数据合规管理对于企业的好处至少有三条:一是为数据合法流转创造必要条件;二是降低企业经营风险,提高综合效益;三是可减轻、免除行政或刑事处罚。 “新质生产力”成为2023年度热词之一,也为新时代新征程加快科技创新、推动高质量发展提供了科学指引。在如今的数字化时代,数据作为重要的新兴资源,是形成新质生产力的关键要素。 然而,作为一种全新的生产要素,于企业而言,当前数据资产的保护规则和治理体系仍有待完善,合规市场并不成熟,也没有先例可循,企业在收集和使用数据上还有不少难点。数据作为资产,可以作为交易的主体,交易过程中如何确权、脱敏,真正实现数据的价值增值,于企业而言,都是新思考题。 01 数据的采集与使用 只有做到数据的合规性与可靠性,才能支持企业的业务流程正常运行。 当前主动收集数据是数据采集重要的方式之一。然而,当前数据采集的主要问题是标准不规范,企业为了能提供更好的服务,往往希望能多了解自己的顾客,这就容易出现从无序采集到超范围采集等问题,例如在自己的经营场所内安装采集人脸识别的摄像头,让员工或访客照相甚至录入指纹。由于企业开发应用往往希望多采集个人信息,开发的移动应用软件有时会偷偷收集或者超范围收集用户信息,不经用户同意就违规启用摄像头、录音等功能,从而收集用户地理位置、人脸、指纹、通讯录等,而这些功能或信息甚至与服务毫无关系,已经远远超出数据处理要求的范围。 除了数据采集的不规范外,采集后怎么加工、怎么应用,以及在企业内部如何存储数据都会存在安全隐患,如果管理不善就会造成泄露甚至流入黑市。数据在使用中,尤其涉及到多方数据共享,更容易造成数据不当使用,如存在跨境流转,就更难控制,部分数据甚至还会危害国家安全。 因此,企业一定要遵循法律法规,谨慎小心处理采集到的数据。着眼于企业实际可执行落地的工作来做好合规,一是要重视法务、合规、技术等多部门协同配合;二是加强IT基础设施的完备性,做好技术层面的安全防护。 今天的企业,在实际运营中,会收集和使用到大量的数据,例如销售数据、财务数据、用客数据、库存数据、研发数据、技术秘密等。确保数据管理和使用中的一致性及可靠性,保障数据的安全性和机密性,就构成企业的生命线。 通常来说,数据收集使用中有着不同的处理方向,作为网络安全企业,应该率先做好自身的数据安全治理工作,要建立严格的数据操作规程以及管控流程,大致做法如下: 首先,根据数据的来源和目的来分类分级,就是将源数据进行定义和确定收集管理标准,比如销售的订单数据应当采集哪些数据,并对采集到的数据进行分段拆分定义,既要保证不同场景和应用对数据的理解一致,也要能为后续数据管理确定不同级别的安全措施,这相当于在数据采集阶段就预先确定好数据采集范围以及管理的标准规范。 其次,进行数据处理确保数据的准确性和完整性,主要包括对数据进行验证、校验和清洗。比如,对于销售记录数据就要识别是否有误,清除重复或不完整的扩展数据,避免基于不准确数据做出错误的决策,这个阶段是确保数据收集后能发挥相应的作用。 再次,对数据进行信息保护及隐私保护处理,尤其对于需要保密的数据要确保数据的机密性和合规性,这就需要按照保护个人信息及隐私的法律法规,采取安全措施来防止数据泄露及防止未经授权进行的访问,这个阶段重点在于数据安全防护以及隐私保护。 最后,严格把控数据访问与数据共享,设立数据共享的规则和流程,确保只有经过授权的人才能访问相应的数据,这个阶段重点在于做好数据防泄露措施下的数据综合应用。 从我们以往治理数据合规的经验来看,要确保数据的一致性、准确性和完整性,使得数据质量具有可靠性,才能支持企业的业务流程正常运行,同时还要遵守相关法规和合规要求,确保数据安全和隐私保护。更好地管理和利用数据资产,支持决策制定、优化运营,企业才能在竞争激烈的市场中取得成功。 02 安全就是竞争力 数据安全需要关注的是数据的“全生命周期”。 数据作为新生产力,多数企业在收集、使用、存储、应用上尚处在“投入”阶段,本身就成本高昂,更遑论数据安全合规问题带来的新的成本挑战。很多企业天然认为,数据安全会带来很重的成本负担,合规需要一大笔开销,不仅有财务成本和时间成本,且对企业流程运行效率有所影响。然而,从企业综合效益来看,安全就是竞争力,就是效益。合规的目的是让数据发挥价值,数据因其独有的低边际成本、强渗透性以及融合性等特点,只有流动起来才能成为资源,而数据流转的前提就是要合法合规。 同时从大的范围上看,个人数据安全从属于国家安全,而且也是比较重要的一部分,规范处理数据属于法律法规的明确要求,因此数据合规管理要优于其他领域的合规管理。 实际上,从公司治理来看,做好数据合规管理,不仅能预防和降低企业的运营管理风险,提高运营管理效率,增加企业效益与利润,还能促进企业健康稳定可持续发展;从企业监管来看,合规也是一种行政监管激励机制,如果企业因为数据面临行政处罚或刑事指控之时,企业可以用合规作无责任抗辩。 概括起来看,数据合规管理对于企业的好处,一是为数据合法流转创造必要条件;二是降低企业经营风险,提高综合效益;三是可减轻、免除行政或刑事处罚。 