中共中央国务院颁布了《粤港澳大湾区发展规划纲要》,提出到2035年,在大湾区形成以创新为主要支撑的经济体系和发展模式的目标,并明确了一系列以数字化为核心驱动的战略举措。为了配合以数字化作为发展引擎的规划,大湾区已逐步制定数据治理与数据安全相关的发展要求与落地措施,为保障数据的安全和合规、加快政企间、企业间和跨境数据流通提供强而有力的支持。然而,企业在享受便利的同时,也将面临更高的挑战。
挑战一
从法律层面来看,粤港澳大湾区涉及的三个司法管辖区在网络安全、隐私保护、数据跨境等方面发布了不同的法律法规及相关指导文档,其中既存在相似之处,也不乏诸多差异,大湾区企业时刻面临复杂的数据安全合规压力。
在隐私保护方面:
- 着力融合三地的法律要求,对个人信息的收集、使用、处理建立统一体系
- 制订三地适用的隐私政策和声明,并针对三地合规要求或服务内容差异进行细节修订
在数据跨境方面:
- 制定标准合同模板,定义数据发送方和接收方责任、权利和义务以及应有的保护措施
- 通过第三方独立评估,获得企业数据保护能力认证
- 梳理数据跨境的法律法规,并与监管部门保持密切沟通
- 梳理企业运营过程中的数据及可能涉及到的跨境场景
- 建立企业内部数据跨境传输机制
- 完善企业数据安全内控制度,积极开展自评工作
挑战二
面对冲突复杂的法律环境,很多企业当前的合规应对能力尚不完备,包括:安全合规文化、组织架构、人力资源、合规管理架构和运行机制、网络安全和隐私合规能力等。对于大部分湾区企业来说,由于种种的客观因素限制,当前的合规应对能力难以应对数字化发展带来的新挑战,如何在合理配置资源的前提下,建立有效的数据安全合规体系,将成为湾区企业的痛点。
在考虑合规能力的同时,企业也需构建完善的安全管理能力,防范与应对各类安全威胁:
数据安全管理层面
- 识别企业内重要数据,规范重要数据描述格式
- 制定分级分类标准,建立差异化管控要求和技术保护策略
- 评估安全实现能力,建立数据安全管理体系,实现持续的数据全生命周期管理
网络安全管理层面
- 建设企业内信息安全管理制度及体系
- 开展面向全体员工的合规培训机制,形成有效的合规责任考核机制
- 建立合规举报查处的流程和机制,对合规流程进行持续优化
挑战三
粤港澳三地在网络环境、技术和安全标准、用户习惯等方面存在多种差异,增加了企业的安全防护难度,对暴露在相对复杂的网络环境之下的对信息资产进行保护,也成为了企业面临的一大挑战。
企业应当加强安全防护能力,建立良好的网络韧性基础。例如,企业可以网络安全等级保护制度为基线,建立三地的安全技术防护能力,而不仅仅将等保视为国内应用需要通过的证书。以等保作为基线,三地业务在提升企业网络韧性的同时,也能向监管证明企业业务在各地均满足我国要求的安全义务。除等保2.0以外,企业也可以根据自身的实际情况,选择性参考国际相关标准,从而建立良好的网络韧性基础,实现以网络安全运营为导向的主动防御和感知机制。