中國版“GDPR”正呼之欲出。

　　在今年五月下旬結束的“兩會(huì )”上，全國人大常委會(huì )工作報告在下一步主要工作安排中提出，將圍繞國家安全和社會(huì )治理，制定生物安全法、個(gè)人信息保護法、數據安全法等相關(guān)法規。這是自去年網(wǎng)信辦發(fā)布《數據安全管理辦法》征求意見(jiàn)稿之后，我國在數據安全法規領(lǐng)域的又一項重磅動(dòng)向。

　　法律專(zhuān)家指出，目前計劃出臺的兩部法律各有側重。《個(gè)人信息保護法》更多的是從保護公民隱私的角度來(lái)看待數據安全問(wèn)題，該法規有望最終確定“個(gè)人信息”這一概念的內核及外延，理順各個(gè)信息主體之間的關(guān)系，并針對個(gè)人信息的收集、存儲、使用、共享等多個(gè)方面做出規定[1]。而《數據安全管理辦法》則有望從國家安全、公共安全的角度出發(fā)，對先前法規中，一些尚不明確的部分進(jìn)行限定，比如在此前的征求意見(jiàn)稿中，就首次劃定“爬蟲(chóng)”紅線(xiàn)、確定網(wǎng)絡(luò )運營(yíng)者提供隱性政策，并將數據安全責任人法定化[2]。

　　隨著(zhù)數字經(jīng)濟在全球范圍內的蓬勃發(fā)展，許多國家及地區近兩年來(lái)均陸續出臺了數據保護及安全領(lǐng)域的相關(guān)規則條例，諸如歐盟通用數據保護條例（GDPR）、加州消費者隱私法（CCPA）、新加坡個(gè)人信息保密條款（PDPA）和日本個(gè)人信息保護法（PIPA）等，不一而足。其中，引起最多討論的要數今年1月1日起生效的CCPA和剛剛度過(guò)兩周年紀念日的GDPR，從這兩部法律的具體條文和實(shí)施現狀入手，或可窺見(jiàn)未來(lái)企業(yè)在我國數據合規方面的一般趨勢。

　　就今年生效的CCPA來(lái)看，作為扎根于消費者立場(chǎng)的法規，CCPA的具體貢獻在于規范了數據的商業(yè)化利用，并對“個(gè)人信息”進(jìn)行了較為寬泛的定義，將家庭、身份關(guān)聯(lián)的信息和設備信息均納入“個(gè)人信息”的范疇[3]，這無(wú)疑提高了美國隱私保護的標準。

　　對企業(yè)而言，作為地區性法規，CCPA卻并不“止于”加州。舉一個(gè)電商相關(guān)的例子，即使電商網(wǎng)站不設立在加州，電商也需遵循CCPA的規定，因為該法案可以用于在其網(wǎng)站上購物的加州居民。這樣一來(lái)，CCPA所影響的范疇大大拓寬，跨州、跨國企業(yè)均需將其納入合規考量。

　　另一方面，就剛在5月度過(guò)兩周年紀念日的GDPR來(lái)看，企業(yè)面臨的情況或許更為棘手。數據顯示，僅2019年，歐盟對違反GDPR的企業(yè)及機構就開(kāi)出了逾4.28億歐元的罰單[4]。公開(kāi)報道顯示，在GDPR生效的第一年，與其相關(guān)的投訴就達14萬(wàn)次之多，截止今年3月，當局針對GDPR違規行為則進(jìn)行了231次罰款及制裁[5]。罰單以外，不少企業(yè)也在兩年間真實(shí)地體會(huì )到理想與現實(shí)的差距。在GDPR正式生效之前，78%的公司自信地表示他們已做好合規準備，但凱捷咨詢(xún)的調研結果卻顯示，在法規實(shí)施后，僅28%的公司成功遵守GDPR[6]。

　　在Veritas看來(lái)，無(wú)論是CCPA還是GDPR，企業(yè)失守“數據合規”，關(guān)鍵原因可以歸結于以下五點(diǎn)：

　　存在合規分歧——企業(yè)或組織中的各部門(mén)對合規存在分歧，往往是合規失效的前兆。成功的數據合規仰賴(lài)法務(wù)部門(mén)，IT部門(mén)、管理層及數據安全責任人的通力協(xié)作。關(guān)鍵利益相關(guān)者需對公司或組織的合規情況達成共識，方能正確評估潛在風(fēng)險，采取相應措施。

　　缺乏領(lǐng)導層支持——在業(yè)務(wù)執行中，毋庸置疑，如果領(lǐng)導層對一個(gè)項目不予重視，那項目相應地也很難獲得資金及人力支持。推及合規項目，道理亦然。合規項目的負責人應向企業(yè)領(lǐng)導層充分解釋數據泄露的風(fēng)險所在，并強調其可能產(chǎn)生的財務(wù)罰款及聲譽(yù)成本，對客戶(hù)數據隱私不以為意的企業(yè)，最終都將嘗到失去客戶(hù)信任的苦果。

