咱们聊聊怎么在上海中心大厦的银城中路弄明白中国数据合规的事。ABeam Insight 这几天搞了个专题,叫《中国个人信息保护与网络安全相关法律法规的趋势与应对》(3),专门讲执法动态、企业咋应对,还有咋实践合规。法规给咱们划了条线,就看执法的那些真事怎么说,那是给企业看的最直接的样儿。中国现在管网络安全和数据这块儿特别严,光知道法律条文可不够,企业得盯着监管动向,把外面的要求变成自己的管理动作,这样才能建起一套顶用的防线。最近看那些处罚和判例,因为没管好系统安全、没把个人信息处理好挨罚的公司越来越多。比如发现了漏洞也不去修,或者听了监管部门的警告也不当回事,老板和责任人都得跟着倒霉;哪怕是用户同意了,要是告诉人家的数据出境范围说得不清楚也不行,照样可能被认定是侵权要赔钱。建个制度那是第一步,要让它一直转下去、跟上要求、把该说的都说到位,这才是企业的大责任。 中国是很早就把系统安全和个人信息保护搞得挺全面的国家之一。因为风险大、商业趋势也在变,相关的法律法规一直在细化补充。咱们国家的法律体系,像《网络安全法》、《数据安全法》、《个人信息保护法》,跟GDPR的道理是一样的,但在怎么管、抓哪儿、具体咋要求这些地方有点不一样。所以在欧盟那种模式建起来的东西拿到中国来用得好好改一改。那些在华做的企业,特别是跨国的那种,弄合规不能照抄国外经验,得按照咱们自己的特色来一套系统性的路子: ◆ 全面调查现状 建合规体系得先把自己家底摸透。得把所有的信息系统资产盘一盘,看看现在用的那些安全技术管不管用;得知道手里有多少数据、有什么种类、怎么走的路、存哪儿了;尤其得盯着有没有跨境传输数据、把重要的数据弄到国外这种高风险或者管得严的情况。这是给企业画一条基准线,好让下一步知道咋对标要求。 ◆ 找出差距 摸清情况后就得把自己干的事儿跟中国的法律法规和必须遵守的标准(比如等级保护制度)一项一项去比。光列条款不同还不行,得看这些差别的背后藏着啥风险是制度缺了还是技术不行,还是流程管得松了。 ◆ 制定整改计划 把那些差距和风险找出来后,就得定个目标明确、路子清晰的整改方案。这个规划得看谁先做谁后做(看风险高不高、影响大不大),得看投多少钱、让哪个部门配合、定个啥时候完成的时间表。一般来说就是先弄几个快速缓解的措施应付一下,再搞点中长期的根本建设的方案。 ◆ 执行落实 这就看计划能不能变成真事儿了。企业得照着既定方案走,把技术、管理、法务的资源都调动起来去干活。关键的动作包括按规定给系统定个安全级别备案测评整改;按出境的规矩申报备案;保证改好的东西都固定下来变成日常运营的一部分。 ◆ 建立长效机制 合规不是一锤子买卖,是个得天天盯着、随时改进的常态化管理活儿。企业得定期搞搞安全评估、给员工讲讲网络安全、把制度更新更新、还得练练应急响应。 下一期预告 / Next 中国的数据合规监管已经进到“深水期”,管得特别严。对企业来说,把外面的压力变成自己内部的治理能力变成了新课题。这不仅要求懂法守法,还得把法律条文变成实实在在的管理行动才能稳当运营。ABeam 是咱们搞数字化转型的好伙伴,对全球的规矩和本地的实践门儿清,能帮着客户系统地去应对这些挑战。下一期我们会具体说说相关服务的案例,请大家拭目以待。 有业务上的事想咨询的话就找ABeam China 吧,咱们刚发了个完整版的《中国个人信息保护和网络安全相关法律的趋势与应对》白皮书。这玩意儿覆盖了中国、欧盟、美国、日本这些核心市场的立法动态,能给大家指条明路。要是对这份白皮书感兴趣或者想聊聊行业里的难题咋解决,随时找我们就行。地址就在上海市浦东新区银城中路501号上海中心大厦71层呢。