游云庭表示 ， 新法普及确实增加了企业运营成本 ， 而且部分企业也出现了一些恐慌 ， 尤其是做境内外投资的 。 现在找他们律师咨询或做合规工作的是还有钱的企业 ， 如果本身就是微利经营 ， 手里没有现金流的企业 ， “它可能就不做了” 。
企业做好数据合规面临的挑战
面对新规 ， 企业做好个人信息保护 ， 数据合规又可能面临哪些挑战？
上市公司索信达控股有限公司（下称“索信达”）数据管理领域专家韦海晗告诉新京智库 ， 新监管趋势及行业趋势对数据安全管理提出了更高要求 ， 但像银行业要做好数据安全工作还面临不小的挑战 。 比如 ， 要求管理内容更丰富 ， 具体体现在非结构化数据纳入管理范畴、客户隐私数据保护成为重点、数据安全分级管理成为必要、海量数据脱敏比较关注、分布式的基础设施灾备、更多相关的法律法规保证等 。
同时 ， 对金融公司也提出了更高的管理能力要求 。 韦海晗介绍 ， 比如对数据安全要求更高 ， 数据泄露影响也更大 ， 面对海量的数据进行全面的安全分级管理 。 一些新的大数据产品对于数据安全设计存在缺陷 ， 更多依赖于企业自身数据安全管理能力 ， 分布式的灾备和恢复要求也越来越多 。
如果管理能力没有相应“升级”可能面对的就是管理成本急剧上升 。 IBM公司今年7月底发布的《2021年数据泄露成本报告》数据显示 ， 数据泄露的平均成本从上一年度的386万美元上升到424万美元 ， 同比增长近10% 。 这是近七年来最大的单年成本增长 。 也是IBM发布该报告17年来的最高成本 。
该报告进一步指出 ， 与无关远程工作的数据泄露相比 ， 与远程工作有关的数据泄露事件的平均成本高出107万美元 。 因远程工作而导致数据泄露的企业百分比为17.5% 。 此外 ， 与远程工作人员最多为50%的组织相比 ， 远程工作人超过50%的组织识别和遏制数据泄露事件所需的时间要多出58天 。
从行业来看 ， 该报告指出 ， 医疗保健行业的数据泄露平均总成本从2020年的713万美元增加到2021年的923万美元 ， 增幅近3成 。 医疗保健行业的数据泄露成本连续11年位居首位 。
“这就要求管理技术也要更先进” ， 韦海晗说 ， 比如利用大数据技术获取企业不同类型的安全数据 ， 识别潜在的数据安全风险和威胁 ， 非结构化数据的安全保护策略和技术实现方案 ， 分布式的数据加密技术、数据脱敏技术 ， 以及更全面、灵活的数据文件访问技术 ， 基础设施灾备和恢复技术等 。
因而 ， 韦海晗认为 ， 数据安全管理的工作是贯穿于整个数据管理体系之中的 ， 关系到整个数据管理体系的搭建 。 从整个数据管理角度看 ， 数据安全管理工作包括数据安全管理标准、数据安全事故处理、数据安全分级、数据安全审计 。
“数据安全分级是数据安全管理体系构建的重点核心 ， 数据分类又是数据安全分级的基础和依据” ， 韦海晗建议 ， 在系统技术支撑上 ， 可以将数据安全分级管理体系嵌入到类似元数据平台、数据资产管理平台上去做 。
而张锐表示 ， 很多平台企业 ， 即便是科技企业在技术上的投入还是太少 ， 他们的系统也没有太先进 。 很多公司实际上的先进技术研发人员远没有他们所宣称的那么多 ， “可能是干体力活的居多” 。
企业在做好数据合规工作时不仅内部 ， 外部也同样面临挑战 。
游云庭表示 ， 在《数据安全法》和《个保法》等新的法律规范生效之下 ， 执法能力不强也在一定程度上限制了企业的发展 。 比如 ， 有的企业有数据跨境需求 ， 但当他们咨询或者请相关部门予以指导时 ， 相关部门告知“这块暂时不管” ， 因为这是“优化营商环境”的范畴 。