数字化时代，企业如何有效管理数据合规？

  去年7月，一条简讯曾在网络上引起轩然大波。“为防范国家数据安全风险，维护国家安全，保障公共利益，网络安全审查办公室依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》，《网络安全审查办法》，对‘滴滴出行’实施网络安全审查。”

  一时间各种虚假与真实的消息乱飞，滴滴出行事件的发生再次敲响了数据合规的警钟。同样的今年春节前夕，一家旅行安全平台也同样遭遇了APP下架事件，理由为存在违规收集个人信息的行为。

  数据存在边界是很多人都还没有重视的一件事，但关于数据需要在法律、法规允许的范围内处理的趋势，已经在全球范围内涌动起来。最直接的节点是2018年，爆发Facebook（现已更名Meta）“剑桥门”数据泄露事件。

  随着国家《数据安全法》的正式通过，数据合规也逐渐渗透到各行各业当中。事实上，从眼下大多企业的数据安全水平来看，要立刻交出一份完美的合规答卷，确实具备难度。根本原因在于，过去多年企业对数据的各种使用，常伴随着“佛系”管理。这给如今的数据合规埋下了隐患。

企业数据合规依然在路上

  尽管近年来企业数据合规问题已经被反复探讨，但针对企业数据合规并没有统一的官方定义，它的内涵及外延，往往依据不同企业对数据管理的要求而不断变化。目前，基于企业，特别是互联网相关企业数据产生的一系列管理和规范的行为，主要涉及以下方面：

  个人信息保护。企业对用户信息的收集、处理、分析、利用等行为；

  重要数据保护。企业重要经营信息、产品信息、用户信息的安全保护；

  商业秘密保护。涉及企业商业秘密的产生、储存、保护；

  互联网信息内容管理。企业在互联网发布的信息。如网站、APP、社群评论等；

  行业数据监管。企业所在行业监管机构对于公司行业数据的特殊监管。

  ……

  对于大多数企业来说，个人信息、商业机密这些是明显重要且更能够通过合规管理手段实现风险规避的。而重要数据的保护以及信息内容的管理，相较而言更侧重于对企业IT技术、硬件设施以及业务提出相关要求。

  一般来说，企业进行数据合规的基本方法论是，参照法律法规标准，制定相关的数据安全保护措施，采购或自研自身所需的数据安全产品及服务，并持续开展数据安全运营活动。

  本质上，这并不仅是某一方的课题，而是一个牵扯法律法规、企业业务，以及技术产品三方面的宏观议题。

企业如何保障数据合规？

  在传统数据安全范畴之外，数据合规还包括了法律服务、管理咨询、人才体系、意识教育、数据治理等相关的技术手段、产品、服务。所以，数据合规的空间会超越传统数据安全。

  企业想要保障数据合规，需要注意以下几大难点。

1、法律法规的不断变化

  数据合规有关的法律条款经历了由分散式向井喷式不断演变的过程，其中各种法律、条规、意见、标准更是五花八门，因此企业想要保障数据合规，就要不断适应变化的政策形势，以更全面的姿态来面对。

2、成熟的管理架构与人才

  数据合规与以往传统管理工作如人力资源管理、财务管理等不同，没有固定的可供借鉴的成熟模式和架构，因此大多数企业，特别是中小企业，需要在诸多规范、要求中不断摸索和尝试，并逐渐培养与企业业务内容契合的管理部门、制度规范、人才，这个过程中所遇到的各项数据合规风险可控程度因此将会相对偏低。

3、自身数据情况的复杂多变

  企业在不断更新迭代过程中，所面临的数据环境非常复杂，对应的处理方式、合规能力也需要依据不同的内容进行区分管理，风险往往蕴藏在单一的管理及处理机制与自身庞杂的数据内容之间的矛盾中。同时，绝大多数企业还面临着集团内部、合作伙伴之间的数据共享、数据融合问题。

4、技术厂商的数据合规研发

  以往国内较为普遍的数据安全产品是数据库安全与数据防泄漏、丢失的，在前几年市场上才出现一批新的安全公司，主打“流动的数据安全”。企业通过掌握自身数据资产的数量、种类、流向、防护手段等情况，在保证数据安全的同时，也达到监管机构的要求。

  就拿专注安全的通付盾来说，就研发了一系列安全合规产品，包括代码审计检测、应用检测、应用加固、隐私合规、危险感知、渠道检测、在线平台的入侵检测、渗透测试等等。实现数据价值最大化、数据应用合规化，为数据供需双方提供安全高效的解决方案。

  针对APP的安全合规难题，通付盾平台已经建成APP数字身份凭证、APP尽职调查、APP隐私合规检测、APP检测、APP加固、APP仿冒监测、手机应用与环境安全检测等功能，一站式保障APP全生命周期安全合规，为广大APP开发者及APP用户保护个人信息和隐私安全。

  作为大型互联网公司，腾讯也拥有大量数据安全治理实践经验，腾讯数据隐私保护部合规总监赵冉冉曾表示，很多企业将不同来源的数据整合在一起，以求最大限度集中数据并扩大用途和提升质量。但数据融合也意味着合规的风险也呈几何倍数增长。

  此外指掌易作为一家专注于To B的移动安全解决方案提供商，也在数据合规方面有极大关注。核心产品包括企业移动安全管理平台、移动应用安全服务平台、移动应用安全网关、移动安全态势感知分析平台、业务移动化基础平台等。主要为大型用户提供完整的业务移动化安全服务。

  百度也在积极构建科学性的隐私保护体系，无论是制度建设还是内部流程，以及提前储备相关隐私保护的技术、赋能产品端，在产品研发的过程当中设置相应的隐私保护功能，把默认的隐私保护作为原则。

  百度采用的史宾格检测技术，通过这个工具可以自动化检测相应的APP是否满足数据合规的基本要求。基于技术优势，也打造了一些可用不可见的智能安全技术，包括百度安全发布的通用安全技术计算平台、联邦计算平台，通过这种技术方案在两个机构之间确有必要的情况下，且在得到用户授权的前提下，去满足数据共享和使用的场景。

  数字化时代，企业的数据合规早已成为发展的主要命题，想要实现数据合规，需要多方的共同努力，云巴巴也一直在和大家一起向数字化转型迈进。

 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！