文 /杨晨,Veritas大中华区总裁
中国版“GDPR”正呼之欲出。
在今年五月下旬结束的“两会”上,全国人大常委会工作报告在下一步主要工作安排中提出,将围绕国家安全和社会治理,制定生物安全法、个人信息保护法、数据安全法等相关法规。这是自去年网信办发布《数据安全管理办法》征求意见稿之后,我国在数据安全法规领域的又一项重磅动向。
法律专家指出,目前计划出台的两部法律各有侧重。《个人信息保护法》更多的是从保护公民隐私的角度来看待数据安全问题,该法规有望最终确定“个人信息”这一概念的内核及外延,理顺各个信息主体之间的关系,并针对个人信息的收集、存储、使用、共享等多个方面做出规定[1]。而《数据安全管理办法》则有望从国家安全、公共安全的角度出发,对先前法规中,一些尚不明确的部分进行限定,比如在此前的征求意见稿中,就首次划定“爬虫”红线、确定网络运营者提供隐性政策,并将数据安全责任人法定化[2]。
随着数字经济在全球范围内的蓬勃发展,许多国家及地区近两年来均陆续出台了数据保护及安全领域的相关规则条例,诸如欧盟通用数据保护条例(GDPR)、加州消费者隐私法(CCPA)、新加坡个人信息保密条款(PDPA)和日本个人信息保护法(PIPA)等,不一而足。其中,引起最多讨论的要数今年1月1日起生效的CCPA和刚刚度过两周年纪念日的GDPR,从这两部法律的具体条文和实施现状入手,或可窥见未来企业在我国数据合规方面的一般趋势。
就今年生效的CCPA来看,作为扎根于消费者立场的法规,CCPA的具体贡献在于规范了数据的商业化利用,并对“个人信息”进行了较为宽泛的定义,将家庭、身份关联的信息和设备信息均纳入“个人信息”的范畴[3],这无疑提高了美国隐私保护的标准。
对企业而言,作为地区性法规,CCPA却并不“止于”加州。举一个电商相关的例子,即使电商网站不设立在加州,电商也需遵循CCPA的规定,因为该法案可以用于在其网站上购物的加州居民。这样一来,CCPA所影响的范畴大大拓宽,跨州、跨国企业均需将其纳入合规考量。
另一方面,就刚在5月度过两周年纪念日的GDPR来看,企业面临的情况或许更为棘手。数据显示,仅2019年,欧盟对违反GDPR的企业及机构就开出了逾4.28亿欧元的罚单[4]。公开报道显示,在GDPR生效的第一年,与其相关的投诉就达14万次之多,截止今年3月,当局针对GDPR违规行为则进行了231次罚款及制裁[5]。罚单以外,不少企业也在两年间真实地体会到理想与现实的差距。在GDPR正式生效之前,78%的公司自信地表示他们已做好合规准备,但凯捷咨询的调研结果却显示,在法规实施后,仅28%的公司成功遵守GDPR[6]。
在Veritas看来,无论是CCPA还是GDPR,企业失守“数据合规”,关键原因可以归结于以下五点:
存在合规分歧——企业或组织中的各部门对合规存在分歧,往往是合规失效的前兆。成功的数据合规仰赖法务部门,IT部门、管理层及数据安全责任人的通力协作。关键利益相关者需对公司或组织的合规情况达成共识,方能正确评估潜在风险,采取相应措施。缺乏领导层支持——在业务执行中,毋庸置疑,如果领导层对一个项目不予重视,那项目相应地也很难获得资金及人力支持。推及合规项目,道理亦然。合规项目的负责人应向企业领导层充分解释数据泄露的风险所在,并强调其可能产生的财务罚款及声誉成本,对客户数据隐私不以为意的企业,最终都将尝到失去客户信任的苦果。 项目范围蔓延——任何项目都忌讳不抓重点及无止境的扩大任务边界。成功的项目仰赖于项目经理妥善分配任务,并基于此划定可实现的项目范围,确定目标及具体行动方针。企业必须明确的针对具体合规项目中的挑战,对目前的数据存储情况有所认知,方能取回数据控制权的第一步。 失于“全局”视角——对于那些只想采取轻微措施却心存侥幸试图实现合规的企业,败局往往是注定的。对合规条例进行完整解读,是企业成功实现数据合规的先决条件。此外,法条仍会不时的调整,企业应对每次更新保持关注,及时修补自身策略,从而确保能跟上合规节奏。局限于“眼前”——合规是企业应尽的责任,但企业或许可以换一个视角,将其看作潜在“数据机遇”。那些对“数据洞察”予以投资的企业,有望在合规之外,改善其数据管理现状并降低数据存储成本,增强投资回报率。
实现数据合规并非一夕之功,在中国起草数据安全相关法律的当口,Veritas建议,企业不妨以此为切口,重新审视自身的数据管理策略,并将未来重点放在提升“数据洞察”力上。
企业若投资“数据洞察”力,将有助锚定数据存储位置、洞察访问权限归属及数据留存期限。在此基础上进一步循迹敏感数据,并根据实际情况制定相应的删除或留存策略,企业能落实更好的数据风险管理。
在助力合规之外,“数据洞察”亦能帮助企业优化数据管理策略,减少IT支出。进入数字新时期后,许多企业从原有的物理硬件存储,逐步转向“云”或者“多云”。然而,在数据量暴增的当下,基于云服务按使用量的计费方式,数据越冗杂,往往意味着企业必须承担更高的IT支出及服务费用。数据洞察在发现敏感信息之外,亦能帮助企业洞察无用信息,并放心删除数据,最终降低IT成本。
伴随着今年“新基建”概念在我国的正式提出,越来越多的企业与组织有望加速其数字化转型和“云上征途”。但在享受数字红利之外,企业也应将规范自身数据的使用,真正将消费者及个体的数据隐私权利纳入考量,践行应尽义务的同时,为即将来临的全新合规挑战做好准备。
[1] 财经杂志,个人信息保护法为什么值得期待?
[2] 经济观察网,首次划定“爬虫”法律红线:详解《数据安全管理办法》征求意见稿还有哪些变化
[3] 腾讯网络安全与犯罪研究基地,GDPR VS 加州隐私法:欧美这两部个人数据保护法规有什么差异?
[4] CoreView,GDPR罚单追踪明细
[5] Help Net Security,回顾GDPR两周年
[6] ZDNet,仅三分之一的企业实现GDPR合规
关于 Veritas
Veritas Technologies 是全球数据保护及数据管理领域的领导者。超过八万家企业级客户, 包括 87% 的全球财富 500 强企业,均依靠Veritas化解 IT 复杂度并简化数据管理流程。Veritas多云数据服务平台可提供自动化的数据保护,无论何处都能协调数据冗灾恢复,确保关键业务数据及应用的7x24实时稳定运行,同时也为企业提供数据洞察,实现数据合规。Veritas在可靠性、扩展性以及灵活按需部署方面拥有很好的声誉,支持超过800种数据源,100 多种操作系统, 1400多种存储设备以及60类云平台。欲了解更多详细信息,请访问 www.veritas.com 或者关注 Veritas 官方微信平台:VERITAS_CHINA(VERITAS中文社区)。
Veritas,Veritas标识、 以及NetBackup 是 Veritas Technologies LLC 或其附属机构在美国和其他国家/地区的商标或注册商标。其他名称可能是其各自所有者的商标。