取消
清空記錄
曆史記錄
清空記錄
曆史記錄
随着計算機和(hé)互聯網的(de)廣泛應用,人類産生、創造的(de)數據量呈爆炸式增長(cháng)。中國,已成為(wèi)全球數據總量最大,數據類型最豐富的(de)國家之一(yī)。數據,作為(wèi)國家基礎性戰略資源,是數據産業的(de)核心和(hé)命脈。随着數字化、智能化技術的(de)蓬勃發展,無論是傳統行業還是新興産業,都不可(kě)避免需要關注數據合規問題。從設計到生産,從運維到管理(lǐ),數據正在驅動各個行業向前發展,助力企業提質增效,實現轉型升級,數據正在重新定義各個行業的(de)未來。
面對如(rú)雨後春筍般大量數據的(de)湧現,數據保護和(hé)合規的(de)各種問題日益突出。我們于5月20日成功舉辦了線上主題分享會議。會議的(de)主題為(wèi)“數據時代,下一(yī)個爆點之研讨”。會議期間,我們随着國內(nèi)首批DPO數據保護安全專家、國內(nèi)數據安全合規先鋒人物張國榮老師一(yī)起對數據如(rú)何驅動企業數字化轉型,企業核心數據價值如(rú)何保護有了更多的(de)見解,也對企業如(rú)何滿足《數據安全法》合規的(de)要點,企業未來市值的(de)新增長(cháng)點是如(rú)何進行的(de)等等這些問題有了更深層次的(de)理(lǐ)解。會議主要圍繞以下四個主題展開讨論分享:
1.企業對于《數據安全法》合規要點,對各類數據相關法律法規和(hé)執行要素進行盤點
2.企業數字化轉型的(de)契機,從案例引申探讨數據驅動決策的(de)力量
3.研讀數據安全各類方案進行對企業核心數據價值的(de)保護的(de)探讨,
4.數據交易-企業未來市值的(de)新增長(cháng)點:關于數據資産交易,一(yī)個國家級戰略新方向。
在最終環節,張老師對于大家提問的(de)問題進行了合理(lǐ)的(de)解答。
讓我們來一(yī)起回顧一(yī)下會議的(de)主要內(nèi)容吧(ba)
首先我們先來講一(yī)下那個數據合規,我們從一(yī)個全局的(de)角度來看一(yī)下。首先是美國,美國是從2019年(nián)12月份就頒布了一(yī)個聯邦數據戰略,和(hé)2020年(nián)行動計劃。這個記載了美國以2020年(nián)為(wèi)起始點規劃的(de),美國政府未來十年(nián)的(de)數據願景、核心思想, 其實都是圍繞數據,還有以數據作為(wèi)戰略資源來進行開發,通過,确立一(yī)項這個數據的(de)基礎設施,和(hé)以标準的(de)實踐,來逐步的(de),建立一(yī)個強大的(de)數據治理(lǐ)能力,為(wèi)美國呢(ne),做(zuò)一(yī)個比較好的(de)一(yī)個安全保障,那麽2020年(nián)10月份呢(ne),美國國防,部又頒布了一(yī)個國防數據戰略。再來看一(yī)下歐盟,歐盟其實對我們來講有最大的(de)影響。在2018年(nián)5月份,歐盟就落地(dì)了GDPR數字法案,這個法案在全球的(de)數字戰略上面開啓了一(yī)個先鋒。歐盟建立數據平台的(de)基礎上面,實現數據,數據主權和(hé)技術主權,從而達到,數字經濟時代的(de)那個國家力的(de)競争,的(de)提升到2020年(nián)2月份,歐盟又頒布了數字戰略還有人工智能戰略的(de)一(yī)些法案,他們主要是在歐盟建立數據平台的(de)基礎上,實現數據、數據主權和(hé)技術主權,從而達到數字經濟時代國家競争力的(de)提升。随後在2022年(nián)的(de)3月份歐盟又頒布了《數據市場法》。最後面是英國,早在2020年(nián)9月份英國也頒布了相關的(de)一(yī)些國家的(de)數字戰略 ,其實也是想盡快的(de)戰略上占領數據的(de)這個高(gāo)地(dì),。歐盟和(hé)英國之間的(de)關系比較複雜。所以盡管歐盟和(hé)英國在地(dì)域上面比較接近,但是在數據法案上面來說,又完全沒有辦法打通。所以我們會看到,發達國家在數據這方面做(zuò)了很大的(de)工作。
