衛視界 |如何構建企業數據安全合規多方信任的橋梁 ——從滴滴事件談起

日前，滴滴被罰款80.26億上了熱搜我們又該從這里面汲取什么教訓呢？

滴滴事件的教訓

2022年7月21日，國家互聯網信息辦公室對滴滴全球股份有限公司（以下簡稱“滴滴公司”）依法作出網絡安全審查相關行政處罰的決定。從2021年7月2日網絡安全審查辦公室宣布將對滴滴公司啟動網絡安全審查以來，滴滴公司先后經歷了暫停新用戶注冊，下架滴滴出行App，下架微信、支付寶小程序，下架滴滴出行企業版等25款App，七部門進駐滴滴開展網絡安全審查，滴滴紐交所摘牌退市等事件。持續一年多的網絡安全審查，給滴滴公司帶來的不僅僅是重大的經濟損失，由此造成的市場、市值、商譽、和用戶信任損失更是巨大，教訓極其慘重。

網絡時代為企業業務發展提供了極大的便利，用戶的可達性高、業務規模的邊際成本低，從而造就了互聯網超大用戶規模的平臺企業的崛起。然后作為硬幣的另一面，超大互聯網平臺數據安全和個人信息泄露事件也具有波及面廣、傳播性強和危害性大的特點，不但涉及廣大個人權益、還會影響社會公共秩序，甚至危及國家安全，這同樣是以往企業所同樣不及的。

因此，數據處理企業特別是大型互聯網平臺企業，需要從此次事件中吸取教訓，重視數據安全和個人信息保護工作，筑牢數據安全合規防線，防患于未然。更重要的是，建立用戶和監管機構對企業數據安全和個人信息保護工作的信心和信任。

企業如何開展數據安全合規建設

數據安全合規應上升到企業戰略高度

數字經濟時代背景下，數據作為關鍵生產要素，成為企業改善經營和提升競爭力的主要驅動力量，數據安全合規是企業生存和發展的基礎，企業需要高度重視數據安全風險，制定合理的數據安全合規目標，將數據安全合規納入企業整體戰略之中。企業需要自上而下建立數據安全合規共識，保障數據安全建設的資源投入。數據安全合規工作雖然不能完全避免數據安全風險的發生，但是可以降低風險的發生可能性；一旦發生數據安全事件，通過數據安全合規體系可減少安全事件的損失，也可減輕或免除法律責任。

建立實質性數據安全合規體系

企業應真正對照法律法規監管要求，建立企業內的數據安全合規體系。數據安全合規需要系統化的解決方案，應該從數據安全治理著手，建立數據安全合規體系。在數據安全合規戰略指導下，以數據分類分級和安全風險評估為起點，建立數據安全技術防護體系、數據安全合規管理體系、數據安全運營體系，覆蓋數據安全合規組織架構、數據安全合規管理制度、數據安全管理和審計工作、數據安全技術防護措施等方面。

建立面向監管和公眾的數據安全合規信任機制

數據安全合規離不開企業、政府和社會公眾的協同治理，企業應該壓實數據安全合規主體責任，建立更加開放透明的數據安全合規架構。然而當前，由于企業合規透明化程度不足、缺少暴露給監管、公眾足夠的合規信息，無論是對監管側，還是對用戶側，均認為企業處理個人信息透明性不足,導致信任的普遍缺失。

衛士通多方信任數據安全合規服務方案

“如何建立面向監管和公眾的數據安全合規信任機制？”衛士通總結在互聯網數據安全合規服務實踐經驗，提出了數據安全合規多方治理架構。在多方治理的總體架構模式下，可信第三方與企業一起共同搭建聯合合規管理體系，提供“工具、產品、SaaS平臺服務、人工服務” 的全套合規體系構建能力，以服務化交付模式，助力企業快速構建完整的隱私合規體系，實現企業合規管理的在線化、自動化，提高企業管理的效率，提升企業合規管理的透明性和可審計性。

通報中，滴滴公司存在的八方面問題，覆蓋了個人信息和個人敏感的違法和過度收集、未告知并獲得用戶同意處理個人信息、未準確說明個人信息處理目的、敏感個人信息的明文存儲、APP過度索要權限等方面。在基于可信第三方的互聯網數據合規服務方案中，這些問題得到了回應。

可信第三方側的聯合數據保護服務，以密鑰托管和使用SaaS化策略管理服務的形式，實現對數據的加密、去標識化等安全保護，通過密鑰托管實現企業開展數據加密保護的第三方證明。可信第三方側的合規管理服務提供，提供同意管理和個人權利響應管理兩項重要能力，同時為企業保存相關可信存證，提升企業合規管理的透明性和可審計性。可信第三方側的SaaS化APP合規檢測服務，提供基于監管機構檢測標準的APP合規檢測服務，增強了個人信息采集的合規管理。

作為以密碼為核心的數據智能安全服務商和數據安全國家戰略科技力量，衛士通將攜可信第三方的互聯網數據合規服務方案，幫助企業搭建起面向監管和公眾的數據安全合規多方信任的橋梁。