中國版“GDPR”正呼之欲出。

　　在今年五月下旬結(jié)束的“兩會”上，全國人大常委會工作報(bào)告在下一步主要工作安排中提出，將圍繞國家安全和社會治理，制定生物安全法、個(gè)人信息保護(hù)法、數(shù)據(jù)安全法等相關(guān)法規(guī)。這是自去年網(wǎng)信辦發(fā)布《數(shù)據(jù)安全管理辦法》征求意見稿之后，我國在數(shù)據(jù)安全法規(guī)領(lǐng)域的又一項(xiàng)重磅動向。

　　法律專家指出，目前計(jì)劃出臺的兩部法律各有側(cè)重�！秱�(gè)人信息保護(hù)法》更多的是從保護(hù)公民隱私的角度來看待數(shù)據(jù)安全問題，該法規(guī)有望最終確定“個(gè)人信息”這一概念的內(nèi)核及外延，理順各個(gè)信息主體之間的關(guān)系，并針對個(gè)人信息的收集、存儲、使用、共享等多個(gè)方面做出規(guī)定[1]。而《數(shù)據(jù)安全管理辦法》則有望從國家安全、公共安全的角度出發(fā)，對先前法規(guī)中，一些尚不明確的部分進(jìn)行限定，比如在此前的征求意見稿中，就首次劃定“爬蟲”紅線、確定網(wǎng)絡(luò)運(yùn)營者提供隱性政策，并將數(shù)據(jù)安全責(zé)任人法定化[2]。

　　隨著數(shù)字經(jīng)濟(jì)在全球范圍內(nèi)的蓬勃發(fā)展，許多國家及地區(qū)近兩年來均陸續(xù)出臺了數(shù)據(jù)保護(hù)及安全領(lǐng)域的相關(guān)規(guī)則條例，諸如歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）、加州消費(fèi)者隱私法（CCPA）、新加坡個(gè)人信息保密條款（PDPA）和日本個(gè)人信息保護(hù)法（PIPA）等，不一而足。其中，引起最多討論的要數(shù)今年1月1日起生效的CCPA和剛剛度過兩周年紀(jì)念日的GDPR，從這兩部法律的具體條文和實(shí)施現(xiàn)狀入手，或可窺見未來企業(yè)在我國數(shù)據(jù)合規(guī)方面的一般趨勢。

　　就今年生效的CCPA來看，作為扎根于消費(fèi)者立場的法規(guī)，CCPA的具體貢獻(xiàn)在于規(guī)范了數(shù)據(jù)的商業(yè)化利用，并對“個(gè)人信息”進(jìn)行了較為寬泛的定義，將家庭、身份關(guān)聯(lián)的信息和設(shè)備信息均納入“個(gè)人信息”的范疇[3]，這無疑提高了美國隱私保護(hù)的標(biāo)準(zhǔn)。

　　對企業(yè)而言，作為地區(qū)性法規(guī)，CCPA卻并不“止于”加州。舉一個(gè)電商相關(guān)的例子，即使電商網(wǎng)站不設(shè)立在加州，電商也需遵循CCPA的規(guī)定，因?yàn)樵摲ò缚梢杂糜谠谄渚W(wǎng)站上購物的加州居民。這樣一來，CCPA所影響的范疇大大拓寬，跨州、跨國企業(yè)均需將其納入合規(guī)考量。

　　另一方面，就剛在5月度過兩周年紀(jì)念日的GDPR來看，企業(yè)面臨的情況或許更為棘手。數(shù)據(jù)顯示，僅2019年，歐盟對違反GDPR的企業(yè)及機(jī)構(gòu)就開出了逾4.28億歐元的罰單[4]。公開報(bào)道顯示，在GDPR生效的第一年，與其相關(guān)的投訴就達(dá)14萬次之多，截止今年3月，當(dāng)局針對GDPR違規(guī)行為則進(jìn)行了231次罰款及制裁[5]。罰單以外，不少企業(yè)也在兩年間真實(shí)地體會到理想與現(xiàn)實(shí)的差距。在GDPR正式生效之前，78%的公司自信地表示他們已做好合規(guī)準(zhǔn)備，但凱捷咨詢的調(diào)研結(jié)果卻顯示，在法規(guī)實(shí)施后，僅28%的公司成功遵守GDPR[6]。