反觀國內(nèi),我們國內(nèi)影響力比較大的(de)就是2017年(nián)6月1号,實行的(de)這個《網絡安全法》。《網絡安全法》影響是大家是有目共睹的(de)。自(zì)2021年(nián)9月份,還有2021年(nián)11月1号實行的(de)《數據安全法》和(hé)《個人信息保護法》。這兩個法律,所帶來的(de)影響會在這兩年(nián)慢慢的(de)凸顯出來。《中華人民共和(hé)國網絡安全法》要求企業承擔自(zì)身的(de)網絡安全責任,做(zuò)到建設和(hé)保護好企業自(zì)身的(de)網絡以阻止網絡層面的(de)危害發生,最重要的(de)配套機制就是《信息安全等級保護管理(lǐ)辦法》以及最近發布的(de)《關鍵信息基礎設施安全保護條例》該法案針對運營商類的(de)企業以及平台類企業和(hé)政府企事業産生較大面對影響。《中華人民共和(hé)國個人信息保護法》主要要求企業或組織(個人)在收集和(hé)處理(lǐ)個人信息時候需要保護個人隐私的(de)原則,該法律有很大一(yī)部分上是借見歐洲的(de)GDPR來進行編寫,簡稱中國版GDPR對金融、互聯網企業或者對to C業務的(de)企業的(de)影響相對較大,同時對企業或組織的(de)違法處罰力度市大大增加。
那麽對于《數據安全法》對企業還有組織所帶來的(de)影響會在哪些方面呢(ne)?
數據安全法總共有七個章(zhāng)節55條,這個相對《網絡安全法》要少,與《個人信息保護法》相比也是比較少的(de)。但是《數據安全法》涵蓋的(de)面是比較多。總共有七個章(zhāng)節。除了總則以外,就是數據安全與發展、數據安全制度,還有數據安全保護義務, 政務數據安全與開放,法律責任這五大闆塊。它處罰力度是從200萬元起,到1,000萬以下的(de)罰款。對直接責任人和(hé)主管人員,以及其他責任人也有一(yī)個個人的(de)罰款。這個罰款的(de)金額是從10萬到100萬之間。所以相比于其他法律《數據安全法》從組織責任上面來講,還落到個人的(de)相關責任。所以從這點上面來講, 大家如(rú)果是從事, 跟數據相關工作,以後慢慢的(de)都會成為(wèi)法律約束範圍。
另外《數據安全法》涉及的(de)行業範圍,要比《網絡安全法》或者《個人信息保護法》 涉及的(de)面更多一(yī)點。《數據安全法》涉及到工業、電信、交通,金融、自(zì)然資源, 衛生健康、教育,科技等部門,其實涵蓋了我們整個, 就是說工信部下面的(de)幾個大的(de)部門,他其實都已經涵蓋上了,所以對我們企業來講,基本上覆蓋的(de)面在90%以上了。另外一(yī)點,對于數據的(de)定義, 《數據安全法》也是做(zuò)的(de)非常詳細的(de)解釋。它定義了數據是任何電子(zǐ)數據和(hé)以任何方式對信息的(de)一(yī)個記錄。數據不僅僅是一(yī)個電子(zǐ)存檔,在電子(zǐ)數據以外,任何一(yī)個對信息的(de)記錄,都認為(wèi)是數據。這就廣義上解釋了數據的(de)定義。對于數據的(de)處理(lǐ), 包括數據的(de)收集,存儲使用,加工傳輸,提供,公開,操作環節,都作為(wèi)概念來進行定義了。數據安全,是指通過采取必要的(de)措施,确保數據處于有效的(de)保護,和(hé)合法的(de)使用狀态,以及具備保障持續安全狀态的(de)能力。要注意點就是最後一(yī)句 ,就是具備保障持續安全狀态的(de)能力,這就意味着數據安全不是做(zuò)完一(yī)次性的(de)保護就結束了,在法律其實會要求你持續不斷地(dì)進行數據保護。再來看一(yī)下數據安全制度,首先要求就是建立數據分類分級的(de)保護制度。
