信息化觀察網(wǎng)

本文來自微信公眾號“數(shù)世咨詢”，作者/nana。

數(shù)字時(shí)代開啟以來，企業(yè)就一直假定數(shù)據(jù)就像水一樣。數(shù)據(jù)是企業(yè)經(jīng)營的營養(yǎng)來源，一直在自由流淌——數(shù)據(jù)的收集、存儲、處理和移動方式幾乎不受限。但如今，水龍頭被關(guān)上了，河流改道了，隱私條例筑起的大壩截?cái)嗔嘶緲I(yè)務(wù)要素。

公司通過共享數(shù)據(jù)構(gòu)建了全球業(yè)務(wù)，幾十年的全球化卻正遭隱私條例逆轉(zhuǎn)。在數(shù)據(jù)主權(quán)法律的推動下，數(shù)據(jù)隱私的勢頭越來越大，企業(yè)如今必須學(xué)會在保持合規(guī)的情況下提供同等水平的客戶服務(wù)、按時(shí)交付，以及跨供應(yīng)鏈溝通。這就導(dǎo)致企業(yè)需要平衡幾個(gè)看似矛盾的目標(biāo)：通過數(shù)據(jù)共享、人工智能（AI）和機(jī)器學(xué)習(xí)推進(jìn)業(yè)務(wù)，同時(shí)保持合規(guī)。

2023年5月，首部數(shù)據(jù)隱私法律——歐盟《通用數(shù)據(jù)保護(hù)條例》（GDPR）生效五周年。GDPR之后，超過130部類似法律陸續(xù)推出，還有更多法案坐等生效。例如，加拿大《數(shù)字憲章實(shí)施法》、印度《數(shù)字個(gè)人數(shù)據(jù)保護(hù)法案》（DPDP）、《科羅拉多州隱私法》（CPA）和《猶他州消費(fèi)者隱私法》（UCPA）將于今年生效。盡管消費(fèi)者稱頌法律對個(gè)人數(shù)據(jù)的保護(hù)，但習(xí)慣跨境收集、使用和共享數(shù)據(jù)的企業(yè)卻很難在合規(guī)與滿足業(yè)務(wù)需求之間取得平衡。

01

合規(guī)挑戰(zhàn)

企業(yè)深知數(shù)據(jù)共享是有限制（或邊界）的。法定分隔可保持不同子公司的數(shù)據(jù)各不相同，或者限制合作伙伴間只能共享特定類型的數(shù)據(jù)。多租戶軟件應(yīng)用通常要求通過邏輯分區(qū)保持客戶數(shù)據(jù)隱私。但通常偽裝成“數(shù)據(jù)隱私”條例的數(shù)據(jù)主權(quán)法案層出不窮，給數(shù)據(jù)的處理和存儲位置施加了地理邊界。企業(yè)必須遵守其經(jīng)營所在國家和地區(qū)的法律，隨著公司急于重新思考以什么方式在何處安全獲取個(gè)人數(shù)據(jù)加以共享和保護(hù)，數(shù)據(jù)主權(quán)也帶來了明顯的合規(guī)挑戰(zhàn)。

制定法規(guī)將個(gè)人數(shù)據(jù)限制在其境內(nèi)的國家和地區(qū)可能認(rèn)為其公民的數(shù)據(jù)具有國家戰(zhàn)略重要性。而更常見的是，這是一種執(zhí)法機(jī)制，承認(rèn)個(gè)人數(shù)據(jù)是個(gè)人擁有的資產(chǎn)，企業(yè)必須按照當(dāng)?shù)胤墒褂煤凸蚕怼o法輕易繞過或拋開最近的數(shù)據(jù)主權(quán)要求獲得消費(fèi)者同意。必須遵循這些要求，也就導(dǎo)致在開展業(yè)務(wù)的同時(shí)遵章守紀(jì)成了一項(xiàng)重大挑戰(zhàn)。全球經(jīng)營的公司需要橫跨復(fù)雜的法律、企業(yè)、地緣政治和監(jiān)管邊界移動和處理敏感數(shù)據(jù)。數(shù)據(jù)本地化令企業(yè)云策略面臨風(fēng)險(xiǎn)。

02

跨境經(jīng)營的成本

由于需要遵循數(shù)據(jù)主權(quán)法律，企業(yè)面臨巨大的經(jīng)營成本。最貴的就是為滿足主權(quán)要求而不得不重復(fù)設(shè)置的技術(shù)、人員或資源。為遵守監(jiān)管規(guī)定，企業(yè)往往跨地區(qū)或國家重復(fù)布設(shè)內(nèi)部資源，確保數(shù)據(jù)留在其原始轄區(qū)內(nèi)。畢竟，若沒有積極采取措施保護(hù)個(gè)人數(shù)據(jù)，可能會招致巨額罰款。