　　在Veritas看來，無論是CCPA還是GDPR，企業(yè)失守“數(shù)據(jù)合規(guī)”，關(guān)鍵原因可以歸結(jié)于以下五點(diǎn)：

　　存在合規(guī)分歧——企業(yè)或組織中的各部門對合規(guī)存在分歧，往往是合規(guī)失效的前兆。成功的數(shù)據(jù)合規(guī)仰賴法務(wù)部門，IT部門、管理層及數(shù)據(jù)安全責(zé)任人的通力協(xié)作。關(guān)鍵利益相關(guān)者需對公司或組織的合規(guī)情況達(dá)成共識，方能正確評估潛在風(fēng)險(xiǎn)，采取相應(yīng)措施。

　　缺乏領(lǐng)導(dǎo)層支持——在業(yè)務(wù)執(zhí)行中，毋庸置疑，如果領(lǐng)導(dǎo)層對一個(gè)項(xiàng)目不予重視，那項(xiàng)目相應(yīng)地也很難獲得資金及人力支持。推及合規(guī)項(xiàng)目，道理亦然。合規(guī)項(xiàng)目的負(fù)責(zé)人應(yīng)向企業(yè)領(lǐng)導(dǎo)層充分解釋數(shù)據(jù)泄露的風(fēng)險(xiǎn)所在，并強(qiáng)調(diào)其可能產(chǎn)生的財(cái)務(wù)罰款及聲譽(yù)成本，對客戶數(shù)據(jù)隱私不以為意的企業(yè)，最終都將嘗到失去客戶信任的苦果。

　　項(xiàng)目范圍蔓延——任何項(xiàng)目都忌諱不抓重點(diǎn)及無止境的擴(kuò)大任務(wù)邊界。成功的項(xiàng)目仰賴于項(xiàng)目經(jīng)理妥善分配任務(wù)，并基于此劃定可實(shí)現(xiàn)的項(xiàng)目范圍，確定目標(biāo)及具體行動方針。企業(yè)必須明確的針對具體合規(guī)項(xiàng)目中的挑戰(zhàn)，對目前的數(shù)據(jù)存儲情況有所認(rèn)知，方能取回?cái)?shù)據(jù)控制權(quán)的第一步。

　　失于“全局”視角——對于那些只想采取輕微措施卻心存僥幸試圖實(shí)現(xiàn)合規(guī)的企業(yè)，敗局往往是注定的。對合規(guī)條例進(jìn)行完整解讀，是企業(yè)成功實(shí)現(xiàn)數(shù)據(jù)合規(guī)的先決條件。此外，法條仍會不時(shí)的調(diào)整，企業(yè)應(yīng)對每次更新保持關(guān)注，及時(shí)修補(bǔ)自身策略，從而確保能跟上合規(guī)節(jié)奏。

　　局限于“眼前”——合規(guī)是企業(yè)應(yīng)盡的責(zé)任，但企業(yè)或許可以換一個(gè)視角，將其看作潛在“數(shù)據(jù)機(jī)遇”。那些對“數(shù)據(jù)洞察”予以投資的企業(yè)，有望在合規(guī)之外，改善其數(shù)據(jù)管理現(xiàn)狀并降低數(shù)據(jù)存儲成本，增強(qiáng)投資回報(bào)率。

　　實(shí)現(xiàn)數(shù)據(jù)合規(guī)并非一夕之功，在中國起草數(shù)據(jù)安全相關(guān)法律的當(dāng)口，Veritas建議，企業(yè)不妨以此為切口，重新審視自身的數(shù)據(jù)管理策略，并將未來重點(diǎn)放在提升“數(shù)據(jù)洞察”力上。