根據數據在經濟, 社會發展中重要的(de)程度,以及一(yī)旦遭到篡改、破壞、洩露或者非法獲取、非法利用,對國家公共利益或個人, 組織合法權益造成危害程度的(de),對數據實行分類分級的(de)保護。另外對于數據的(de)出口,數據的(de)監管,尤其是涉及到數據跨境業務的(de),是有特别要求的(de)。另外對于數據安全保護義務 ,這個和(hé)《網絡安全法》一(yī)樣,就是重要數據的(de)處理(lǐ)者,應當明确數據安全責任人, 和(hé)管理(lǐ)機構落實數據安全保護責任。對于開展數據處理(lǐ)活動,應當加強,風險監測,發現數據安全缺失,漏洞等風險時應當立即采取補救措施,發生數據安全時,應當立即采取處置措施,按照規定及時報告用戶,并向有關部門進行報告。這個跟GDPR的(de)內(nèi)容比較相似。就是說作為(wèi)一(yī)個數據控制者,對數據進行處理(lǐ)的(de)時候,要對相關的(de)風險進行把控,同時也要有相關的(de)補救措施,同時還需要相關的(de)彙報措施。任何組織個人收集數據應該采取合法的(de)、正當的(de)方式,不得竊取或者,以其他方式獲得數據。另外還有法律,行政法規對收集使用數據的(de)目的(de),範圍 有規定。應當在法律行政, 法規規定的(de)目的(de),和(hé)範圍內(nèi)進行收集和(hé)使用數據。
對于企業數據合規,首先第一(yī)個就是要依照行業的(de)标準,或者國家的(de)标準,對企業所掌握的(de),數據進行分類分級,對有的(de)大的(de)企業來說,已經是一(yī)個比較大的(de)一(yī)個工作量了。完成數據分類分級後,要制定對應的(de)保護措施,就是履行數據保護的(de)義務。保護完了以後就是設立數據保護觀,建設數據保護制度。按照法律方面來講,就是設立數據的(de)責任人,那麽對于企業一(yī)把手來講 ,或者是法人來講,這是非常好的(de)一(yī)個責任外放過程。所以,不想擔責任的(de)法人,或者是企業的(de)管理(lǐ)人員,就可(kě)以把數據保護官給設立起來。這樣的(de)話至少在有些時候,他能幫你分擔數據安全方面的(de)風險。另外就是要定期開展數據處理(lǐ), 還有安全評估活動。對于數據保護評定,其實和(hé), 之前《網絡安全法》出來以後,需要做(zuò)等級保護一(yī)樣,做(zuò)完數據保護評定後,就是持續的(de)監測安全風險。這個就是我們講的(de)日常運維。
第二個模塊數據驅動決策。近兩年(nián)除了數據合規,我們聽的(de)也比較多的(de),就是數據的(de)驅動決策 ,包括數字化轉型,包括數據治理(lǐ),包括數據可(kě)視(shì)化等等。我們對數據的(de)理(lǐ)解,就是數據可(kě)以反映到實際的(de)問題上面去(qù),能非常快的(de)解決實際的(de)問題。所有的(de)決策 ,包括處理(lǐ)的(de)問題都是依據數據,而不是說簡單的(de)把問題上報上去(qù),報給領導,然後讓領導決定。還有就算是對于數據的(de)精細化管控,對于整個團隊來說可(kě)以由多個緯度,來将數據作為(wèi)支撐。數據作為(wèi)決策的(de)支撐。另外一(yī)點,整個團隊,良好的(de)數據管理(lǐ)能力可(kě)以使得企業在整個的(de)組織管理(lǐ)程度上面來講,是扁平化很多。最後一(yī)點是一(yī)個良好的(de)數據架構師,還有一(yī)個數據處理(lǐ)團隊,來幫他解決這些問題,通過好的(de)數據管理(lǐ)能力,可(kě)以衍生出來很多的(de)新的(de)商業機會,那麽這點其實在很多案例裏面都可(kě)以找到。
