企業信息安全合規的挑戰和應對

文/葛詩新，中國人民大學

我們經常聽到或者看到CEO,CFO這樣的頭銜，但我們很少看到CCO這樣的頭銜。CCO首席合規官。隨著全球化的發展，尤其是數字經濟的快速發展，各個國家逐漸加強了對企業在信息安全要求。

所謂合規從字面的意思不難理解是符合規定。其中的規定包括的主要是國家的法律和法規和相關的技術標準以及企業內部的規章制度。符合當地法律和技術標準成為一個企業進入當地市場的必要條件，任何違規的行為都會給企業的市場帶來沖擊。尤其是一些具有巨大品牌價值的公司，如果一旦出現不合規的行為，公司會受到監管部門的罰款.美國的NSA,中國的網絡安全法和歐盟的GDPR通用數據保護條例的推出，都對企業尤其是全球化的企業提出了合規的新的挑戰。比如歐盟的通用數據保護條例，如果違反相關條例將被罰款2000萬歐元或者當年營業額的4%中兩者取最高[1]。不僅市場份額會受到影響，更重要的是公司的品牌形象和公司聲譽會受到嚴重打擊。

企業在面對這些新規的挑戰時往往經驗不足或者心存僥幸。2019年1月，抖音因違反美國《兒童在線隱私保護法》被FTC處罰570萬美元。2019年1月，CNIL以違反GDPR的同意規則為由，處罰谷歌5000萬歐元。谷歌的主要違法行為是，未向用戶提供透明和清晰的處理個人數據的方式，針對個性化廣告未獲得合法同意。國內的相關報道：新京報相關報道過度索取住客信息，華住酒店涉嫌侵犯隱私。華住集團旗下有的酒店要求住客使用微信掃碼辦理入住，實際上卻是將住客變成自己的“會員”。事實上

一次的懲罰和曝光對公司不僅是經濟損失，更重要的是聲譽的受損。

由于合規工作在實際的企業運營管理中也會遭遇到各種各樣的挑戰和問題。從筆者的實際工作經驗看主要有如下。

1 企業應對合規工作的問題和挑戰

1.1 法律法規和技術標準具有各自區域的特點

法律法規和技術標準具有各自區域的特點。這一點不難理解，因為各國的法律和政策的目標的不一致，所以在相關的法律和條例以及技術標準都各有不同和偏重，這就給公司的相關合規工作帶來比較大的難度。從公司管理和運營成本的角度，公司希望用一套統一方案解決所有問題，以降低成本，但在合規這部分工作卻有其實際的難度。比如歐盟推出的通用數據保護條例-GDPR,更偏重于對個人敏感數據和隱私的保護。而中國的網絡安全法，其生效于2017年6月相對較晚，但所覆蓋的范圍很寬。不僅包括個人的信息安全保護，更多的是和現有的大數據數據，網絡領域的等級保護要求。例如：移動網絡，物聯網，云計算以及關鍵基礎設施的相關保護要求。對于企業來說，為了符合相關的規定，就需要制定滿足不同的需求，在內部評估的過程和偏重也不相同。這都給企業內部的管理流程帶來不小的挑戰。

1.2 公司內部對合規工作的認識不統一

由于合規工作相關的標準和條例與公司的市場需求并不緊密甚至相背，無論從普通員工還是高級經理都有不重視不理解的情況。例如在大數據分析類的公司，從監管和保護的角度，個人數據的需要受到保護而大數據公司是希望更多獲取相關的數據。對于普通的員工來說，相關的合規工作可能會帶來工作上的繁瑣，影響工作效率和原來的工作習慣。比如在高科技的跨國企業中，全球化的研發體系導致很多系統的問題需要跨國家解決，但如美國國家安全局(NSA)的要求，很多用戶現場的數據是無法直接分享給一些國家的工程師分析的，中間需要對數據的關鍵內容進行加密加擾并且權限需要控制。公司內部為了應對相關要求，必須要開發一套內部的跨國數據交互的系統對數據進行加密和加擾。這無形中也增加了企業的運行成本和運營效率。

1.3 相關合規檢驗標準不明確

由于相關的法律和條例是支撐相應技術標準的上位法，是技術標準的制定的主要依據。技術和標準的發展本身就是一個漸進的過程。很難短時間之內做到面面具備，而且相應的技術標準和測試規范也會受到起草人的水平和認知能力影響。而且從具體的執行層面看，國家標準很難照顧到方方面面的行業需求。如果沒有行業標準作為支撐，會導致企業在準備內審和外審時，有時沒有明確的要求。

