数字经济大行其道,数据作为企业的重要资产,愈发显现其战略价值。疫情催生常规化的线上办公形态,数字化、无纸化的理念早已融入日常工作,其中产生越来越多的数据也向企业发出亟需数据合规治理的信号。随着国家颁布《数据安全法》、《网络安全法》、《个人信息保护法》等法律,数据合规基准逐步清晰,合规课题被提上议程,许多企业甚至开始进行从数据合规到数据治理的转变。本文将从数据合规和数据治理两个角度,介绍提升企业数据治理能力的重要性和主要路径,让数据合规治理赋能企业数字化转型。
一、数据合规——数字时代的企业合规基石
2017年以来,国家网信办、工信部、公安部、标委会等机关陆续发布了一系列与网络安全、个人信息安全和数据保护相关的法律法规和国家标准。以法律层级来看,目前数据合规法律体系的三大支柱是《数据安全法》、《网络安全法》和《个人信息保护法》,它们分别从不同侧重点规范数据,共同搭建起数字经济的“生态保护系统”。除了具有普适性的三大支柱法律,与行业和科技维度紧密相关的数据法规也层出不穷。比如与人工智能相关的《生成式人工智能服务管理办法(征求意见稿)》、与人脸识别技术相关的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》。随着先进科技日新月异的发展,国家立法进程也加快了脚步,数据合规所合之规日益清晰和充实。
数据法规存在普遍的法律滞后性的问题,这主要体现在新的社会现象、技术难题出现后,立法者才对其中产生的法律关系加以规范。换言之,数据合规往往和企业所处行业息息相关,可以说数据合规是行业导向、技术导向的。行业导向方面举个例子,《数据出境管理评估办法》规定需要进行出境评估的数据包括重要数据,而重要数据的界定由具体行业规定明确。在汽车行业,《汽车数据安全管理若干规定》明确“军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据、车辆流量、物流等反映经济运行情况的数据、汽车充电网的运行数据、包含人脸信息、车牌信息等的车外视频、图像数据、涉及个人信息主体超过10万人的个人信息等数据”属于重要数据。
技术导向除了体现在针对具体技术出台的法律(如《生成式人工智能服务管理办法(征求意见稿)》),还体现在特定技术的强制性国家标准是数据合规需要考量的因素。虽说在国内即使是强制性国家标准严格意义上也不属于法律,即违背某个标准本身不会承担法律后果,但是违背了某技术标准导致违背了《中华人民共和国标准化法》就需要承担相应法律责任。在海外,部分地区的标准如欧盟汽车标准法规体系(ECE)向技术标准赋予法律强制力,作为市场准入的标准,因此在数据跨境传输时也需要考虑相关技术标准。
从国际趋势来看,近年各国纷纷出台数据安全法、个人信息保护法等法律,主要国家均在数据立法上有所布局,其中跨境传输作为敏感议题,主要在个人信息方面规定较多。2018年生效的欧盟《通用数据保护条例(GDPR)》作为世界上最严格的数据保护法案,成为各国立法所效仿借鉴的对象。
数据合规的重要性不容置疑,不论是合规审核认证、数字化办公产生的现实合规需求,还是反面关于数据不合规(Data Non-compliance)的处罚都在刺痛着企业的神经。北京时间5月22日下午据报道,爱尔兰数据保护委员会(DPC)对Facebook母公司Meta Platform罚款创纪录的12亿欧元(约合13亿美元),原因是非法向其美国服务器传输了欧盟用户的个人数据,这笔罚款创下欧盟的隐私罚款之最。
综上,数据合规的重要性不言自明,越来越多企业将其列为数字化转型的一大战略目标。合规路径上,除了关注国内外基本的数据法律,更需要符合具体行业的数据法规、技术标准。
二、 数据治理——合规之上的企业数字软实力
赛迪评估将数据合规与数据治理的关系比喻为“一体之两翼”。数据合规主要站在法律视角,重点解决各利益相关方的责任分配问题;而数据治理则主要站在应用角度,重点实现数据价值、解决数据战略需求。数据合规与数据治理互为表里,相辅相成。英国公司法也有类似概念,公司法主要解决法律责任分配问题,公司治理(主要指财务报告理事会 (FRC)《英国公司治理准则》)在应用实践层面保障公司得以良好运营。简言之,数据治理可以理解为数据管理,是最低标准的合规之上关于企业治理数据的一套体系。
这套数据治理体系的方法论离不开DCMM,DCMM是《数据管理能力成熟度评估模型》(GB/T 36073-2018)国家标准,英文名称Data management Capability Maturity Model。DCMM是我国首个数据管理领域正式发布的国家标准,旨在帮助企业利用先进的数据管理理念和方法,建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。
从DCMM标准来看,DCMM适用于所有企业;从实践角度来看,DCMM适用于数据拥有方、信息技术服务方两类企业,且贯标评估的侧重点有所不同。中国电子信息行业联合会秘书长高素梅认为“DCMM有效提升了企业的数据管理认识,提高了数据管理的落实和实施效率,有效增强了企业的数据管理能力,释放了企业数据价值。”
DCMM数据管理能力成熟度评估模型定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期8个核心能力域,细分为28个过程域和445项条款要求。
DCMM将数据管理能力成熟度划分为五个等级,自低向高依次为初始级(1级)、受管理级(2级)、稳健级(3级)、量化管理级(4级)和优化级(5级)不同等级代表企业数据管理和应用的成熟度水平不同。
国务院印发的《关于加快推进国有企业数字化转型工作的通知》明确指出了数据治理是企业数字化转型的必经之路。目前国家大力推进DCMM贯标工作,许多企业也在积极构建自身数字治理体系,为数字化转型夯实基础。
三、数据价值——合规治理之路指向何处
数据合规和数据治理最终服务于企业发展,对企业数字化转型和数字软实力的提升意义重大。然而我们需要回归初衷,思考合规治理之路指向何处?笔者认为数据合规、数据治理最终目的在于发挥数据价值,而非矫枉过正,为合规而作茧自缚。
2022年5月英国发布《数据改革法案》,用于改革英国现有的《通用数据保护条例》(GDPR)和《数据保护法案》(Data Protection Act)。发布法案的主要目的是寻求简化数据保护相关立法并减少繁文缛节,通过创建一种更灵活、以结果为中心的方法来减轻企业的负担,同时还引入了更明确的个人数据使用规则。凡事具有两面性,严格的数据保护制度在一定程度上保护了数据安全,但也对企业经营合规成本造成负担。平衡数据安全和数据自由流通的天平是立法者、政策制定者面临的课题,作为企业我们迫切面临的挑战是数据合规。在做到最低限度的合规、完善数据治理的体系后,我们的下一步思考便是如何进一步发挥数据的价值,让数据合规治理转化为企业的数字软实力,助力企业数字化转型。
作者介绍:
发表评论 取消回复