版權聲明:本文版權歸文章作者所有,僅代表作者觀點,本文不用於商業用途,僅為學習交流之用,如文中的內容、圖片、音頻、視頻等如有侵權,請及時聯系本站站長刪除。
本文來源於微信公眾號【德賽法務】?
數字經濟大行其道,數據作為企業的重要資產,愈發顯現其戰略價值。疫情催生常規化的線上辦公形態,數字化、無紙化的理念早已融入日常工作,其中產生越來越多的數據也向企業發出亟需數據合規治理的信號。隨著國家頒布《數據安全法》、《網絡安全法》、《個人信息保護法》等法律,數據合規基準逐步清晰,合規課題被提上議程,許多企業甚至開始進行從數據合規到數據治理的轉變。本文將從數據合規和數據治理兩個角度,介紹提升企業數據治理能力的重要性和主要路徑,讓數據合規治理賦能企業數字化轉型。
一、數據合規——數字時代的企業合規基石
2017年以來,國家網信辦、工信部、公安部、標委會等機關陸續發布了一系列與網絡安全、個人信息安全和數據保護相關的法律法規和國家標準。以法律層級來看,目前數據合規法律體系的三大支柱是《數據安全法》、《網絡安全法》和《個人信息保護法》,它們分別從不同側重點規範數據,共同搭建起數字經濟的“生態保護系統”。除了具有普適性的三大支柱法律,與行業和科技維度緊密相關的數據法規也層出不窮。比如與人工智能相關的《生成式人工智能服務管理辦法(征求意見稿)》、與人臉識別技術相關的《最高人民法院關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若幹問題的規定》。隨著先進科技日新月異的發展,國家立法進程也加快了腳步,數據合規所合之規日益清晰和充實。
數據法規存在普遍的法律滯後性的問題,這主要體現在新的社會現象、技術難題出現後,立法者才對其中產生的法律關系加以規範。換言之,數據合規往往和企業所處行業息息相關,可以說數據合規是行業導向、技術導向的。行業導向方面舉個例子,《數據出境管理評估辦法》規定需要進行出境評估的數據包括重要數據,而重要數據的界定由具體行業規定明確。在汽車行業,《汽車數據安全管理若幹規定》明確“軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量、車輛流量等數據、車輛流量、物流等反映經濟運行情況的數據、汽車充電網的運行數據、包含人臉信息、車牌信息等的車外視頻、圖像數據、涉及個人信息主體超過10萬人的個人信息等數據”屬於重要數據。
技術導向除了體現在針對具體技術出臺的法律(如《生成式人工智能服務管理辦法(征求意見稿)》),還體現在特定技術的強制性國家標準是數據合規需要考量的因素。雖說在國內即使是強制性國家標準嚴格意義上也不屬於法律,即違背某個標準本身不會承擔法律後果,但是違背了某技術標準導致違背了《中華人民共和國標準化法》就需要承擔相應法律責任。在海外,部分地區的標準如歐盟汽車標準法規體系(ECE)向技術標準賦予法律強制力,作為市場準入的標準,因此在數據跨境傳輸時也需要考慮相關技術標準。
從國際趨勢來看,近年各國紛紛出臺數據安全法、個人信息保護法等法律,主要國家均在數據立法上有所布局,其中跨境傳輸作為敏感議題,主要在個人信息方面規定較多。2018年生效的歐盟《通用數據保護條例(GDPR)》作為世界上最嚴格的數據保護法案,成為各國立法所效仿借鑒的對象。
數據合規的重要性不容置疑,不論是合規審核認證、數字化辦公產生的現實合規需求,還是反面關於數據不合規(Data Non-compliance)的處罰都在刺痛著企業的神經。北京時間5月22日下午據報道,愛爾蘭數據保護委員會(DPC)對Facebook母公司Meta Platform罰款創紀錄的12億歐元(約合13億美元),原因是非法向其美國服務器傳輸了歐盟用戶的個人數據,這筆罰款創下歐盟的隱私罰款之最。
綜上,數據合規的重要性不言自明,越來越多企業將其列為數字化轉型的一大戰略目標。合規路徑上,除了關注國內外基本的數據法律,更需要符合具體行業的數據法規、技術標準。
二、?數據治理——合規之上的企業數字軟實力
賽迪評估將數據合規與數據治理的關系比喻為“一體之兩翼”。數據合規主要站在法律視角,重點解決各利益相關方的責任分配問題;而數據治理則主要站在應用角度,重點實現數據價值、解決數據戰略需求。數據合規與數據治理互為表裡,相輔相成。英國公司法也有類似概念,公司法主要解決法律責任分配問題,公司治理(主要指財務報告理事會 (FRC)《英國公司治理準則》)在應用實踐層面保障公司得以良好運營。簡言之,數據治理可以理解為數據管理,是最低標準的合規之上關於企業治理數據的一套體系。
這套數據治理體系的方法論離不開DCMM,DCMM是《數據管理能力成熟度評估模型》(GB/T 36073-2018)國家標準,英文名稱Data management Capability Maturity Model。DCMM是我國首個數據管理領域正式發布的國家標準,旨在幫助企業利用先進的數據管理理念和方法,建立和評價自身數據管理能力,持續完善數據管理組織、程序和制度,充分發揮數據在促進企業向信息化、數字化、智能化發展方面的價值。
從DCMM標準來看,DCMM適用於所有企業;從實踐角度來看,DCMM適用於數據擁有方、信息技術服務方兩類企業,且貫標評估的側重點有所不同。中國電子信息行業聯合會秘書長高素梅認為“DCMM有效提升了企業的數據管理認識,提高了數據管理的落實和實施效率,有效增強了企業的數據管理能力,釋放了企業數據價值。”
DCMM數據管理能力成熟度評估模型定義了數據戰略、數據治理、數據架構、數據應用、數據安全、數據質量、數據標準和數據生存周期8個核心能力域,細分為28個過程域和445項條款要求。
DCMM將數據管理能力成熟度劃分為五個等級,自低向高依次為初始級(1級)、受管理級(2級)、穩健級(3級)、量化管理級(4級)和優化級(5級)不同等級代表企業數據管理和應用的成熟度水平不同。
國務院印發的《關於加快推進國有企業數字化轉型工作的通知》明確指出了數據治理是企業數字化轉型的必經之路。目前國家大力推進DCMM貫標工作,許多企業也在積極構建自身數字治理體系,為數字化轉型夯實基礎。
三、數據價值——合規治理之路指向何處
數據合規和數據治理最終服務於企業發展,對企業數字化轉型和數字軟實力的提升意義重大。然而我們需要回歸初衷,思考合規治理之路指向何處?筆者認為數據合規、數據治理最終目的在於發揮數據價值,而非矯枉過正,為合規而作繭自縛。
2022年5月英國發布《數據改革法案》,用於改革英國現有的《通用數據保護條例》(GDPR)和《數據保護法案》(Data Protection Act)。發布法案的主要目的是尋求簡化數據保護相關立法並減少繁文缛節,通過創建一種更靈活、以結果為中心的方法來減輕企業的負擔,同時還引入了更明確的個人數據使用規則。凡事具有兩面性,嚴格的數據保護制度在一定程度上保護了數據安全,但也對企業經營合規成本造成負擔。平衡數據安全和數據自由流通的天平是立法者、政策制定者面臨的課題,作為企業我們迫切面臨的挑戰是數據合規。在做到最低限度的合規、完善數據治理的體系後,我們的下一步思考便是如何進一步發揮數據的價值,讓數據合規治理轉化為企業的數字軟實力,助力企業數字化轉型。
作者介紹: