的工作。
2011年-2016年,这段时间与前十年相比有了较大的变化,大部分企业开始有了数据安全意识,这是社会发展的必然产物。这个阶段,国内移动互联网生态蓬勃发展,诞生了很多互联网企业和品牌企业,在发展的过程中也会收集、处理海量的用户个人信息。站在企业的角度来看,要开始摸索思考如何保护这些数据,保障用户的权利与体验。
而2017年到现在,国内绝大多数企业,特别是面向C端消费者的企业,在消费者数据使用和隐私保护层面开始有了更多落地层面的动作。这一方面是来自法律层面的监管约束,另一方面是社会舆论层面的要求。总之,在数据隐私保护方面,现在企业的意识已经上升到了一个新阶段。
其次从行业维度来看,一类是行业本身有强监管要求的,譬如金融、医疗、涉及到关键基础设施的行业等等,它们在满足国家法律要求的同时,其所在行业本身也做了很多事。
另一类是本身监管属性没有那么强的品牌企业,它们在业务过程中收集到海量数据,而法律法规倒逼了这类企业加强自身监管要求。为了合法合规地发展生意,品牌企业都是会去主动遵守、「修炼内功」的。
还有一类企业,其实它们并不怎么涉及到用户的数据,但伴随着数据安全意识的提升、法律法规的健全完善,他们也在提升对于自身数据资产的保护能力。
数据安全弱点如何克服?
「建规范,进系统,强组织」
曾巧:StartDT(奇点云&GrowingIO)在服务过许多客户后,您发现企业通常会在哪些环节存在数据安全合规的弱点?
何夕:在不同阶段,其实企业会有不同的「弱点」。我们看数据安全发展阶段,大体上可以分为三段:
第一个阶段,以系统为中心的安全,这时候强调基础设施安全和信息安全合规;
第二个阶段,数据分享安全;
第三个阶段,以数据为中心的安全。
企业需要看看自己处于哪个阶段,每个阶段在数据安全合规上面临的问题和弱点都不一样。
比如企业在第一个阶段,主要是防止数据泄露;第二阶段需要去建立数据分级分类规范,形成权限控制、数据分享流程等管理体系;第三个阶段主要会遇到防攻击、数据产品合规、数据确权等问题。
从大的数据安全角度来看,企业数据安全合规有三要素,分别是规范、系统和组织。大部分弱点都出现在这三要素上,企业可以做个自查。
在规范层面,譬如有没有做到数据分类分级的规范,有没有建立数据安全的管理制度,有没有风险管理预案,以及出了事故之后,有没有补救的基本规范流程。
有了这些基本的规范之后,才能把数据安全合规的要求固化进企业系统中去,比如说设置数据使用的OA流程,进行相关数据权限的管理。
除此之外,企业还需要按照法律法规的要求,对组织进行调整,例如设立安全责任人,定期开展企业数据安全培训,对外完成监管合规的认证,对内开展相关审计等等。
曾巧:站在从业者的角度来看,徐总您觉得品牌在利用数据、保护数据、消费者隐私等层面,当前的痛点是什么?
徐震天:以我个人的从业经验来看,主要是有两个:
其一,企业商业模式快速发展,与法律监管要求之间存在「时间差」。
比如国内互联网生态发展非常领先,例如营销领域有许多领先的「玩法」。但法律(存在的)目标就并不是为了预测商业模式,因此本身不具备很强的预测性。往往我们会先有商业模式,后有相关的立法。从实际情况来看,就是商业模式先行,相关法律法规会在后续建立、完善,定义商业模式中的风险判断及合规要求。如果这当中的缓冲期(立法从公布到生效的时间)很短,企业方在安全合规层面的应对就难免有些被动。
举个例子,其实在5年前,一个消费品牌在广告营销环节获取消费者的Device ID,这在当时的法律上是没有明确禁止的,后来PIPL(《中华人民共和国个人信息保护法》简称)出台后,我们才把这种行为定义为数据提供,明确了任何一方去申请和使用这个数据都需要消费者同意,再在实际的商业场景中去改进。
企业的商业模式在快速发展,而法律法规通常不能「预知」一些新发展、新变化,因此企业既要合法合规地做生意,保障用户的体验,还要维持自身业绩的增长。这是很多品牌企业都会面临的一个难题。
其二,找到「平衡」,很多时候企业需要在效率、成本、风险这三者中间做好平衡。
比如这几年比较流行的隐私计算,它就可以解决多种场景下个人数据使用的难题,数据可以做到「可用不可见」。但这个技术本身投入需要比较大的成本,站在企业的角度会去衡量做这件事的ROI有多少。
合规永远是底线。当安全合规与成本、效率发生冲突的时候,如何找到一个平衡点对企业来说是个难点。
曾巧:针对徐总提到的痛点和刚才您谈到的三个环节,StartDT在这些场景有哪些解决方案?
