数据安全立法走向成熟，互联网企业如何适应新的合规环境？

近两年，“合规”二字逐渐成为企业在业务发展之外的一大关键考量。去年11月1日，《中华人民共和国个人信息保护法》开始实施；今年上半年，各部门相继发布《网络安全审查办法》《互联网信息服务算法推荐管理规定》等。随着数据安全立法逐步走向成熟，法律层面的约束极大促进了企业对于网络安全和隐私保护的关注。和数字经济息息相关的互联网企业，或许在这一年时间里感知到了最多的变化。在近日接受媒体采访时，安永大中华区网络安全与隐私保护咨询服务主管合伙人高轶峰总结称，最大的变化在于，企业开始把合规变成一条新的“生命线”。高轶峰表示，理念方面也发生了很大的变化。“以前互联网公司是以流量制胜的，这些法律法规发布以后，互联网公司首先想保证的是合规，以合规作为底线保证企业的生存，再通过安全促成发展。”如何适应新的合规环境？高轶峰总结，国内企业采取的手段主要包括两大方式：第一种偏向管理，即建立机制和相关的流程。第二种则偏向技术方面，包括厂商的技术、自研的技术和企业技术人才的投入。尤其是在网络安全和数据保护的人才方面，国内企业呈现出明显的短板。高轶峰介绍称，中国网络安全人才的缺口将近200万，这类群体的招聘成本很高，但依然很难招。在数据保护上有两三年经验的人才，通常拥有同类IT职位5-8年的薪资水平。聚焦在高度关联的互联网企业身上，除了将网络安全和隐私保护放入早期的产品设计中之外，企业开始建立新的机制、新的流程，让不同的部门甚至一把手承担一定的（合规）责任。“不光是对传统人员的投入，互联网公司中的网络安全人才属于复合型，既要懂安全技术，又要懂合规和业务，这样的团队成本很高。”高轶峰称。实际上，经过近两年的“法规教育”，各类企业都意识到了数据保护的重要性。高轶峰提出，假设没有比较完善的大环境，只会出现两个极端：一是数据滥用，二是“不敢用数据”。尤其是在开放公共数据的过程中，如果没有较好的指引，企业不敢开放很多数据，有价值的数据也就无法被使用。但对于大部分企业来说，更难的是有序落实，且预算问题也是中小企业必须考虑的挑战。例如在隐私保护方面，美国隐私认证权威机构TrustArc发布的《2022全球隐私基准报告》提出，规模越小的公司，日常业务决策中保护隐私的意识越弱，只有收入超过50亿美元的大型企业能在近年来保持对隐私的重视程度。高轶峰表示，经过他们的长期观察，在网络安全和隐私保护过程中，整体企业的投入预算仍然偏低。他也强调，现阶段，众多企业存在的一大误区是把网络安全或者隐私保护当成业务发展的对立面，要解决这个问题，需要更多管理层面的共识，明确做网络安全和隐私保护会促进业务健康有序发展。“如果一家企业现在踩了红线，当它走进资本市场的时候，总有一天还是会暴露出问题。”记者|佘晓晨 原文链接：//shuzhiren.com/post/23587.html