回答这个问题,应该从两方面考虑:一、为什么现在需要做数据合规;二、中小型企业是否也需要做数据合规;
我们先看第一点,为什么现在需要做数据合规:
一、受到业务和技术影响,对于toB或者toG的业务而言,这里以我的老东家(某人工智能独角兽)为例,在《数据安全法》出台以后,甲方(特别是政府机构、大型央企)要求对已经完成项目的代码进行数据安全整改,耗费了接近6个月时间以及大量的技术人力资源。这种情况下迫使企业在开发新产品或者新项目的时候必须考虑数据安全问题,从而必须要求企业具备相应的数据合规制度以及专业人员;对于toC的业务来说,主要在于《个人信息保护法》的风险,现在的App、小程序、Web端在收集个人信息方面的技术已经非常成熟,也有很多第三方云平台API可以付费使用,甚至在github上随便一搜都能找到现成的解决方案。开发人员在没有任何数据合规意识的情况下,为了节省开发时间,直接使用一些开源代码库,就会搜集到很多不必要的个人信息,这些信息往往存在较大的处理风险。
二、相关法律法规出台,企业法律风险加剧,从2021年伊始到目前,我国在网络安全和数据保护领域的立法仍然高歌猛进,《民法典》、《数据安全法》、《个人信息保护法》、《关键信息基础设施保护条例》、《网络安全审查办法(2021)》、《汽车数据安全管理若干规定(试行)》以及《互联网信息服务算法推荐管理规定》等相继施行。企业未来将面临行政执法常态化、民事诉讼、公益诉讼、高管责任以及刑事责任五大合规风险。行政处罚中对于单位的罚款,上限达到5000万或上一年度营业额5%,对企业高管的个人罚款幅度为1-100万,此外还有董监高的任职限制等。
三、执法处罚事件增多,监管日趋严格,在国内,网络犯罪的刑事案件逐年上升,犯罪人员越来越年轻,犯罪门槛逐渐降低。主要罪名涉及侵犯公民个人信息罪、帮助信息网络犯罪活动罪以及诈骗罪等。同时行政执法的力度也在不断加强,滴滴被罚80.26亿事件引起了广泛关注,上海市通信管理局通报2022年第一批侵害用户权益行为app,广东首例公司未履行数据安全保护义务适用《数据安全法》处罚等等,都在不停刺激着广大互联网企业的神经。
四、刑事合规不起诉政策,行政合规不处罚政策,受到刑事合规不起诉政策,行政合规不处罚政策的影响,在当前监管体系变得严格的情况下,企业通过数据合规建设来减轻自己可能已经产生的违法犯罪事实的刑事责任、行政责任,从而提高司法机关运作效率并有效的进行数据安全治理。
由此可见,企业进行数据合规建设,在国家法治体系的引领下,呈现一种势不可挡的趋势。
第二点,数据合规都是大厂的问题?中小型企业是否也需要注意数据合规?我认为应该根据企业不同的业务类型来看
一、互联网toC类的企业,这类企业一般有自己开发的web、app、小程序等软件,需要用户完成注册登陆,所以会收集到大量的个人隐私信息。根据现有的监管要求来看,这类企业不论大小,都会被一视同仁的检查其上架的App,所以该类企业虽然没有大厂的数据体量,但从业务收益来看,其面对的数据合规风险其实并不比大厂的小多少,因为根据《个人信息保护法》规定,行政处罚最高可以按照5000万或者营业额的5%来进行处罚。
二、软件开发类的企业,软件开发类企业是指售卖软件的版权许可,或者承揽他人软件系统开发项目的企业,这类企业是否需要考虑数据安全问题主要在于其对数据有没有监管义务。例如,一家专门做点餐小程序的企业,如果所有的数据都是存储在私有云上,餐饮门店只是拥有使用权和收款的权利,那么开发企业就对顾客的个人信息保护、数据安全有管理义务;再比如,一个做BIM软件的企业,软件是本地化运行的,甚至不需要网络,因为软件本身不涉及个人信息或者企业信息,产生的建模文件离开软件也无法打开,软件的价值在于其算法和功能而不是数据业务,那么就不存在数据安全问题。
三、购买软件、系统服务的甲方,同样,甲方是否考虑数据安全问题也是在于其对数据有没有监管义务。典型的场景是,甲方需要乙方开发一套系统,其中包括软件的开发、硬件设备的采购、网络的搭建,最后还要将整套系统部署到甲方指定的位置,由乙方进行运维保障。这种场景下,甲方是数据的收集方、使用方,乙方是数据的处理方、存储方,两者均有监管义务,但两者的侧重点不同,甲方的重点在于个人信息的保护,乙方的重点在于网络安全和数据安全,双方应当在合同中明确各自的责任清单,然后按照各自的职责进行数据安全体系建设。
四、互联网灰产类企业,互联网时代,营销的核心要求就是流量,”数据灰产“、“流量灰产“也就大行其道。按照目前的趋势来看,这样的产业必定受到更加严格的监管,因为灰产与黑产很有可能只有一线之差。同时,除了来自国家机关的监管以外,也会受到各大互联网平台的投诉和诉讼,”平台共享账号“、”爬虫技术“、”刷单“、”刷榜“都存在泄露个人信息的情况,平台运营商为了减轻风险,必然不会再像从前那样睁一只眼闭一只眼。下面是各大互联网平台针对灰产类公司的诉讼
结语: 数据安全并不是互联网大厂的专属义务,中小企业也存在数据合规风险
后期我会就中小企业的数据合规建设难点及解决方案专门进行说明