目前,中国企业正处在数字化、国产化和国际化三浪叠加的历史机遇期。数字化不再是企业追求的时尚和潮流,而是必须要按照相关法律法规落地实行的行动准则。有数据显示,2019年中国数字经济增加值达到了35.8万亿元,占GDP的比重达到36.2%。数字经济在国民经济中的地位进一步凸显,贡献值不断增强。
数字经济打响数据安全与数据合规的攻坚战
信息化时代蓬勃发展了数十年,见证了企业管理和业务运转的效率的大幅提升,也为全面迎接数字化时代的到来奠定了基础。进入数字化时代,每个机构、组织、个人都成为数字化时代的参与者,数据安全、数据合规管理变得越来越迫切。为此,全球各国政府纷纷出台相关法律法规加强数据安全和个人隐私的保护。
2016年欧盟发布《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR),并于2018年5月正式生效,对个人隐私权利提出了明确的法律要求;美国、印度、俄罗斯、巴西、印度尼西亚、新加坡等国家也相继制定或修订本国隐私保护法律。2016年11月中国颁布了《中华人民共和国网络安全法》,其中对个人信息保护提出系列具体要求; 2021年6月,中国颁布了《中华人民共和国数据安全法》,又在同年8月,针对公民个人隐私保护正式发布了《中华人民共和国个人信息保护法》。
另外,从规范企业收集和数据使用角度,2021年9月30日,工业和信息化部研究起草了《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》,《征求意见稿》明确提出工业和电信数据处理者在中华人民共和国境内收集和产生的重要数据,应当依照法律、行政法规要求在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估,在确保安全的前提下进行数据出境,并加强对数据出境后的跟踪掌握。《征求意见稿》明确指出,核心数据不得出境。针对网络数据安全和数据合规问题,屡次出现了企业触犯网络安全法被审查的案例,以及企业违反个人隐私保护法被处罚的案例,反映出国家在执法力度不断加强。某互联网出行企业赴美上市后遭遇国家相关部门合规性检查就是例证。
随着全球化进程越来越深入,全球范围愈加严格的隐私监管态势对数据安全和数据合规提出更高要求,加速推动数据安全和数据合规成为全球共识。越来越严格的数据保护政策,也引申出了国产化替代的相关话题。就中国市场而言,不仅国外企业进入中国市场要遵循中国的数据合规要求,中国企业出海同样需要遵循数据安全和数据合规性要求。所以,对于核心数据不出境的考虑,也成为当前企业选用国内软件品牌的原因之一。
再有,从中兴、华为遭遇制裁,到今年3月初Oracle和SAP相继宣布暂停了对俄罗斯的所有业务,让我们彻底明白信创事业的推动仍需加大力度。从产品能力角度,本土软件产品也必须要具备国际化的服务能力,帮助国内的企业出海,以此抓住信创的历史机遇,担当起应有的责任。
构建数据安全和数据合规支撑体系
认知模式支配行为,行为决定得到的结果,从源头加强对数据资产、数据安全和数据合规性的认知建设尤为重要。数字化时代的潮流不可阻挡,毫无疑问,数据资产成为国家和企业的重要资产,成为与工业时代土地、劳动、资本同等重要的当代生产要素,甚至将数据比作21世纪的石油,任何组织、企业和个人都无法置身事外。
企业如何构建起数据安全和数据合规体系?
一方面,要加强政策学习,培养意识,建立正确的认知。以某互联网出行企业为例,数据安全引发的一系列问题已经成为决定企业社会价值甚至生死存亡的大事。以此为戒,当越来越多具有前瞻性的企业重视投入数据隐私安全建设,并成为企业的核心竞争力的时候,势必推动全行业、全领域以数据安全和数据合规为发展基础,市场竞争的规则也将被改写。那些注重数据安全和数据合规性的企业也将具备生存基础,成为行业强有力的竞争者。
因此,企业必须全方位强化安全意识,把国家法律要求以及业界和客户要求的安全保护强化起来。加强各国政府对数据安全和数据合规相关政策的学习,成为其中的参与者和数据安全生态良性循环的推动者。
另一方面,落实行动,打造专业人才组织、流程制度、产品技术体系和长效机制。从市场和企业客户需求的角度出发,从人才体系建设和培养,到软件产品和解决方案的设计紧跟客户对数据安全和数据合规的诉求,赢得市场认可。以本土CRM企业销售易为例,在数据隐私安全领域总结出一套方法论:从人员组织、流程制度、产品技术、长效机制等方面进行建设积累,不断提高产品隐私合规性。
1、在组织人员层面,设立了DPO(数据保护专员)和用户隐私权利响应部门,由专人确保用户隐私权利的及时响应,增强客户可感知的隐私成熟度;
2、在流程制度层面,销售易内部不断优化隐私安全体系流程文档的建设,包括应急响应流程,安全评估流程等,不断提高销售易隐私体系建设的成熟度;
3、在产品技术层面,将隐私合规融入个人数据全生命周期(数据收集、使用、分享、披露、留存与销毁),隐私设计(Privacy by Design)的落地实施,确保产品隐私合规的符合性;
4、在长效机制层面,定期审查隐私合规的落地实施有效性,并持续优化,保证隐私合规实施的有效性。
销售易在2022年2月,获得了ISO27701认证,成为国内获得该国际认证的为数不多的SaaS厂商之一。该认证是业内权威性的隐私管理体系建设指导标准,是目前国际上最权威、最被广泛接受的隐私保护标准之一。
据悉,此项认证是继ISO27001 (信息安全管理体系)认证后,销售易进一步在隐私信息管理方面取得的重大成果。标志着销售易在隐私安全领域已达到国际水平,证明了自己在信息安全领域的实力。
谋局国产化替代,销售易严格执行数据安全与数据合规的背后
有思想、有理论、有方法、有参考案例,数字化时代的企业在数据安全和数据合规性的建设上定会取得丰硕成果,夯实国产化替代的坚实基础。
从立足国产化,到谋局国际化,这一系列的战略规划不是口号,而是行动,行动力的背后是拿到该有的国际化“通行证”。
从销售易长远的国际化战略布局来看,获得ISO27701是其中的必然一步。而且,在数据隐私安全体系建设上,销售易一直以当前最为严格的“GDPR”为标准,确保在GDPR 隐私合规标准要求下处理客户的个人数据,并同国际著名的咨询公司一起,定期对销售易产品进行GDPR 隐私合规审查,不断优化提高销售易隐私安全成熟度。
除了GDPR之外,销售易的隐私合规解决方案还包含了中国、美国、欧盟等多个国际主流国家和地区的隐私保护相关要求。如,在中国,符合《个人信息保护法》满足中国法律的合规性要求;符合CCPA,满足美国加州地区的隐私保护法律等等。
总之,数字化+国际化+国产化的新时代,企业必须严格遵守数据安全和数据合规要求,不仅要有长远的战略规划,也要沉下心来严格执行。企业加强自身的数据安全与数据合规性,符合数据安全与数据合规的本土软件服务商已是重要选项。