数据合规应该在业务、法务、技术和管理间寻求“最大公约”
【编者按】数据安全与合规不是做一套书面的计划也不是做一套纸面的规章制度,当然也不是仅仅从法律的框架中寻找答案,它应该是从用户的视角进行合规,充分减少法律与业务之间的沟通误差,以用户的视角帮助企业以直观的感受以及体验寻找一个业务、法务、技术和管理(咨询)的“最大公约”。
企业为什么觉得数据安全与合规难?因为是找的突破点不对!数据合规是技术问题,更是法律问题,两者必须融合才能找到正确的突破点。
华云数创科技集多年的实践经验和成熟的产品技术和服务,协同北京市京师(深圳)律师事务所、北京市德鸿律师事务所等共同打造“法律+技术”的全方位解决方案,提供从法律解读-制度规划-整改建议-咨询规划-工具落地等全链条服务,提供完整的全生命周期的数据资产治理及安全保护解决方案。
引言
数据安全与合规的建议
01
数据核查:企业务必全面了解自身业务,并且对前期的数据状态进行复盘
02
过去很多企业把技术、咨询(管理)和法律三者完全隔离对待的,这在传统的生产要素情况下,是基本可行的。但因为数据这一新的生产要素与过去管理的生产要素无论从形态还是性质上都不相同,数据安全与合规在采用这样的分隔对待就十分有问题了。
华云数创科技和我们的律师伙伴团队在过去经手的许多数据安全与合规项目或者数据安全的监测评估服务的项目中,绝大多数企业的数据核查都是通过传统问卷和访谈方式来收集各部门的信息。这一传统的做法在过去一直很成功也很有效,但在数字经济的当下,面对数据这一生产要素的时候变得捉襟见肘,不那么有效了,甚至有时还成了反向的负反馈了。
很多情况下,传统问卷和访谈方式因为问题不清晰、专业性过强、法律术语过多,同时数据不可见、处理的环节复杂多变、数据无边界等,导致业务部门甚至技术部门无法理解也无法得知数据的真实现状,因此无法给出有价值或者准确的回复。很多企业因为技术、咨询和法律三者的分割,大多只能在具体的数据处理行为都不完全弄清楚的前提下,就制定了很多企业政策,整成一套套的规则、文件来完结项目。不客气的说,这种应付检查的方式是无法应对数据安全与合规要求的,问题早晚一定会出,责任也一定要负的。
当然,我们不否定传统问卷和访谈方式的有效性,采取问卷调查的方式能够将第一轮的合规问题很快筛查出来。在企业有一定的数据安全与合规体系,并且员工和相关部门已经具备基本的数据安全与合规知识的基础上,这种方式才能取得较好的效果。
数据核查的正确姿势应该是这样的四个过程:
首先,通过技术手段自动核查数据的采集、存储、流转、处理、销毁等全生命周期中的行为,把不可见的数据可视化,初步识别数据拥有者、采集者、处理者的法律符合性;
其次,再由法律团队根据企业业务的具体状态和需求,鉴别企业是否存在违规违法的风险点和相关法律文件的制定,如免责条款等,帮助企业从法律的角度进行整改、教育、培训和落实;
再次,通过安全咨询把数据安全与合规落实到企业的整个生产经营流程中,通过组织、制度、培训等把工作落实;
最后,再把法律、咨询的成果通过技术工具的手段固化和落实下来,通过技术的手段来监测和保障数据安全与合规的实现和落地。
这个过程是需要不断的循环进行的,因为环境在变、业务在变、流程在变、业务扩展的领域和国家(地区)在变,更有必要的是法律也一直在细化。
当然,对于很多的中小企业而言,这四个过程可以更为简化一些,这也是华云数创科技集多年的实践经验和成熟的产品技术和服务,协同北京市京师(深圳)律师事务所、北京市德鸿律师事务所等共同打造“法律+技术”的全方位解决方案的出发点和初衷。提供一站式的数据安全与合规解决方案能大大方便我们的企业用户,同时在成本、效率、质量、保障上提供优化的服务。
03
数据安全与合规体系落地应与企业的管理流程与业务流程有机融合
数据安全与合规体系应与企业的管理流程与业务流程有机融合,并能有效开展自测、自评、审计和选取监测指标来衡量所采取措施的有效性,能在新产品、新服务新地区和解决方案上线时合规方便地进行规制。
尤其是在通过技术工具落地的过程中,应当做到对企业现有的管理流程和业务流程无影响,也就是我们称谓的“无摩擦”。数据安全与合规应当是为业务部门提供具体的“正向引导”,避免将过于“原则化〞的规范式文本直接提供给业务部门和员工,也不能因为数据安全与合规的要求采取过多、刚性的拦截、限制的手段,比如低水平的“黑白名单”的方式,粗暴还不有效,影响业务的流畅性、连续性,造成低效率不说,还特别容易引起部门和员工的不满,以至于可能造成失败。
我们在实践中碰到很多企业所谓的合规制度简单粗暴到毫无实际用处。如,在内部的“员工个人信息保护”指引中直接将《个人信息安全规范》的内容复制过来。
数据安全与合规体系的建立应该考虑通过内部审计等机制来检验其实施落地的情况和有效性,以便及时识别与业务的不契合之处和不合理之处。这不仅仅是法律团队的事情,更多的是落地的技术解决方案需要解决的问题,它通过自动的监测数据的整个流转过程,提交法律团队根据法律来鉴别和识别超出法律许可的风险和不合理之处,从而帮助企业规避相关风险。
落地的技术体系需要能及时地识别这些不合理之处。可以根据企业的业务、行业和落地的国家(地区),通过系统内置的各地各行业法律规范、安全策略、防范武器等知识库来方便地设置和选取相应的指标进行衡量。
尤其是业务部门常常会提出法律方案以外的解决方案,这点对法律团队而言是十分难以决断的,这更需要落地技术体系的监测和提供可视化的数据图景供法律团队充分论证、甄别和落实。
今天的商业,在技术领域一日千里的发展中,法律的滞后性问题也越来越凸显,在数据安全与合规领域更甚。如果企业的数据安全与合规策略过于僵化,或习惯性从相对滞后的法律规则中推动出结论,对于处于法律空白领域的新型技术绝对不是一个好的信号。