1.4 執行時難與日常管理經營工作的結合

由于合規工作很多情況下是”額外”的任務或者與公司主要業務關聯不緊密，但合規的要求卻是從開始到結束貫穿整個產品的管理流程，必須在各個流程的節點要有相關的檢查和驗證的手段。這都是對原有流程的影響，以及對相應人員的職責的擴展。可以說對公司原有的日常管理工作的影響比較大，增加相關人員的工作量，而且管理人員的知識庫也需要因此而更新。這些都會相對帶來一些抵觸，畢竟這些變化打破了原有的流程和職責，改變了原有管理環境的舒適度。

2 靈活與統一的應對合規管理方案

針對上述的問題其實也有多種方式來化解相應的問題。我在這里根據實踐的經驗介紹一些方法，為企業的相關管理工作提供參考。

2.1 建立公司內部的統一合規標準

合規工作的內容和側重雖有不同，但世界上各個國家針對安全，尤其是信息和數據安全還是有很多通用和相似的地方。這就要求企業內能夠根據所在國家和地區的要求整理一份公司內部統一的安全基線。從產品的設計開發開始，就要嚴格遵循公司內部的統一安全基線。同時剝離出各個區域不同的要求做一些特殊要求。主要是在相關產品需要在其中銷售的時候能夠符合當地要求。這部分的評估工作可以作為統一安全標準的一個補充，只在所受影響的區域進行。另外從技術標準的角度看，世界范圍內也有很多和安全合規相關的國際標準組織或行業標準組織。標準組織的主要目標一般都是消除差異，為企業的技術需求和管理體系提供統一的基線。在建立公司內部的統一標準的時候，盡量滿足相關的國際標準也是一種省時省力的方法。比如在安全領域可以參考ISO,ITU等相關標準。

2.2 加強合規相關的培訓，統一內部認識

針對公司內部對合規工作的認識不統一。我建議從以下三點入手：

2.2.1 相關的培訓。

2.2.2 違規后的風險警示。

2.2.3 高層領導的重視和推動。

不重視源于對合規問題的危害估計不足或者心存僥幸心理，但從最近幾年各國政府對安全問題的監管態度上都是日趨嚴厲。中國政府現在倡導的一帶一路建設的總體思路是好事，但也引來不少其他的猜忌,在這種情形下中資企業在走出去的同時，合規就顯得的特別重要。

針對這些問題，相關的培訓是必不可少的。無論是風險相關的培訓，還是與合規流程相關的培訓，對全員和新員工都要進行系統的培訓。

對于高層領導，相關的工作人員應該把其中的風險和厲害關系充分分享給相關領導。我相信在這樣的大是大非的問題上，一個有職業素養的領導人是不會心存僥幸的。

2.3 積極參與標準制定，明確相關合規標準

作為有能力的企業要積極參與到標準的制訂中。合規工作的一個主要任務是符合相關機構的合規審查或者合規檢測。如果所處領域相關的標準和規范不是很健全，公司積極參與相關標準的制作工作。俗話說的好，一流的企業做標準。積極參與到標準撰寫的工作中有兩個好處。一來企業可以更深入了解相關的要求和測試標準，二來可以提前介入合規要求，為公司相關的合規的審查和檢測提供前瞻性支持。

2.4 靈活的組織架構和統一的處理流程，有助于合規工作落地

2.4.1 人員和組織結構及流程

專職團隊和虛擬團隊相結合構建虛實相結合的組織結構。

由于合規工作需要覆蓋公司所有相關業務及起全部的生命周期。所以每個組織都要有相關的人員參與，但出于成本考慮，公司往往不愿意招募更多的全職人員支持合規的相關工作。根據個人的實踐經驗，采用虛擬化的團隊來執行具體的合規工作也是明智的選擇。虛擬化團隊的最大好處是可以快速建立并響應將問題傳遞到公司相關部門。對于全球化的公司一個中心的合規團隊還是必不可少的。專職的人員中包括開始提到的首席執行官，而且首席執行官必須能向公司的最高領導直接匯報。合規工作的推動離不開高層管理者的推動和支持。

2.4.2 流程的調整。

合規工作落地難，其中一個主要原因和公司管理流程中的控制相關。合規工作中有很多是對管理和流程的要求，因為企業的不同，相應的合規流程也不盡相同，但企業內部應結合自身原有的管理流程適應合規中的相關要求。并在流程的關鍵節點加入合規內容的驗證和評估。對一些重要內容應行使一票否決的權利。在加入的流程中，無論是評估報告還是風險分析，最關鍵的是這些相關的結果可驗證，并能為將來的合規審查提供證據。

3 結束語

企業的合規運營已經變成企業管理中的一塊基石。合規工作的開展可以說和企業的管理緊密相連，甚至企業自身的管理也是合規管理的一部分。在當今監管日趨嚴格，法律法規日漸完善的情況，企業不要在心存僥幸，不然很容易給企業的市場和品牌的價值帶來無可挽回的損失。合規工作也不是為了應付監管和審查，而是企業真正落實企業自身的社會責任，使企業在激烈的市場競爭中走的更穩。