科技及数据通:大湾区背景下企业面临的数字化机遇、安全挑战与应对
数字化建设离不开有效的数据治理与数据安全,而有效的数据治理与数据安全建设也是促进大湾区两岸三地经济融合的前提条件。
三大挑战:
- 三地法律不同、业务场景交叉、企业合规压力突出。
- 当前的合规能力难以应对安全挑战。
- 三地网络环境等差异增加安全防御难度。
中共中央国务院颁布了《粤港澳大湾区发展规划纲要》,提出到2035年,在大湾区形成以创新为主要支撑的经济体系和发展模式的目标,并明确了一系列以数字化为核心驱动的战略举措。为了配合以数字化作为发展引擎的规划,大湾区已逐步制定数据治理与数据安全相关的发展要求与落地措施,为保障数据的安全和合规、加快政企间、企业间和跨境数据流通提供强而有力的支持。然而,企业在享受便利的同时,也将面临更高的挑战。
挑战一
从法律层面来看,粤港澳大湾区涉及的三个司法管辖区在网络安全、隐私保护、数据跨境等方面发布了不同的法律法规及相关指导文档,其中既存在相似之处,也不乏诸多差异,大湾区企业时刻面临复杂的数据安全合规压力。
在隐私保护方面:
着力融合三地的法律要求,对个人信息的收集、使用、处理建立统一体系
制订三地适用的隐私政策和声明,并针对三地合规要求或服务内容差异进行细节修订
在数据跨境方面:
制定标准合同模板,定义数据发送方和接收方责任、权利和义务以及应有的保护措施
通过第三方独立评估,获得企业数据保护能力认证
梳理数据跨境的法律法规,并与监管部门保持密切沟通
梳理企业运营过程中的数据及可能涉及到的跨境场景
建立企业内部数据跨境传输机制
完善企业数据安全内控制度,积极开展自评工作
挑战二
面对冲突复杂的法律环境,很多企业当前的合规应对能力尚不完备,包括:安全合规文化、组织架构、人力资源、合规管理架构和运行机制、网络安全和隐私合规能力等。对于大部分湾区企业来说,由于种种的客观因素限制,当前的合规应对能力难以应对数字化发展带来的新挑战,如何在合理配置资源的前提下,建立有效的数据安全合规体系,将成为湾区企业的痛点。
在考虑合规能力的同时,企业也需构建完善的安全管理能力,防范与应对各类安全威胁:
数据安全管理层面
识别企业内重要数据,规范重要数据描述格式
制定分级分类标准,建立差异化管控要求和技术保护策略
评估安全实现能力,建立数据安全管理体系,实现持续的数据全生命周期管理
网络安全管理层面
建设企业内信息安全管理制度及体系
开展面向全体员工的合规培训机制,形成有效的合规责任考核机制
建立合规举报查处的流程和机制,对合规流程进行持续优化
挑战三
粤港澳三地在网络环境、技术和安全标准、用户习惯等方面存在多种差异,增加了企业的安全防护难度,对暴露在相对复杂的网络环境之下的对信息资产进行保护,也成为了企业面临的一大挑战。
企业应当加强安全防护能力,建立良好的网络韧性基础。例如,企业可以网络安全等级保护制度为基线,建立三地的安全技术防护能力,而不仅仅将等保视为国内应用需要通过的证书。以等保作为基线,三地业务在提升企业网络韧性的同时,也能向监管证明企业业务在各地均满足我国要求的安全义务。除等保2.0以外,企业也可以根据自身的实际情况,选择性参考国际相关标准,从而建立良好的网络韧性基础,实现以网络安全运营为导向的主动防御和感知机制。
结语
企业需提早布局、通盘考虑,方能在享受利好的同时,确保持续发展。