查看原文
其他

德勤中国副主席蒋颖:企业把合规放在盈利之后反而将付出更大代价

蒋琳 隐私护卫队 2019-04-11

过去一年,个人信息保护领域热闹非凡。


从欧盟《一般数据保护条例》(GDPR)生效,到多国陆续出台个人信息保护的相关立法,再到用户个人信息泄露事件的频发,政府和公众对个人信息保护的关注度在全球范围内持续升温。


差异巨大的各国法律法规,在合规方面给企业全球化制造了不少障碍;如何平衡个人信息保护和用户数据的收集、使用,也让企业面临挑战。


全国政协委员、德勤中国副主席蒋颖敏锐地观察到了这个趋势,并据此提出了《关于推进国际间个人信息保护规则充分认可的提案》。


全国政协委员、德勤中国副主席蒋颖。图/卫迎


在接受南都记者专访时,她提出,中国需要建立一个针对个人信息保护的组织,来统一和协同国内外的法律法规。她透露,德勤将在今年发布一份亚太区隐私保护趋势的调研报告,中国过去两年内在个人信息保护方面的进展也将被纳入其中。


1

提案

建立统一的个人信息保护组织


南都:过去一年,德勤发布的网络趋势、人工智能、移动消费等多领域的调查报告里,都无一例外提到了隐私保护。这代表了什么趋势?


蒋颖:的确,现在我们任何的报告,不管是工业4.0、5G发展也好,新经济、新零售也好,还是智能化转型也好,都会提到网络安全和信息保护的内容。我觉得,这是一道“必答题”。


现在个人的信息保护意识在不断增强,但企业的动作还没有跟上,因为个人信息保护不仅是个复杂的问题,还会增加企业的运营成本。但我们2017年调研亚太地区的时候,一些国家的消费者表示,愿意牺牲一些便利来换取个人信息的安全性。


我觉得这个观察蛮有意思的,可能可以帮助企业在设计产品时找到一个平衡,而不单单只是从便利的角度出发。所以,我希望个人信息保护能成为企业核心竞争力的一部分、企业文化的一部分,以及企业自律的一部分。


南都:你今年提出了《关于推进国际间个人信息保护规则充分认可的提案》。请简单介绍一下?


蒋颖:在国际层面,欧盟、美国、日本等国家和地区都出台了个人信息保护相关的法律法规;在国内,网络安全法实施以后,个人信息保护法和数据安全法也被列入了本届全国人大常委会的立法规划,这方面的标准也在不断制定当中,所以关注度一直很高。


对于进入中国的企业来讲,中国很多个人信息保护相关的规定都散落在各种法律法规当中,内容也停留在相对原则性的层面,有些标准还只是建议性、而不是强制性的。所以,如何真正地规范和保护“走进来”的企业,还是有些挑战。


更重要的是“走出去”的中国企业。GDPR的规定是非常广泛和严格的,跟国内的法规差别也很大,像“被遗忘权”这样的概念在中国还没有被清晰地提出来。即使技术上能做到合规,也需要付出极高的成本,而违规成本同样很高。在目前数据跨境流动几乎不可避免的情况下,企业全球化会面临很大挑战。


南都:怎样才能从政府层面有效地降低企业合规成本?


蒋颖:一个中国企业想做合规,需要一套完整的企业内控系统和管理制度去顺应国内外的法律法规,我觉得是挺难的。


所以我建议中国建立一个针对个人信息保护的组织,不管是委员会还是其他形式,能够统一和协同现在法律法规当中关于个人信息保护的很多规则,既对企业合规更有针对性,也更便于监管。


同时,还可以利用这个组织跟国外机构加强互动,参与到国际规则的制定过程当中,让我们的法律法规跟国外已经建立起来的法律法规实现互认,在立法过程中适当地借鉴参考,提升包容性,使跨境数据可以在一个相对无间、无阻的安全区域里面传输。这样既减少了企业的合规成本,又增加了国际竞争力。



2

合规

企业把合规放在盈利之后将付出更大代价


南都:个人信息保护意识的提升这一点在德勤的咨询业务中有所体现吗?