　　企業(yè)若投資“數(shù)據(jù)洞察”力，將有助錨定數(shù)據(jù)存儲位置、洞察訪問權(quán)限歸屬及數(shù)據(jù)留存期限。在此基礎(chǔ)上進(jìn)一步循跡敏感數(shù)據(jù)，并根據(jù)實(shí)際情況制定相應(yīng)的刪除或留存策略，企業(yè)能落實(shí)更好的數(shù)據(jù)風(fēng)險(xiǎn)管理。

　　在助力合規(guī)之外，“數(shù)據(jù)洞察”亦能幫助企業(yè)優(yōu)化數(shù)據(jù)管理策略，減少IT支出。進(jìn)入數(shù)字新時(shí)期后，許多企業(yè)從原有的物理硬件存儲，逐步轉(zhuǎn)向“云”或者“多云”。然而，在數(shù)據(jù)量暴增的當(dāng)下，基于云服務(wù)按使用量的計(jì)費(fèi)方式，數(shù)據(jù)越冗雜，往往意味著企業(yè)必須承擔(dān)更高的IT支出及服務(wù)費(fèi)用。數(shù)據(jù)洞察在發(fā)現(xiàn)敏感信息之外，亦能幫助企業(yè)洞察無用信息，并放心刪除數(shù)據(jù)，最終降低IT成本。

　　伴隨著今年“新基建”概念在我國的正式提出，越來越多的企業(yè)與組織有望加速其數(shù)字化轉(zhuǎn)型和“云上征途”。但在享受數(shù)字紅利之外，企業(yè)也應(yīng)將規(guī)范自身數(shù)據(jù)的使用，真正將消費(fèi)者及個(gè)體的數(shù)據(jù)隱私權(quán)利納入考量，踐行應(yīng)盡義務(wù)的同時(shí)，為即將來臨的全新合規(guī)挑戰(zhàn)做好準(zhǔn)備。

　　[1] 財(cái)經(jīng)雜志，個(gè)人信息保護(hù)法為什么值得期待？

　　[2] 經(jīng)濟(jì)觀察網(wǎng)，首次劃定“爬蟲”法律紅線：詳解《數(shù)據(jù)安全管理辦法》征求意見稿還有哪些變化

　　[3] 騰訊網(wǎng)絡(luò)安全與犯罪研究基地，GDPR VS 加州隱私法：歐美這兩部個(gè)人數(shù)據(jù)保護(hù)法規(guī)有什么差異？

　　[4] CoreView，GDPR罰單追蹤明細(xì)

　　[5] Help Net Security，回顧GDPR兩周年

　　[6] ZDNet，僅三分之一的企業(yè)實(shí)現(xiàn)GDPR合規(guī)

　　Veritas Technologies 是全球數(shù)據(jù)保護(hù)及數(shù)據(jù)管理領(lǐng)域的領(lǐng)導(dǎo)者。超過八萬家企業(yè)級客戶， 包括 87％ 的全球財(cái)富 500 強(qiáng)企業(yè)，均依靠Veritas化解 IT 復(fù)雜度并簡化數(shù)據(jù)管理流程。Veritas多云數(shù)據(jù)服務(wù)平臺可提供自動化的數(shù)據(jù)保護(hù)，無論何處都能協(xié)調(diào)數(shù)據(jù)冗災(zāi)恢復(fù)，確保關(guān)鍵業(yè)務(wù)數(shù)據(jù)及應(yīng)用的7x24實(shí)時(shí)穩(wěn)定運(yùn)行，同時(shí)也為企業(yè)提供數(shù)據(jù)洞察，實(shí)現(xiàn)數(shù)據(jù)合規(guī)。Veritas在可靠性、擴(kuò)展性以及靈活按需部署方面擁有很好的聲譽(yù)，支持超過800種數(shù)據(jù)源，100 多種操作系統(tǒng)， 1400多種存儲設(shè)備以及60類云平臺。欲了解更多詳細(xì)信息，請?jiān)L問 www.veritas.com 或者關(guān)注 Veritas 官方微信平臺：VERITAS_CHINA（VERITAS中文社區(qū)）。