何夕:从痛点出发,可以分为两类,一类满足合规监管的需求,另一类是容忍度评估,在生意和安全的平衡中做评估。
奇点云(StartDT)一直有提供数据安全治理的一站式服务,从数据安全治理的咨询,到产品,以及具体的实施,来帮助企业解决数据安全合规过程中的各种「疑难杂症」。
合规监管的需求,更多向外的,也就是需要符合法律合规;而容忍度更多是向内的,数据安全的问题不要影响到企业生意。那么企业必然要这两者之间寻找平衡。奇点云会根据评估结果,为企业制定实际可落地的数据安全规划,包括隐私政策更新、数据安全Milestone的设立、未来数据安全体系的实施规划等等,这些都是安全咨询服务需要提供的。
同时,奇点云也提供相应的数据产品,从数据采集、数据存储、数据加工等层面保障企业数据的安全合规。
譬如在分析环节,企业在使用一些海外的用户行为分析工具时,因为这些平台在国内没有数据中心,则必然要将采集来的数据直接传到国外的服务器上,这违反了数据出境安全的规定。我们提供GrowingIO-UBA(用户行为分析平台),帮它从数据采集到分析全链路做到合规;
在数据存储上,我们发布了数据安全引擎DataBlack,可以实现全链路、全智能、全场景地守护数据资产全生命周期安全,包括实现数据自动化的加解密等等,保障数据资产在使用中没有安全合规风险。
此外,对于有了规划和产品但还是不太清楚应该如何落地的企业客户,我们也提供实施的服务。举个例子,在企业内部数据,涉及到个人数据、重要数据、敏感数据,我们会制定出安全策略和规则,对数据进行分级分类。
以我们现在正在服务的一个集团品牌为例,敏感数据在进入数据中台之前就要完成加密,只有在中台上获得授权的人才可以解密,并进而分析和使用数据。在实际落地过程中,我们不能仅考虑规则怎么设定,还需要在产品上去做实现,包括提供一些安全相关的智能算法,并且保障整个业务流程不受影响。这就是奇点云(StartDT)在提供的「咨询+产品+实施」一站式安全治理服务。
数据安全改造从何开始?
「分级分类是关键」
曾巧:通常来说,国际性大品牌在数据隐私保护上有哪些有效措施?以及对于其他零售、快消品品牌方面您有什么建议呢?
徐震天:仅从个人从业经验上谈几点内容:
第一个,在组织层面,一定要设立相关的组织和人,最好是专业的人做专业的事,这一点在业界已经达成共识了。《个人信息保护法》也明确规定了要设定个人信息保护人的角色。
第二个,在文化层面,数据安全合规永远不是公司某一个人(例如法务/IT)的事,而是全公司、全员的事情,包括CEO和实习生,都要有数据合规的意识。因为数据是贯穿公司整个业务生态和环境中的。那对于DPO(数据隐私官)来说就有一个职责,要在企业内部建立数据安全合规的文化,让全员都具备这样的意识,方能真正达到比较成熟的(安全合规)状态。
第三个,在技术层面,在中国这么发达的互联网生态下,技术可以解决很多商业模式的问题,那换个角度想,技术其实也可以解决很多合规的问题。所以我也趁此机会向大家特别是品牌方的伙伴们呼吁,品牌方不要吝啬在数据安全合规技术方面的投入,技术能帮助我们解决很多现实的问题。
曾巧:如果企业即将开始数据安全合规的治理动作,在兼顾安全、效率和业务增长的前提下,奇点云建议从哪一步开始,如何规划与落地?