蒋颖:有,德勤在个人信息保护合规方面的业务量每年都以20%-30%的速率增长。


现在很多企业,特别是传统企业,都在做数字化转型,那就势必要对数据加以利用。我们这几年力推的解决方案里,都会把网络安全和信息保护考虑进来,希望尽早让企业适应这样的常态化运作。


虽然客户不一定刚开始就愿意花大成本买下全套方案,但他必须要对如何保护收集到的信息、尤其是用户个人信息的安全有所了解,而不仅仅拘泥于把线下的东西变成线上。现在企业常常把合规的重要性放在盈利之后,其实这样可能反而要付出更大的代价。作为运营中不可或缺的一部分,合规成本是不能省的。


南都:在合规GDPR等国外法律法规上,企业最需要帮助的地方有哪些?


蒋颖:企业需要的帮助大致分为两种情况:第一种是很多企业在“撞南墙”之前不愿意花费成本去做合规,结果出事了,这时就要帮它“修补”;第二种是帮企业进行诊断评估,然后弥补差距,这个差距可能存在于企业内部的管理制度,也可能存在于系统或技术上,比如实现GDPR里的“被遗忘权”,就需要复杂的算法支撑。


举个例子:现在中国互联网企业的盈利模式之一是精准推送,通过分析用户的行为、地理位置和个人资料向其推送个性化内容,这里面往往有不正当使用用户个人信息的情况发生。有没有可能通过一个复杂的建模,对个人信息去标识化、匿名化之后,依然可以达到企业精准推送的需要?


总的来说,我们的最终目的还是让企业做它该做的事情,不能永远依赖外部帮助。所以有一项工作我们一直在做,就是希望引导企业建立一个完善的管理体系,能够起到风险控制的作用。


南都:各个国家的法律法规都具有一定差异性,企业怎样才能遵守国家间差异巨大的隐私保护要求?


蒋颖:其实我们接到过很多这类项目。前段时间有一个中国的企业,它在20多个国家有业务,必然涉及到数据跨境传输。所以我们搭建的团队基本上就是一个“联合国”,虽然方法论相似,但是评估的内容每个地方都不一样,建议也因地制宜。


但从整体上看,考虑到合规成本,最终还是要回归到怎么能够求同存异地让企业找到最优的、最有效率的合规状态。当然,最理想的情况还是建立一套能够适应最高标准的内控体系,但企业肯定是从最紧急、最大规模的地方开始,然后慢慢地、分步地去调试和执行,才能最终达到理想状态。



3

现状

有些企业不重视“数据不是你的”这个概念


南都:据你观察,目前中国企业的个人信息保护合规状况怎么样?


蒋颖:现在越来越多的App会弹出用户协议和隐私政策,说明企业对个人信息保护越来越重视,不过一定程度上企业的负担也会越来越重。因为企业为了给用户提供更多便利,必然会收集更多数据,一方面要保护、不能侵犯,另一方面又要使用、让数据产生价值。这里面存在着无限的机会和挑战。


企业要实现可持续发展,又要适应愈发严格的监管,就必须主动合规,提升自律意识。如果企业能把个人信息保护当成核心竞争力之一,刻在公司文化的DNA里面,就肯定会花时间花精力在这上面,再加上外力的倒逼,对我们大众来说,绝对是件好事。


南都:为了适应公众不断提升的个人信息保护意识,企业需要改善哪些方面?


蒋颖:我觉得大中型企业要长久经营下去,一般来说都会主动合规;更需要关注的是那些小企业,只有用严惩去倒逼,才可能有动力合规。但现实情况往往是,碰到信息泄露或者个人隐私被侵犯的问题,个人没有足够的毅力和精力去起诉这些小企业,造成个人的自我保护意识在提升,但常常觉得无能为力的尴尬局面。


我倒不认为它们是技术上落后,主要还是整个的管理机制和流程设计没有做到位。像“数据不是你的”这个概念,有些企业可能未必很重视。


我有一个朋友,非常注重保护自己的个人信息,会根据目的使用专门的电话卡和银行卡,出门得带三台手机。要不要像他一样用这种方式保护自己的个人信息,我觉得是每个人的判断,但企业绝对不能放任不管。



    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存