数据库 频道

企业是时候重新审视数据安全与合规了

随着数据价值愈发凸显,数据安全的重要性与日俱增。

日前,滴滴被罚80.26亿元,这再一次引起了大家对数据安全的关注。有业内专家指出,如今的数据安全环境变得更为复杂,传统的数据安全主要是数据备份以及防泄露、防攻击等,现在还要加上基于新的法律法规体系,使用数据、处理数据和管理数据的合规性。

数据安全与合规成为企业必修课

数字经济已经成为驱动世界经济发展的重要增长引擎,但是在数字经济发展过程中,由于企业重视程度不够、监管法规尚不完善,引发了数据安全及隐私保护问题。

仅 2021 年全球范围内就发生了多起影响恶劣的数据安全与隐私泄露事件。比如,4 月,Facebook 的 5.33 亿用户数据被黑客泄露,包含姓名、生日、电子邮件、地址等;5 月,美国成品油管道运营商 Colonial Pipeline 科洛尼尔遭受到勒索软件攻击,影响了美国东海岸 45%能源供应;6 月,7 亿领英用户数据被发现在暗网出售等等。而根据Identify Theft Research Center中心的数据显示,与2021年同期相比,2022年第一季度实际报告的数据泄露事件数量增加了14%,达到404起。

随着数据承载的信息越来越丰富,除了原来的恶意数据泄露和攻击事件,数据采集与流转也带来新的问题,数据隐私的保护迫在眉睫。世界各国纷纷立法加强数据监管以及隐私保护。2018年5月25日,欧盟《通用数据保护条例》(GDPR)正式实施;2018 年 8 月,巴西通过了第一部综合性的数据保护法,《The General Data Protection Law》(GDPL);2018年6月28日,《加利福尼亚州消费者隐私保护法案》(CCPA)经州长签署公布,并于2020年1月1日起正式实施;2020年5月,泰国个人数据保护法正式生效,泰国成为继新加坡、马来西亚之后第 3 个颁布个人数据保护法的东南亚国家……

中国继《网络安全法》后,2021 年出台《数据安全法》和《个人信息保护法》,并引入了处罚机制。《个人信息保护法》规定,情节严重的违法行为,最高可处 5000万元或者上一年度营业额 5%的罚款,负责数据处理的人员还将承担个人法律责任。

根据联合国贸易发展组织统计,截止到目前,全球约 80%的国家已经完成数据安全和隐私保护立法,或已推出相关草案。这为跨国企业以及中国的出海企业带来新的挑战,需要满足合规性,数据安全与合规成为新时代企业的必修课。稍不留神,是要真金白银罚款的。

  • 2018年,伦敦英国航空公司因为违反 GDPR 的隐私规定,被开出 2.3 亿元的天价罚单;

  • 2021年亚马逊违反GDPR被处以57.29亿元罚款;

  • 2022年,谷歌妨碍用户删个人数据被罚千万欧元;

  • 2022年7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款……

日前,销售易发布了《销售易信任白皮书》(以下简称《白皮书》),梳理了当前企业面临的安全隐私合规挑战。《白皮书》指出,本土企业需要从源头关注数据安全,理解相关法律法规,在组织层面建立数据安全部门,引入数据安全人才,参考已有标准,建立及评估数据分类分级标准等,跨国企业的中国分支机构更应关乎在中国的合规问题,数据收集和存储应遵循 “境内存储”原则,如涉及数据跨境传输,在满足国内合规要求前提下,也需要满足接收方所在地的相关要求。值得一提的是,中国企业在出海的过程中,在数据安全和隐私保护方面面临来自海外的合规难题。根据亚马逊云科技的调查显示,近 60%的受访企业认为出海服务,安全合规最重要。

但是不同国家因宗教、文化、地域等多方面原因,在数据安全、隐私保护的立法上有所差异,监管执行上可能存在“本土特色”,地区性法规如GDPR也会存在不同地方执法力度不同的问题。企业可以通过研究各国数据保护法下的执法案例,理解所在国执法和监管的态势。

7月7日,国家互联网信息办公室公布《数据出境安全评估办法》,自2022年9月1日起施行,国家对数据出境越来越严格,涉及数据境外传输的企业机构都需要多加留心注意。

如何解决安全与合规难题?

近年来,数字化运营已经成为企业精细化运营的刚需。企业在数字化运营过程中,往往会通过 CRM、ERP、PM、HRM 等线上系统完成数据的收集和沉淀。其中,CRM 系统更多地用于收集和沉淀企业的业务数据和个人用户数据,其安全性对企业来说至关重要。

上文提到,数据安全与合规成为新时代企业的必修课。实际上,企业在应对安全合规难题时,除了“观察外部”“审视自己”“找差距”“做决定”“实施落地”五步走,还可以通过使用销售易这样具备国际化安全能力的 CRM 厂商,与企业共建安全。

《白皮书》建议,在CRM选型时,企业可以从产品能力、技术安全、安全架构、最佳实践、安全管理、资质认证等方面入手综合评估 CRM 厂商的安全能力。

销售易信息安全保障体系框架

在整体的安全+合规方面,销售易经过多年积累已经构建了自己的安全保障体系(见上图)。据悉,销售易将数据安全融入产品能力,采取相应的技术措施和其他必要措施,保障数据安全,帮助企业更好地履行数据安全、隐私保护义务。企业可以使用销售易产品中数据加密存储、数据脱敏、数据访问日志、数字水印、密码设置等功能,帮助企业实现安全、合规的目的。

而在出海或者涉及到数据跨境传输问题方面,销售易目前已取得 ISO 27701 认证,并且有能力帮助出海欧盟的中国企业实现 GDPR 合规。除此外,销售易还在新加坡等地建立数据中心,能够承载东南亚大部分地区的第三方国家数据中心存储量,满足大部分在东南亚经营的企业的合规需求。

在安全方面,是公有云安全还是本地部署安全是一个老生常谈的话题。不过现在越来越多的企业开始迁往云端,即便是数据库这样对安全要求极高的基础软件,部署在公有云的企业也越来越多。实际上,SaaS模式下的SaaS 厂商通过云安全责任共担模型,与企业双方共建安全,让企业在人力财力有限的情况下更聚焦于企业需要承担的安全责任上。

当然,我们知道,数据安全与隐私合规需要多方参与,国家层面出台相关法律法规,社会机构组织出台相应标准规范,企业设立相关规章制度,个人提高道德自律并遵纪守法,整个过程中需要技术帮助,多方联动在较好的防护、防御机制之下,使我们的数据安全和隐私得到保护。

数据安全与合规将会是数智化时代永恒的命题,且没有一劳永逸的方案。企业与个人,都要活到老,学到老。

0
相关文章