企业信息安全合规的挑战和应对
我们经常听到或者看到CEO,CFO这样的头衔,但我们很少看到CCO这样的头衔。CCO首席合规官。随着全球化的发展,尤其是数字经济的快速发展,各个国家逐渐加强了对企业在信息安全要求。
所谓合规从字面的意思不难理解是符合规定。其中的规定包括的主要是国家的法律和法规和相关的技术标准以及企业内部的规章制度。符合当地法律和技术标准成为一个企业进入当地市场的必要条件,任何违规的行为都会给企业的市场带来冲击。尤其是一些具有巨大品牌价值的公司,如果一旦出现不合规的行为,公司会受到监管部门的罚款.美国的NSA,中国的网络安全法和欧盟的GDPR通用数据保护条例的推出,都对企业尤其是全球化的企业提出了合规的新的挑战。比如欧盟的通用数据保护条例,如果违反相关条例将被罚款2000万欧元或者当年营业额的4%中两者取最高[1]。不仅市场份额会受到影响,更重要的是公司的品牌形象和公司声誉会受到严重打击。
企业在面对这些新规的挑战时往往经验不足或者心存侥幸。2019年1月,抖音因违反美国《儿童在线隐私保护法》被FTC处罚570万美元。2019年1月,CNIL以违反GDPR的同意规则为由,处罚谷歌5000万欧元。谷歌的主要违法行为是,未向用户提供透明和清晰的处理个人数据的方式,针对个性化广告未获得合法同意。国内的相关报道:新京报相关报道过度索取住客信息,华住酒店涉嫌侵犯隐私。华住集团旗下有的酒店要求住客使用微信扫码办理入住,实际上却是将住客变成自己的“会员”。事实上
一次的惩罚和曝光对公司不仅是经济损失,更重要的是声誉的受损。
由于合规工作在实际的企业运营管理中也会遭遇到各种各样的挑战和问题。从笔者的实际工作经验看主要有如下。
1企业应对合规工作的问题和挑战
1.1法律法规和技术标准具有各自区域的特点
法律法规和技术标准具有各自区域的特点。这一点不难理解,因为各国的法律和政策的目标的不一致,所以在相关的法律和条例以及技术标准都各有不同和偏重,这就给公司的相关合规工作带来比较大的难度。从公司管理和运营成本的角度,公司希望用一套统一方案解决所有问题,以降低成本,但在合规这部分工作却有其实际的难度。比如欧盟推出的通用数据保护条例-GDPR,更偏重于对个人敏感数据和隐私的保护。而中国的网络安全法,其生效于2017年6月相对较晚,但所覆盖的范围很宽。不仅包括个人的信息安全保护,更多的是和现有的大数据数据,网络领域的等级保护要求。例如:移动网络,物联网,云计算以及关键基础设施的相关保护要求。对于企业来说,为了符合相关的规定,就需要制定满足不同的需求,在内部评估的过程和偏重也不相同。这都给企业内部的管理流程带来不小的挑战。
1.2公司内部对合规工作的认识不统一
由于合规工作相关的标准和条例与公司的市场需求并不紧密甚至相背,无论从普通员工还是高级经理都有不重视不理解的情况。例如在大数据分析类的公司,从监管和保护的角度,个人数据的需要受到保护而大数据公司是希望更多获取相关的数据。对于普通的员工来说,相关的合规工作可能会带来工作上的繁琐,影响工作效率和原来的工作习惯。比如在高科技的跨国企业中,全球化的研发体系导致很多系统的问题需要跨国家解决,但如美国国家安全局(NSA)的要求,很多用户现场的数据是无法直接分享给一些国家的工程师分析的,中间需要对数据的关键内容进行加密加扰并且权限需要控制。公司内部为了应对相关要求,必须要开发一套内部的跨国数据交互的系统对数据进行加密和加扰。这无形中也增加了企业的运行成本和运营效率。
1.3相关合规检验标准不明确
由于相关的法律和条例是支撑相应技术标准的上位法,是技术标准的制定的主要依据。技术和标准的发展本身就是一个渐进的过程。很难短时间之内做到面面具备,而且相应的技术标准和测试规范也会受到起草人的水平和认知能力影响。而且从具体的执行层面看,国家标准很难照顾到方方面面的行业需求。如果没有行业标准作为支撑,会导致企业在准备内审和外审时,有时没有明确的要求。
1.4执行时难与日常管理经营工作的结合
由于合规工作很多情况下是”额外”的任务或者与公司主要业务关联不紧密,但合规的要求却是从开始到结束贯穿整个产品的管理流程,必须在各个流程的节点要有相关的检查和验证的手段。这都是对原有流程的影响,以及对相应人员的职责的扩展。可以说对公司原有的日常管理工作的影响比较大,增加相关人员的工作量,而且管理人员的知识库也需要因此而更新。这些都会相对带来一些抵触,毕竟这些变化打破了原有的流程和职责,改变了原有管理环境的舒适度。
2灵活与统一的应对合规管理方案
针对上述的问题其实也有多种方式来化解相应的问题。我在这里根据实践的经验介绍一些方法,为企业的相关管理工作提供参考。
2.1建立公司内部的统一合规标准
合规工作的内容和侧重虽有不同