近年来,数据泄露事件频发,物流、电商等行业成为重灾区。在实践中,具体采取的防范措施多种多样,至于哪种措施更有效,还需要看具体防范哪类风险,一般数据泄露不外乎三个原因:一是“内鬼”违规获取;二是数据接口攻击;三是系统存在漏洞或被植入木马。 从数据泄露的原因来看,与当前提倡的“技与纪”相结合,做好事前防范,防微杜渐,避免造成数据泄露的严重事件。从“纪”来看,就是从软的方面来做好安全教育,培养安全意识,提供安全防范技巧,遵循安全操作规程;从“技”来说,就是通过技术手段来切实保障安全措施得到落实,像数据脱敏、数据加密、数据防泄露、安全访问控制等预防性软件就能比较好地解决问题。当前安全行为审计、准入控制、入侵检测等检测性措施应用也很普遍,例如对数据访问行为进行记录,通过审计来不断调整权限和发现违规事件。 事实上,数据安全需要关注的是数据的“全生命周期”。企业在使用数据过程中,数据不会单独存在,也会由源数据产生衍生数据。如果源数据删除,衍生数据是否也将结束其生命周期? 《中华人民共和国数据安全法》体现的就是对数据全生命周期各环节的安全保护义务,数据的全生命周期涵盖收集、传输、存储、处理、共享、销毁共六个阶段,针对数据全生命周期的安全管理也是企业开展数据安全管理的核心和难点工作,且各个环节都应该有相应的技术手段来进行监测与管控。 衍生数据的管理则是一个难点,衍生数据虽源于原始数据,但却有不同的内容和独立的价值,对于实现挖掘数据价值作用重大。如果说原始数据是经济社会中自然生成的基础信息集合,那么衍生数据就是由数商或者数据处理者基于原始数据,通过对信息的重新整合后形成、深度开发以及脱敏处理,而具有特定指向性和商业价值,形成全新的基础性数据资源。这也是当前数据产业中可交易的数据产品,由于衍生数据的权益较为复杂,不是传统意义上的物权法的保护对象,衍生数据的权利主张及保护仍然是一个难题。 03 数据资产定价难 目前数据的流通共享难,定价和收益分配无章可循,面临“确权难、定价难、互信难、监管难”等问题。 数据之所以越来越被重视,是因为利用好数据,可以为企业带来价值,因此很多企业也将数据视为重要资产之一。既然数据是资产,就决定了其可以定价,也可以用来交易,然而在实际工作中,真正实现数据的“资产化”,也遇到不少问题。 数据要素的价值如何得到体现,这就是数据资产化,即在法律上明确数据的资产属性,从而能够成为类似不动产、物产等可以入表的资产,再根据数据资产确认标准、程序和资产登记要求,才能将符合条件的数据资源确认和登记为资产并入账入表。但根据《财政部关于修改<企业会计准则——基本准则>的决定》对资产的定义:资产是指企业过去的交易或者事项形成的、由企业拥有或者控制的、预期会给企业带来经济利益的资源。这就提出了资产形成的三大特征,一是已经发生或形成的交易或者事项;二是由企业拥有或者控制的;三是预期会给企业带来经济利益。但在现有法律体系框架下,数据资产地位并不十分明确,尤其是数据的权属和确权、数据利益分配和安全隐私等方面还有不少挑战。 数据要像普通商品一样能被买卖,是数据交易的首要目标,也是数据要素价值得到实现的关键点。但目前数据的流通共享难,定价和收益分配无章可循,面临“确权难、定价难、互信难、监管难”等问题,一方面除了需要作为市场主体的企业积极参与,从而推动更多高价值数据进入交易流通环节,还需要国家在宏观层面统筹数据要素市场培育,在产业层面构建数据流通交易服务生态体系。 要保证交易各方的合法性,就要做好数据合规认证。根据国家市场监督管理总局2022年发布的《数据安全管理认证实施规则》,为规范网络数据处理活动以及加强网络数据安全保护,开展数据安全管理认证工作,同时该规则还提出认证模式包含“技术验证+现场审核+获证后监督”,实际上已经比较好地从制度上保证了数据合规认证工作的有效性,再加上交易各方的安全技术防范措施,数据安全以及信息安全还是有保证的。 数据交易,除了保证合法性之外,如何定价,也是数字化时代的一个新问题。数据本身不可见,难以估算,另外如果自由定价,由于存在信息不对称,价格自然难以公允。 一般而言,讲到生产要素的定价,主要从供求关系来分析,也就是从资源的稀缺性、规模和价值密度等方面来确定,但由于数据具有传统资源没有的可复制性和非排他性,传统的供求关系就略显单薄,因此就要从分析数据资产的要素应用角度着手来分析,也就是需要根据使用范围、应用场景、商业模式、数据关联性和应用风险以及结合供求关系来分析。使用范围还要细分到数据资产涉及的行业、领域和区域等,应用场景则包括使用方式、开放程度和使用频率等,而数据资产的易复制型,又带来不少的风险,如何防范流通中泄露、灭失及安全风险,又存在不少待解决的问题。 当前通行的定价办法是由数据供需双方协商确定,也可参照《中华人民共和国资产评估法》等,通过建立数据资产评估机制和制定数据价值评估准则进行认定。一旦资产完成定价,后续的成本摊销等则可按现行的会计准则进行处置。 (作者谈剑锋系第五空间信息科技研究院院长,本刊记者朱耘采访整理)
全部评论