對一(yī)個企業來講,企業的(de)目标定是什麽,那麽我們就采取什麽過程,也就是說如(rú)果企業以數據合規為(wèi)目标,那麽做(zuò)數據治理(lǐ)過程當中,可(kě)能就是做(zuò)一(yī)個數據分類分級,數據評估等;如(rú)果是以數字化轉型為(wèi)目标,那能數據合規是一(yī)個過程,包括數據治理(lǐ)的(de)過程等。
為(wèi)什麽要講這個數字化轉型?數字化轉型其實提了好多年(nián),但是真正成功的(de)非常少,原因就是這個願景非常高(gāo),很少有企業能一(yī)下子(zǐ)達到這麽高(gāo)的(de)一(yī)個高(gāo)度,相反來講對很多企業的(de)管理(lǐ)層來說。數據合規 ,就是數據安全法的(de)落地(dì),其實是對企業來講, 數據安全法合規就是一(yī)個數字化轉型的(de)一(yī)個契機。如(rú)果企業前幾年(nián)沒有做(zuò)一(yī)個很好的(de)數據分類分級,或者對基礎數據,或者對企業的(de)數據上沒有很好的(de)一(yī)個管理(lǐ),企業很難達到數字化轉型目标。如(rú)果實際的(de)操作的(de)話,可(kě)以從小的(de)目标開始,數據合規先去(qù)做(zuò),那麽這樣的(de)話,在組織當中來推進這個工作呢(ne),會相對來說比較容易一(yī)些。就比如(rú)說,企業先以數據合規作為(wèi)目标來推進,當組織對數據的(de)分類分級,還有整個處理(lǐ)過程了解完以後,那麽企業可(kě)以很輕松的(de)在數據分類分級的(de)結果上面去(qù)做(zuò)一(yī)些數據的(de)洞察,還有做(zuò)一(yī)些數據的(de)轉型,然後,可(kě)以幫助企業來做(zuò)到數字化轉型。那麽其中在這個過程當中,我們可(kě)以用到很多方法,就比如(rú),數據可(kě)視(shì)化、數據防洩露,這些小的(de)技術可(kě)以慢慢的(de)帶進去(qù)。
企業的(de)管理(lǐ)人員設立願景的(de)時候要結合企業的(de)綜合能力,還有企業文化,還有技術基礎,組織領導力。企業文化,組織架構調整要循序漸進,減少組織變革帶來的(de)阻力。那麽另外越龐大的(de)組織,在數據變革當中,所帶的(de)阻力也會比較大,所以有些時候從關鍵性的(de)數據流,和(hé)核心數據部門推動,可(kě)以做(zuò)到四兩撥千斤的(de)一(yī)些效果。對于數據決策為(wèi)目标的(de)傳統企業,實現過程就是重塑企業的(de)過程,這個牽涉到的(de)部門可(kě)以是整個公司,那麽需要提前做(zuò)到動員。
第三模塊是講數據安全,那麽數據安全為(wèi)什麽要做(zuò)好?其實數據,已經成為(wèi)企業的(de)資産的(de)一(yī)個部分。比如(rú)傳統企業的(de)資産包括企業的(de)廠房、車輛、辦公用品、機械、交通工具、現金。傳統企業的(de)資産價值在财務報表上面來反映。那我們其實叫這類為(wèi)實體資産。我們現在講數據資産,就比如(rú)說網站名像 google 的(de)這個域名和(hé)其帶來的(de)品牌效應鬧得比較沸沸揚揚的(de)網紅(hóng)李子(zǐ)琪事件,個人IP現在也是有價值的(de)資産。可(kě)以看到企業的(de)數據資産,其實對企業的(de)價值及影響會比較大。那麽我們現代企業的(de)數據資産,就包括什麽呢(ne)?包括業務數據、網絡訪問量、還有數字化媒體這些産權等等。那麽,大家都知道(dào)巴菲特以前一(yī)直秉承不投資高(gāo)科技股票(piào),其原因是什麽呢(ne),就是因為(wèi)他,基于傳統的(de)财務報表,來解讀企業的(de)價值,所以他就慢慢的(de)跟世界市場脫鈎了。