　　項目范圍蔓延——任何項目都忌諱不抓重點(diǎn)及無(wú)止境的擴大任務(wù)邊界。成功的項目仰賴(lài)于項目經(jīng)理妥善分配任務(wù)，并基于此劃定可實(shí)現的項目范圍，確定目標及具體行動(dòng)方針。企業(yè)必須明確的針對具體合規項目中的挑戰，對目前的數據存儲情況有所認知，方能取回數據控制權的第一步。

　　失于“全局”視角——對于那些只想采取輕微措施卻心存僥幸試圖實(shí)現合規的企業(yè)，敗局往往是注定的。對合規條例進(jìn)行完整解讀，是企業(yè)成功實(shí)現數據合規的先決條件。此外，法條仍會(huì )不時(shí)的調整，企業(yè)應對每次更新保持關(guān)注，及時(shí)修補自身策略，從而確保能跟上合規節奏。

　　局限于“眼前”——合規是企業(yè)應盡的責任，但企業(yè)或許可以換一個(gè)視角，將其看作潛在“數據機遇”。那些對“數據洞察”予以投資的企業(yè)，有望在合規之外，改善其數據管理現狀并降低數據存儲成本，增強投資回報率。

　　實(shí)現數據合規并非一夕之功，在中國起草數據安全相關(guān)法律的當口，Veritas建議，企業(yè)不妨以此為切口，重新審視自身的數據管理策略，并將未來(lái)重點(diǎn)放在提升“數據洞察”力上。

　　企業(yè)若投資“數據洞察”力，將有助錨定數據存儲位置、洞察訪(fǎng)問(wèn)權限歸屬及數據留存期限。在此基礎上進(jìn)一步循跡敏感數據，并根據實(shí)際情況制定相應的刪除或留存策略，企業(yè)能落實(shí)更好的數據風(fēng)險管理。

　　在助力合規之外，“數據洞察”亦能幫助企業(yè)優(yōu)化數據管理策略，減少I(mǎi)T支出。進(jìn)入數字新時(shí)期后，許多企業(yè)從原有的物理硬件存儲，逐步轉向“云”或者“多云”。然而，在數據量暴增的當下，基于云服務(wù)按使用量的計費方式，數據越冗雜，往往意味著(zhù)企業(yè)必須承擔更高的IT支出及服務(wù)費用。數據洞察在發(fā)現敏感信息之外，亦能幫助企業(yè)洞察無(wú)用信息，并放心刪除數據，最終降低IT成本。

　　伴隨著(zhù)今年“新基建”概念在我國的正式提出，越來(lái)越多的企業(yè)與組織有望加速其數字化轉型和“云上征途”。但在享受數字紅利之外，企業(yè)也應將規范自身數據的使用，真正將消費者及個(gè)體的數據隱私權利納入考量，踐行應盡義務(wù)的同時(shí)，為即將來(lái)臨的全新合規挑戰做好準備。

　　[1] 財經(jīng)雜志，個(gè)人信息保護法為什么值得期待？

　　[2] 經(jīng)濟觀(guān)察網(wǎng)，首次劃定“爬蟲(chóng)”法律紅線(xiàn)：詳解《數據安全管理辦法》征求意見(jiàn)稿還有哪些變化

　　[3] 騰訊網(wǎng)絡(luò )安全與犯罪研究基地，GDPR VS 加州隱私法：歐美這兩部個(gè)人數據保護法規有什么差異？

　　[4] CoreView，GDPR罰單追蹤明細

　　[5] Help Net Security，回顧GDPR兩周年

　　[6] ZDNet，僅三分之一的企業(yè)實(shí)現GDPR合規

　　Veritas Technologies 是全球數據保護及數據管理領(lǐng)域的領(lǐng)導者。超過(guò)八萬(wàn)家企業(yè)級客戶(hù)， 包括 87％ 的全球財富 500 強企業(yè)，均依靠Veritas化解 IT 復雜度并簡(jiǎn)化數據管理流程。Veritas多云數據服務(wù)平臺可提供自動(dòng)化的數據保護，無(wú)論何處都能協(xié)調數據冗災恢復，確保關(guān)鍵業(yè)務(wù)數據及應用的7x24實(shí)時(shí)穩定運行，同時(shí)也為企業(yè)提供數據洞察，實(shí)現數據合規。Veritas在可靠性、擴展性以及靈活按需部署方面擁有很好的聲譽(yù)，支持超過(guò)800種數據源，100 多種操作系統， 1400多種存儲設備以及60類(lèi)云平臺。欲了解更多詳細信息，請訪(fǎng)問(wèn) www.veritas.com 或者關(guān)注 Veritas 官方微信平臺：VERITAS_CHINA（VERITAS中文社區）。