自2021年起,我国数据法律法规迎来了密集发布期。2021年11月1日,《个人信息保护法》即将实施。此前《数据安全法》在2021年9月1日正式实行,加上2017年6月1日生效的《网络安全法》,我国数据安全保护的三驾马车已正式成型。但我国数据安全保护相关法律法规远远不止这三部,行业监管部门、各级和各地政府机构都相继发布了诸多法规政策等,这无疑把首席信息官(CIO)推到了“首席数字合规官”的风口。
所谓首席合规官,原指专门负责审查公司内部合规问题的负责人。在一些监管严格的行业例如金融领域,历来有国际注册合规师认证。随着近年来数字经济的快速崛起,世界各国都集中发布了多种数据安全及隐私保护相关的法律法规和行政管理条例,例如欧盟《通用数据保护条例》(GDPR)。在数字经济时代,企业的业务与IT合而为一,因此数据安全合规与企业信息与数字系统呈高度相关性。层出不穷的数据法律法规不仅极大拓宽了CIO的责任范围,更让CIO们兼具“首席数字合规官”的职责。
在第四届进博会召开之际,中国在大力推进服务贸易特别是数字服务贸易进出口的同时,也对中国企业出海以及国际企业入华提出了更高的要求。如何满足日益复杂的数据安全合规要求,同时顺利推进数字服务贸易的进出海?微软与合作伙伴硕软(SoftwareONE)一起推出了针对企业出海入华一站式合规咨询服务与数据安全保护解决方案,帮助CIO们胜任数字经济的新挑战。
数据合规、刻不容缓
早在2020年4月,中央就发布了文件,将数据定义为一种新型生产要素,与土地、劳动力、资本、技术等传统要素并列。而数据作为新型生产要素,只有在流动、分享、加工处理中才能创造价值。
因此,一方面要让数据安全地流动起来,另一方面要加强安全管理,鼓励合规应用,促进创新和数字经济发展,实现商业和公共利益最大化。目前,数据的治理规则正处于探索阶段,属于数字经济给全球治理提出的新课题、新挑战、新要求。
当前,中国已经形成围绕数据安全的法律法规体系。在法律层面,有《数据安全法》《网络安全法》《个人信息保护法》《民法典》等;在司法解释层面,有最高法和最高检的相关解释;在标准、规范和指南方面,有《金融信息服务管理规定》《个人信息安全规范》《信息安全技术大数据安全管理指南》《关键信息基础设施安全保护条例》等。
当前中国形成了核心的数据安全保护法律体系,但也存在不足,包括部分定义模糊、多头执法以及缺乏统一的数据保护机构等。因此企业在应对现有数据合规要求的同时,需要不断学习和了解各种实际案例,同时还要前瞻性布局能应对未来挑战的新规章制度。
数据安全合规:是挑战也是机遇
作为企业的首席信息官,CIO要对企业的数字战略和业务战略负责,更要从数据流动的角度审视企业所处的政策环境,提前对企业的信息化与数字化架构以及落地的数字化工具和应用等做出预判,规避数据安全风险、降低企业的数据安全合规成本、协助业务的顺利开展。
无论是外企入华还是中企出海都面临着四大挑战:全球化管理与本地化运营、复杂的数据环境与安全威胁、数字服务与产品销售的供应链安全以及遵守本地的法律法规和应对监管。在云时代,安全和合规与企业的数字业务甚至是主营业务息息相关,一定程度上决定了企业上云的技术架构和应用部署。接触、储存、处理客户数据或个人信息的行为等都是安全合规问题,需要采取恰当的措施确保安全,预防数据泄露、安全事件等风险。
特别是在中国市场,数据安全法律体系不断完善和严格,对企业的合规要求不断提高,企业合规成本越来越高。目前全球已有 100多个国家和地区制定了数据安全、隐私保护方面的法律,中国、欧洲和美国位列数据安全保护较严格、处罚较重的国家之列。
当然,在另一方面,安全合规对企业的社会声誉至关重要,重视合规、增加安全和保护隐私可以为企业带来良好的社会声誉,实现业务的可持续发展。特别是安全合规的企业IT架构和系统,可以让企业少走弯路、减少内外部摩擦,在未来竞争中比不重视安全合规的企业更容易胜出。
端到端的数据安全合规解决方案
微软智能云Azure以及生产力云Microsoft 365等一直是外企入华以及中企出海的重要数字平台之一,目前有超过90%的全球“财富500强”企业都在采用微软云服务。微软Azure为客户提供了各种安全保障和合规认证,微软在全球运营的Azure已全面支持GDPR,在中国市场由世纪互联运营的Microsoft Azure同样已经支持响应GDPR要求的数据主题请求(DSR),并通过了中国“可信云”认证和网络安全等级保护三级测评。
硕软总部位于瑞士,拥有30多年为企业客户提供端到端软件和云服务解决方案的经验,覆盖全球90多个国家和150个地区。一直以来,硕软也是微软全球和中国的重要合作伙伴,不仅是微软Azure Expert MSP和金牌合作伙伴,同时还涵盖Azure和M365多项认证服务资质,持续帮助客户将关键工作内容迁移上云,实现应用程序现代化,以及优化客户软件许可和云服务资产管理,全方位助力企业客户拥抱数字化转型。
自2007年进入中国市场以来,硕软不断迭代和升级其面向本地和海外的服务能力。硕软专业的法律团队和国内外的法律资源,能为国内外企业客户提供数字业务安全合规法律咨询,包括数据安全风险评估、制定安全合规政策和流程、提供数字化转型的合规解决方案等。基于咨询服务的交付成果,硕软可以落地和执行安全合规方案,并借助微软的云平台,帮助客户选用和配置最适合的微软云服务以及安全工具。在安全合规方案实施完成后,硕软还可以长期帮助客户不断审查和迭代、调整与增加新的安全合规能力。
硕软不仅能够提供安全合规咨询,还具备数字化架构和系统实施能力。在硕软,超过90%的工程师已经通过微软安全认证(SC200-SC400),能帮助企业在数字化转型中进行IT架构规划、系统迁移上云、实施部署服务、应用程序现代化,并能提供覆盖全球和本地支持的13种语言7*24小时托管服务和技术支持,为外企入华和中企出海提供全球化的安全合规覆盖,满足了当下中国在全球服务贸易中的新诉求。
具体来看,微软与硕软是如何帮助企业应对数据安全合规挑战的呢?例如国内业界领先的某供应链智能机器人解决方案提供商,其60%客户位于欧洲和美国地区,因此该公司的解决方案需要满足欧洲GDPR和美国CCFA的个人隐私保护条例要求,尤其是对数据安全的保护要求。为此,该公司选择了微软公有云Azure+硕软数据安全合规咨询+硕软未来数据中心服务,从基础设施(Azure保障)、业务系统(基于硕软咨询进行改造)、长期运营(持续业务组织流程和硕软服务)的三个层面,提供了满足欧洲和美国地区数据合规要求的解决方案。
总结而言:以进博会为代表,中国在全球产品和服务贸易中正在谋求新定位、新格局、新篇章,开放合作是长期主题。而在另一方面,全球各国都在加强数据安全与保护的立法,出台各种相关的法律法规和行业管理条例,这为企业的全球化和本地化提出了新挑战。而在数字经济时代,这些挑战都落到了CIO的肩上。微软与合作伙伴硕软的合作,为解决CIO在数字经济时代的挑战,提供了一个新范例、新样本,为日益复杂数据政策环境中的CIO找到了一条从容发展之路。
抢沙发
