企業是時候重新審視資料安全與合規了

隨著資料價值愈發凸顯，資料安全的重要性與日俱增。

日前，滴滴被罰80.26億元，這再一次引起了大家對資料安全的關注。有業內專家指出，如今的資料安全環境變得更為複雜，傳統的資料安全主要是資料備份以及防洩露、防攻擊等，現在還要加上基於新的法律法規體系，使用資料、處理資料和管理資料的合規性。

資料安全與合規成為企業必修課

數字經濟已經成為驅動世界經濟發展的重要增長引擎，但是在數字經濟發展過程中，由於企業重視程度不夠、監管法規尚不完善，引發了資料安全及隱私保護問題。

僅 2021 年全球範圍內就發生了多起影響惡劣的資料安全與隱私洩露事件。比如，4 月，Facebook 的 5.33 億使用者資料被駭客洩露，包含姓名、生日、電子郵件、地址等;5 月，美國成品油管道運營商 Colonial Pipeline 科洛尼爾遭受到勒索軟體攻擊，影響了美國東海岸 45%能源供應;6 月，7 億領英使用者資料被發現在暗網出售等等。而根據Identify Theft Research Center中心的資料顯示，與2021年同期相比，2022年第一季度實際報告的資料洩露事件數量增加了14%，達到404起。

隨著資料承載的資訊越來越豐富，除了原來的惡意資料洩露和攻擊事件，資料採集與流轉也帶來新的問題，資料隱私的保護迫在眉睫。世界各國紛紛立法加強資料監管以及隱私保護。2018年5月25日，歐盟《通用資料保護條例》(GDPR)正式實施;2018 年 8 月，巴西透過了第一部綜合性的資料保護法，《The General Data Protection Law》(GDPL);2018年6月28日，《加利福尼亞州消費者隱私保護法案》(CCPA)經州長簽署公佈，並於2020年1月1日起正式實施;2020年5月，泰國個人資料保護法正式生效，泰國成為繼新加坡、馬來西亞之後第 3 個頒佈個人資料保護法的東南亞國家……

中國繼《網路安全法》後，2021 年出臺《資料安全法》和《個人資訊保護法》，並引入了處罰機制。《個人資訊保護法》規定，情節嚴重的違法行為，最高可處 5000萬元或者上一年度營業額 5%的罰款，負責資料處理的人員還將承擔個人法律責任。

根據聯合國貿易發展組織統計，截止到目前，全球約 80%的國家已經完成資料安全和隱私保護立法，或已推出相關草案。這為跨國企業以及中國的出海企業帶來新的挑戰，需要滿足合規性，資料安全與合規成為新時代企業的必修課。稍不留神，是要真金白銀罰款的。

• 2018年，倫敦英國航空公司因為違反 GDPR 的隱私規定，被開出 2.3 億元的天價罰單;

• 2021年亞馬遜違反GDPR被處以57.29億元罰款;

• 2022年，谷歌妨礙使用者刪個人資料被罰千萬歐元;

• 2022年7月21日，國家網際網路資訊辦公室依據《網路安全法》《資料安全法》《個人資訊保護法》《行政處罰法》等法律法規，對滴滴全球股份有限公司處人民幣80.26億元罰款，對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款……

日前，銷售易釋出了《銷售易信任白皮書》(以下簡稱《白皮書》)，梳理了當前企業面臨的安全隱私合規挑戰。《白皮書》指出，本土企業需要從源頭關注資料安全，理解相關法律法規，在組織層面建立資料安全部門，引入資料安全人才，參考已有標準，建立及評估資料分類分級標準等，跨國企業的中國分支機構更應關乎在中國的合規問題，資料收集和儲存應遵循 “境記憶體儲”原則，如涉及資料跨境傳輸，在滿足國內合規要求前提下，也需要滿足接收方所在地的相關要求。值得一提的是，中國企業在出海的過程中，在資料安全和隱私保護方面面臨來自海外的合規難題。根據亞馬遜雲科技的調查顯示，近 60%的受訪企業認為出海服務，安全合規最重要。

但是不同國家因宗教、文化、地域等多方面原因，在資料安全、隱私保護的立法上有所差異，監管執行上可能存在“本土特色”，地區性法規如GDPR也會存在不同地方執法力度不同的問題。企業可以透過研究各國資料保護法下的執法案例，理解所在國執法和監管的態勢。

7月7日，國家網際網路資訊辦公室公佈《資料出境安全評估辦法》，自2022年9月1日起施行，國家對資料出境越來越嚴格，涉及資料境外傳輸的企業機構都需要多加留心注意。

如何解決安全與合規難題?

近年來，數字化運營已經成為企業精細化運營的剛需。企業在數字化運營過程中，往往會透過 CRM、ERP、PM、HRM 等線上系統完成資料的收集和沉澱。其中，CRM 系統更多地用於收集和沉澱企業的業務資料和個人使用者資料，其安全性對企業來說至關重要。

上文提到，資料安全與合規成為新時代企業的必修課。實際上，企業在應對安全合規難題時，除了“觀察外部”“審視自己”“找差距”“做決定”“實施落地”五步走，還可以透過使用銷售易這樣具備國際化安全能力的 CRM 廠商，與企業共建安全。

《白皮書》建議，在CRM選型時，企業可以從產品能力、技術安全、安全架構、最佳實踐、安全管理、資質認證等方面入手綜合評估 CRM 廠商的安全能力。

銷售易資訊保安保障體系框架

在整體的安全+合規方面，銷售易經過多年積累已經構建了自己的安全保障體系(見上圖)。據悉，銷售易將資料安全融入產品能力，採取相應的技術措施和其他必要措施，保障資料安全，幫助企業更好地履行資料安全、隱私保護義務。企業可以使用銷售易產品中資料加密儲存、資料脫敏、資料訪問日誌、數字水印、密碼設定等功能，幫助企業實現安全、合規的目的。

而在出海或者涉及到資料跨境傳輸問題方面，銷售易目前已取得 ISO 27701 認證，並且有能力幫助出海歐盟的中國企業實現 GDPR 合規。除此外，銷售易還在新加坡等地建立資料中心，能夠承載東南亞大部分地區的第三方國家資料中心儲存量，滿足大部分在東南亞經營的企業的合規需求。

在安全方面，是公有云安全還是本地部署安全是一個老生常談的話題。不過現在越來越多的企業開始遷往雲端，即便是資料庫這樣對安全要求極高的基礎軟體，部署在公有云的企業也越來越多。實際上，SaaS模式下的SaaS 廠商透過雲安全責任共擔模型，與企業雙方共建安全，讓企業在人力財力有限的情況下更聚焦於企業需要承擔的安全責任上。

當然，我們知道，資料安全與隱私合規需要多方參與，國家層面出臺相關法律法規，社會機構組織出臺相應標準規範，企業設立相關規章制度，個人提高道德自律並遵紀守法，整個過程中需要技術幫助，多方聯動在較好的防護、防禦機制之下，使我們的資料安全和隱私得到保護。

資料安全與合規將會是數智化時代永恆的命題，且沒有一勞永逸的方案。企業與個人，都要活到老，學到老。