其實資産不僅僅反應在财務報表裏,甚至比如(rú)網絡訪問量也是價值,這個其實大家很會很明顯的(de)有感受。這兩年(nián)就是我們講抖音的(de)流量,這些都是直接可(kě)以拿,市場的(de)價值來進行衡量的(de),這裏有一(yī)張調研圖,這張圖是2022年(nián)一(yī)季度 ,世界十大市值最高(gāo)的(de)公司的(de)排名。第一(yī)個蘋果,第二名微軟,這兩年(nián)微軟的(de)收入能提高(gāo)的(de)原因 ,他其實走了一(yī)項變革,就是微軟最賣錢的(de)這個産品是 office 系列,從前幾年(nián)前的(de)office,已經開始走了訂閱模式。這訂閱模式就是走的(de)一(yī)個市場數字化的(de)一(yī)個轉型。産品走向訂閱的(de)一(yī)個服務模式,這種模式下,企業跟用戶的(de)綁定粘合度會更高(gāo)而且,企業對這個市場的(de)數據的(de)掌握程度也會更高(gāo)效一(yī)些。所以微軟,現在從傳統的(de)一(yī)個軟件公司,轉變成一(yī)項數據服務的(de)提供公司,而且他未來的(de)轉變程度會越來越大。第三名是是沙特阿美,做(zuò)能源的(de)一(yī)個公司。第四名是Alphabet,這個是大名鼎鼎的(de)google 的(de)母公司,是一(yī)家科技類的(de)巨頭公司。第五名亞馬遜,它掌握着海量的(de)數據,還有它有很多這種雲科技。那麽第六名 Tesla是成立公司到上榜最快的(de)一(yī)家公司。Tesla 在自(zì)動駕駛上面走的(de)科技路線 ,包括它收集的(de)數據,包括在自(zì)己的(de)這個芯片上面,對數據的(de)處理(lǐ),包括它在自(zì)動化駕駛上面學(xué)習,收集的(de)數據。後面就不說了,總之數據對于越來越多的(de)企業已經成為(wèi)核心資産了。
企業的(de)數據資作為(wèi)一(yī)個資産,那麽我們對企業的(de)這個資産怎麽保護呢(ne),就又要回歸到網絡安全和(hé)數據安全這個方面來講了。網絡安全和(hé)數據安全可(kě)以有很多解決方案。比如(rú)深度防禦的(de)一(yī)個架構模型,這個裏面就包括邊緣防護, 內(nèi)網防護和(hé)終端防護,還有安全情報,那麽,這個就是我們終身防護的(de)一(yī)個防護體系。随着這個數據安全法的(de)落地(dì)以後,近兩年(nián),在數據防洩漏、DLP, 還有數據加密或者磁盤加密這一(yī)塊,還有MFA這一(yī)塊,都會有比較大的(de)需求量增長(cháng)。同樣對終端的(de)防護 ,還有對內(nèi)網的(de)數據審查往往也會帶來很大的(de)幫助。另外就是郵件網關,我們現在很多數據外發,當你打一(yī)個包加密,郵件就發出去(qù)了。公司的(de)核心的(de)數據可(kě)能就已經洩露出去(qù)了。所以在這些方面來說,做(zuò)好數據安全在這幾個環節上面來做(zuò), 是非常有幫助的(de),包括威脅情報,尤其是國內(nèi)現在販賣數據的(de)組織 ,越來越多。因為(wèi),販賣數據的(de)組織比較隐秘,不像這種傳統的(de)黑客。黑客可(kě)能把業務系統給搞壞掉,或者是造成不可(kě)用,這個是當即立顯的(de)能反映出來。但如(rú)果是偷數據, 企業可(kě)能完全是感知不到, 甚至是你還被蒙在鼓。所以在這個數據安全領域來說,它所帶來的(de)這個防護難度和(hé)壓力,要遠遠大于網絡安全這一(yī)塊。
