数据合规很热,但行业仍在摸着石头过河。在承办数十起数据合规项目后,互联网合规君发现,企业数据合规管理难点主要表现如下:
合规目标不清晰、不准确一把手不重视,从下而上做合规阻力重重数据合规驱动业务增长,这是良好的理念,但它不是目标。很多企业在数据合规方面无法确立清晰、准确的合规目标,以致于内部合规团队难以形成合力或者合规工作难以推进。
【资料图】
合规目标有大有小,如企业初涉数据合规领域,建议将合规目标尽可能拆分,从小做起,以点带面。例如:
监管检查专项应对行业新规合规响应KA客户投标过审业务合作方合规审查境外总部合规要求业务出海数据跨境投资方合规审计拟境内外上市前整改网络舆情事件处理合规形象公关展示底层数据刑事风险隔离......企业对外宣发可呼“合规自律”,但内部推动还是应确立可接受、能执行、易量化、有反馈的合规目标。
数据合规切勿自嗨,不要看到这个数据安全事件、那个行政处罚案例,就感觉天降大任于斯人、奈何队友不给力。数据合规很重要,但如何支持业务发展、如何平衡业务增长与合规成本更重要,亦是合规部门与业务部门配合协作的基础。不要强推合规而不顾用户流失,不要争抢合规业绩而忽视营收压力。
合规整改牵一发而动全身。数据合规不仅仅是数据流的合规,更是业务流、合同流、资金流等等再加上数据流的合规。理解数据,更要理解业务与场景,理解可承受的风险与应让渡的资源,理解行业的潜规则以及底层违规的无可奈何。
另一方面,对标头部但不要盲从,数据合规应建立在企业自身的业务之上。多少所谓保护用户隐私的行业优秀实践案例,是以合规之名谋取竞争利益。合规可以是一门生意,但不应完全是,也不一定会成为你的生意。
合规,是企业减少负反馈的过程,是良币驱逐劣币,是企业“在自己身上,克服这个时代”。
数据合规整改普遍面临的难点:
如何全面识别数据合规相关的各类风险?如何将各类合规要求转换为企业内可执行的标准?如何持续满足不断更新变化的相关监管要求?如何有效评价数据合规工作的实际效果?......将合规要求融入整改解决方案,是数据合规能否有效落地的关键。
建立外部合规规则矩阵,基于对合规规则的分类、整理而形成合规基线。综合考量企业所在的行业、业务领域以及业务开展地、合规需求等因素,建立适配的、可拓展的数据合规治理框架,将合规要求提炼为可执行的控制项。根据各业务线与特殊敏感场景设立合规管控侧重点,对风险进行分级分类并设置内部响应机制。定期对控制项实施情况进行效果评价,审查控制项在企业内部的执行程度。另一方面,使合规要求自动(数字化)/主动(组织自觉性)触发合规管理流程,将数据合规融入企业日常管理中,降低可预期的风险。
(以PIA为例)
准确拆解合规计划及任务、及时调配各类资源以支持项目、有效协调企业各部门间分工协作、合理推进合规整改进度、整体把控合规项目质量与效果等,既是技术,也是艺术。项目管理,一言难尽。
合规不是合乎某某领导一家之言,不是合乎某某内部会议之道听途说,亦不止于合乎法规、政策、标准、规则等,更是合乎规律。特别是数据合规领域,很可能今日之种种专项行动,明日却被否定推倒重来。合规部门应与法务、公关、GR等部门通力合作,但更应有自己的合规主线与合规智慧。听风就是雨,很容易丧失合规应坚守的原则与底线。
我们也曾/正服务多家政府监管部门。如客户在合作洽谈期间谈及“与XX部门有没有关系”,我们坦诚直言“没有关系”。所谓“有关系”,无法解决“合规问题”。
最后,祝愿大家在合规里卷出一片天地。