最近，歐洲法院判定總部位于美國的Meta公司未能充分保護(hù)歐盟公民的個(gè)人數(shù)據(jù)，對其處以13億美元罰款。Meta采用了“標(biāo)準(zhǔn)合同條款”——依靠合同條款義務(wù)而非技術(shù)控制措施的一種常見做法。然而，法院認(rèn)為，這種方式不足以符合GDPR規(guī)定。因此，強(qiáng)大的數(shù)據(jù)保護(hù)機(jī)制是公司規(guī)避高昂罰款和保護(hù)客戶數(shù)據(jù)所不可或缺的。

采用昂貴的第三方數(shù)據(jù)處理滿足本地化要求是另一個(gè)問題點(diǎn)。盡管這么做可以減少合規(guī)風(fēng)險(xiǎn)，卻會因與另一方共享數(shù)據(jù)而增加安全風(fēng)險(xiǎn)。動態(tài)數(shù)據(jù)脫敏、訪問控制列表和基于文件的保護(hù)方法等老舊技術(shù)，并非為滿足當(dāng)今合規(guī)要求而構(gòu)建的。

因此，必須深知主權(quán)法律合規(guī)的額外成本就是做生意的代價(jià)。但對很多企業(yè)而言，這些成本可能真的太過高昂。

03

重新整合無國界數(shù)據(jù)

正如信息技術(shù)與創(chuàng)新基金會所言，“數(shù)據(jù)是現(xiàn)代全球經(jīng)濟(jì)的命脈。企業(yè)用數(shù)據(jù)創(chuàng)造價(jià)值，很多企業(yè)只有在數(shù)據(jù)可以自由跨境流動的情況下才能最大化其價(jià)值”。然而，無國界數(shù)據(jù)和數(shù)據(jù)主權(quán)若想共存，企業(yè)必須找到合規(guī)的方式來實(shí)現(xiàn)跨境數(shù)據(jù)共享。標(biāo)記化恰可解決這個(gè)問題。

通過標(biāo)記化數(shù)據(jù)，企業(yè)可在保證數(shù)據(jù)安全的情況下允許不同用戶和公司訪問數(shù)據(jù)，同時(shí)符合當(dāng)?shù)乇O(jiān)管規(guī)定。歐盟普通法院（GCEU）4月份的一項(xiàng)重要裁決凸顯了這一問題的重要性。SRB訴EDPS案件T-557/20中，GCEU認(rèn)為，如果數(shù)據(jù)接收方不具備合法重新識別數(shù)據(jù)主體的手段，那么傳輸給數(shù)據(jù)接收方的假名化數(shù)據(jù)就不被視為個(gè)人數(shù)據(jù)。這項(xiàng)裁決對擁有跨境數(shù)據(jù)流的公司具有重大影響，因而找到合規(guī)方式實(shí)現(xiàn)跨境數(shù)據(jù)共享變得更加重要。

從更廣泛的意義上而言，如果公司想要實(shí)現(xiàn)高效全球合規(guī)，就需要整合數(shù)據(jù)策略、日志、審計(jì)和監(jiān)控，實(shí)現(xiàn)大規(guī)模高效管理，滿足各應(yīng)用的數(shù)據(jù)主權(quán)要求。自動化系統(tǒng)能夠?yàn)閭€(gè)人可識別信息（PII）提供持續(xù)的集中保護(hù)、審計(jì)和合規(guī)，可以降低合規(guī)成本，為企業(yè)在數(shù)據(jù)上的競爭開辟新的機(jī)會。將數(shù)據(jù)安全和數(shù)據(jù)隱私與更豐富的資源相結(jié)合也能幫助企業(yè)降低成本。

04

政策和商業(yè)能共存

數(shù)據(jù)主權(quán)法律隨技術(shù)和數(shù)字化趨勢的發(fā)展而不斷變更。因此，企業(yè)不能指望“一勞永逸”的合規(guī)方式，有必要持續(xù)跟蹤和適應(yīng)不斷變化的法律。若能在保持合規(guī)的同時(shí)實(shí)現(xiàn)無國界數(shù)據(jù)，企業(yè)就能獲得巨大的競爭優(yōu)勢，因?yàn)檫@樣的企業(yè)能夠就現(xiàn)有市場的客戶和產(chǎn)品迅速作出靈活明智的決策。此外，跨新區(qū)域共享數(shù)據(jù)的能力可助力企業(yè)在全球范圍內(nèi)開拓新市場。

最終，通過遵從隱私和安全法規(guī)，企業(yè)能夠保護(hù)客戶數(shù)據(jù)，建立信任，提升自身聲譽(yù)，從而提高客戶忠誠度?？蛻糁艺\度等于收入，而收入等于長期成功。