最後一(yī)塊,就是數據交易模塊主題。關于數據交易和(hé)定價機制,通常來說,原始數據的(de)價值密度比較低(dī),不太可(kě)能拿出來做(zuò)交易,因為(wèi)拿出來做(zuò)交易的(de)話,存在侵犯隐私權的(de)風險。所以如(rú)果企業要拿數據,拿到市場上交易的(de),前提是企業對數據的(de)管控能力。中國電子(zǐ)商務通過,這幾年(nián)的(de)高(gāo)速發展,每年(nián)都産生了龐大的(de)數據,。很多企業通過大數據分析,為(wèi)企業決策提供科學(xué)依據,衆多企業把對數據資源的(de)争奪,上升到戰略高(gāo)度。而數據資産評估對企業的(de)數據發展,交易融資等運作都起到重要的(de)作用。因此後面就制定了一(yī)個,《中國電子(zǐ)商務數據資産評價指标體系》,這個體系隻是在這個電子(zǐ)商務 ,那麽其實随着這個數據安全法落地(dì),還有企業的(de)數據分類分級合規,包括企業的(de)數字化轉型的(de)意願加強。那麽各行各業的(de)以後的(de)數據和(hé)相關的(de)評價體系,都會慢慢的(de)出來。那麽,作為(wèi)數據能不能作為(wèi)商品化,其實就看兩點,一(yī)點是是否具備基礎性生産資料的(de)市場特性,第二就是是否具備潛在價值。我們能看到數據産生的(de)價值是有生産率提高(gāo)的(de),還有輔助決策的(de)價值。
抛開這兩點,數據能否純粹地(dì)産生市場價值,是不是能作為(wèi)一(yī)個商品來進行交易的(de)?第一(yī)個是能不能商品化,第二個是不是有一(yī)個價格的(de)形成機制,這一(yī)點現在可(kě)能是比較難的(de)。不過國家現在已經有相應的(de)标準體系出現,數據可(kě)以作為(wèi)一(yī)個商品化,而且有相應的(de)指導機制。對企業來講,就是通過數據合規,來把企業手上的(de)數據分類分級,并且可(kě)以進行數字化轉型的(de)一(yī)個儲備。以後數據産生的(de)價值,企業可(kě)以作為(wèi)一(yī)個商品,拿到交易平台上面去(qù)進行交易。國家一(yī)直在推動這個數據要素,其實從頂層上面來講,國家對于數據交易的(de)設計,已經設計好了。那麽這裏就有三個,一(yī)個是北京國際大數據交易所, 上海數交所,還有貴州大數據中心。這三個是國家級的(de)數據交易中心。以後可(kě)能在股票(piào)市場買這個公司的(de)市值,但是在數據交易所,可(kě)以會去(qù)買這個公司的(de)數據,相對來說,數據交易所未來的(de)場景,還有國家的(de)重心點,都會在數據交易所這一(yī)塊,那麽,前提是公司如(rú)果是想把自(zì)己的(de)公司數據拿出來交易的(de),前提就是公司要做(zuò)好,相應的(de)數據分類分級 ,然後做(zuò)完以後還要要做(zuò)一(yī)些, 對應市場上的(de)一(yī)些規劃。
如(rú)果一(yī)個企業在做(zuò)好數據合規以後,可(kě)以推動企業的(de)一(yī)些數字化轉型,同時在産生數據增長(cháng)。當市場比較難做(zuò)的(de)情況下面,企業可(kě)以把手上的(de)數據作為(wèi)底層的(de)基礎數據來進行交易。這樣其實也可(kě)以幫公司, 增加相關的(de)收入或者市值。公司的(de)主體發展方向可(kě)能也會慢慢的(de)以數據為(wèi)主的(de)。
以上就是520會議的(de)主要內(nèi)容,快去(qù)分享給需要數據分類分級以及希望通過數字化轉型的(de)企業和(hé)合作夥伴吧(ba)~
特奉上此次520會議精品課程的(de)精彩內(nèi)容回放
本次520精品課程會議中獎名單請前往觀初科技公衆号查看
我們下次課程會議見!
相關新聞