就在上海韩国商会的会议室里,30家韩企聚在了一起,开了一场关于个人信息保护的研讨会。大家请来了政府智库、律师事务所、技术平台还有韩资企业,凑成了一个数据安全交流平台,现场气氛热烈,大家开始探讨怎么在保障安全的前提下让数据流动起来。 现在的互联网环境让人不得不谈合规。那些App动不动就要通讯录和位置信息,“大数据杀熟”成了常态,个人信息变得很危险。现在有两部法律在盯着大家:个人信息保护法和数据出境安全评估办法。企业要是敢违规,轻则罚款,重则就直接被关了。所以说保护数据其实就是保护企业活下去的“数字生命线”。 会上有专家给大家画了三张图,把这两部法律的核心要求变成了“红线清单”。红线一要求收集信息前要先问清楚为什么需要;红线二说只留够用的部分;红线三规定数据最好保存在国内。这就告诉大家合规不是可做可不做的事,而是关系到生存的大事。 讲师还举了个例子:某家大电商因为默认勾选“个性化推荐”,导致上百万条短信轰炸用户,结果被罚了几千万还下架整改。这就告诉大家两个大问题:默认选项会误导人,还有最小必要原则没守住。现场的韩企边听边记,有人感慨“原来用户默认就是最大的漏洞”。 专家还把法律条文简化成了四步走的工具箱:制度层要先定规矩再考核;技术层要加密、脱敏;运营层要有撤回功能和清单公示;出境层要有自评估和第三方评估的双保险。企业们当场领走了模板打算回去照着做。 对于那些要跨境做生意的企业来说,“数据出境安全评估”特别重要。流程图显示要先自己评估、准备材料、提交专家评审、整改后才能拿到批复正式出口。如果材料不齐或者逻辑不对,流程至少得拖三个月。有企业问第三方云服务商需不需要安全认证?答案是“Yes”。 接着大家开始提问:海外子公司自建数据中心能不能用VPN连?答案说不行,必须走跨境链路评估或者数据港模式。法律问题是员工丢电脑泄露数据谁担责?如果没加密也没离职审计,企业就得赔钱罚款。还有一个跨境问题是韩资母公司要中方子公司数据回流怎么办?需要先备案再做评估。 最后主办方宣布要建一个“韩企合规互助群”,定期发解读和模板还组织专家答疑。一位负责人说今天不是结束而是开始,要像做财务报表一样让合规成为日常习惯。掌声响起的时候,这场关于数据安全的“上海对话”才真正开始。