何夕:从我们的实践经验来回答这个问题,数据安全治理可以分为三类要素:
第一类要素「管理要素」,也就是基于对法律法规的理解,从公司内部管理层面实现法律层面的合规,这个部分需要律师、咨询顾问来帮助企业落地;
第二类「技术要素」,要在底层实现全链路的数据安全,保护数据免受未经授权的一些访问和操作;在技术和产品之上,还有一个安全策略问题,即我们不仅要在技术原理上实现对数据的保护,还要从策略上对产品进行规范,例如充分保障自然人的被遗忘权、拒绝权、携带权等等。这个环节需要安全专家顾问以及专业的数据产品及技术开发来解决;
第三类「基础要素」,也就是围绕基础设施展开,我们要保证数据是被安全存储和计算的,可以安全地迁移、更新、备份。在这个环节通常由云厂商及数据平台团队来保障。
从切入口来看,当前有很多企业会采取「小切口」的模式去跑,从亟需解决的方面入手,比如说CDP(客户数据平台)/MA(营销自动化)等涉及到私域运营投放、用户数据分析等环节,必须要满足PIPL(《个人信息保护法》)的要求。这些问题都是与业务直接相关的,我们就要尽快「对症下药」。
还有一种方式,在我们实践和服务下来可能会更推荐。直接从顶层规划入手,建立分类分级的管理规范,这也是三大要素里最核心的。分级分类的规范不仅可以让企业满足PIPL的合规要求,在未来还有很强的拓展性,比如说应用到企业内部的敏感数据、财务数据的合规。这种方式相比我们只在某个领域来做合规,会更长远,更利于企业长期可持续的数据安全合规。
曾巧:那么在整个数据链路的设计中,如何让数据既能得到安全保障,企业使用数据时又能方便调取?
何夕:我们还是需要把「合规」和「容忍度」放到台面上,一起来考量。企业第一优先要考虑的一定是数据合规,不合规就没有办法把数据用起来。其中最为核心的问题就是按照分类分级的规范,去设计并实现数据从采集、存储到加工等全链路的合规,最起码能满足国家法律法规的要求。这是第一优先级。
当合规的问题解决了之后,我们再解决易用性的问题。易用性的问题常常出现在流程、组织的设计等方面,包括是否需要引入数据安全的算法,采用怎样的加解密和脱敏的技术。
举个例子,怎样保证在开发人员看不到公司原始的财务数据的基础上,还能进行有效地开发,并且开发的数据时可用的。解决这个问题的通常做法是,数据第一时间进行加密,加密后完成计算,只有拿到授权的人才能去解密。这样的操作能有效避免数据泄密问题。总的来说我们还是需要先要考虑最基础的可用性,然后在业务实践的过程中,不断迭代、提升易用性。
曾巧:徐总站在甲方的角度,企业在数据安全合规层面,您希望选择怎样的服务商?
徐震天:从甲方的角度来看,数据安全处于不同阶段的企业,对服务商诉求是不一样的。
对于数据安全合规成熟度不是特别高的企业,往往先需要一个服务商,来提升数据安全合规的意识,并帮助企业建立一整套框架,包括组织机制、规范流程、工具使用等等。这类服务商可以是有数据安全咨询能力的专业机构,它们能提供这样的服务。在建立大框架后,先从中选择核心的、最有痛点同时也是与业务最相关的领域,把数据安全合规的治理启动起来,再去深耕。
对于发展到一定阶段的企业,它们在组织内部流程、工具使用、人员意识上都已经达到不错的水平,这时候往往需要解决非常细、非常具体的问题,比如说广告主如何合法合规地与媒体方共享数据?面对这类具体问题,它们更需要一个能落地的专业服务商来解决。
还有一些大型的集团企业,其本身的数据能力已经很强了,会更需要一个独立的第三方机构(作为见证人)来出具一些审计报告,能提供给用户或监管方。
曾巧:对于好的第三方供应商,有没有一些「共性」的提炼?
徐震天:我认为第三方的供应商一定要懂得甲方的业务,这是至关重要的一点。也就是说,你不能只懂数据安全、数据隐私,而要真正理解企业的业务。
第二点,希望服务商能帮助企业找到自己的弱点并解决。很多甲方也并不知道自己的痛点在哪里,作为服务商,如果能清晰地将这些痛点展示出来,协助甲方一起找到背后的问题根源所在,一起解决问题,会是更理想的服务商。
最后,希望服务商对企业、对项目会有ownership,既要有「高大上」的方法论,也要有可以落地解决实际问题的能力。
正如跨国消费品牌北亚区数据隐私官徐震天所说,「企业不仅仅要创造利润,还有着积极承担社会责任的义务。」在DT时代,数据安全合规值得每一家企业、每一个经营者重视并落实到行动,也值得每一位公民关注。
未来,StartDT及旗下奇点云、GrowingIO将继续坚守「数据安全」,不仅确保自身产品的自主可控、安全合规,更以先进可靠的数据技术帮助客户实现数据资产全链路安全,让数据在安全合规的「跑道」充分发挥其价值,支撑企业一同应对数智世界的挑战。