作者 | 贺子昱（邮箱：heziyu@36kr.com） 

编辑 | 罗松

**

随着《中国个人数据保护法》等一系列数据隐私法规即将出台，首席信息官需要将隐私安全作为企业整体IT战略的中心。

数据逐渐成为一种强大的生产要素，各国政府都在采取措施，规范数据的收集、使用和存储方式，这也影响了企业IT战略的制定。

Forrester Research分析师Paul McKay表示，数据隐私监管的加强让首席信息官们更加关注隐私安全，并将其纳入企业的整体IT战略中。首席信息官们需要花费多年的时间来协助企业适应新的数据隐私法规，比如2016年通过，2018年全面实施的《通用数据保护条例》（GDPR），其适用的目标岗位就一直在变化。中国最近颁布了一项新的个人数据隐私法，该法将于2021年11月1日生效，要求处于中国市场运作中的首席信息官确保其企业IT战略符合新法的规定。

最近发布的Forrester报告《技术高管：采取四个步骤将网络安全和隐私纳入您的战略》的合著者McKay表示，在进入新市场、遵守新法规时，拥有符合隐私安全的IT战略是企业成功的关键。

在过去10年里，首席信息官的隐私和安全战略发生了怎样的变化?

McKay：如今数字化已经渗透进方方面面，在这种情况下，许多国家和地区的监管日益加强，任何负责任的CIO都至少要确保在符合法律规定的情况下采取隐私和安全战略，而不会将风险带入企业IT战略中，并以更具协作性的方式制定战略，而不是在问题出现之后才进行补救。我认为这就是我们在过去十年间看到的变化。

GDPR等数据隐私法规如何改变最高管理层的隐私和安全对话？

McKay：监管作为一个驱动因素，将这个问题摆在桌面上，因为如果企业的信誉受损，监管机构可能会该企业嗤之以鼻，同时企业也需要面对罚款和客户信任问题。

由于过去几年发生的各种违规行为，网络安全受到了越来越多的关注。C-level 的管理者们承担着更大的压力，涵盖方方面面，没有人想成为舆论的焦点。他们只关注：我们是否在隐私安全上花对了钱？它是否融入了企业战略？这些看似简单的问题，让首席信息官将隐私安全整合到战略规划中，而非事后补救。

中国刚刚通过了新的数据隐私法。在这一点上，类似的法规的颁布对CIO的IT战略有多大影响？

McKay：隐私和安全监管类型多种多样，关于信息泄露的情况最为常见，无论是个人数据的泄露，还是关键基础设施的网络安全问题。我认为，CIO必须具备识别事件何时发生并在相当短的时间内报告的能力。因此，在新的法律适用于新的司法管辖区时，许多国际组织就寻找法律之间的共性，制定最严格的监管规定来约束企业，即如果某些行为侥幸逃脱了某些国家的法律规定，那就表示该规定并没有那么严格。

监管机构要求企业拥有风险管理战略、确保管理层充分参与、具备董事会问责制、识别和响应事件的能力，这些要求将会反复出现。由于法规辖区内的部分企业们已经构筑了这些能力，所以这些新的监管政策对企业的新影响可能不如之前他们对数据隐私的淡漠时期。

中国最近通过的数据隐私法的潜在影响如何？

McKay：我的期望是，中国的数据隐私法可能存在某些与其他地区的国际组织的法律和司法管辖权相冲突的条款。所以会有些复杂，这在本质上与香港地区的安全法类似，该法规定，企业必须在当地司法管辖区内从事相应工作，才能在法律保护下开展业务。我认为对于企业来说，他们可能在多个国家都有业务，因此这是一个非常棘手的地缘政治平衡行动。企业试图尽可能地远离政治，但在某种程度上，他们必须在这些体系中运作，以免成为监管机构的眼中钉。在某些情况下，他们可能会钻法律的空子，因此也会引发一些问题。

将隐私和安全作为 IT 战略的核心对企业有何帮助？

McKay：如果 IT 战略制定得当，它应始终支持企业的业务战略，例如我们希望企业运营更加敏捷，扩展新业务，开拓新市场。从某种程度上讲，实现这些业务战略的 IT 项目将涉及某些固有的安全风险。就拿开拓新的市场来说，如果企业已经在 IT 战略中制定了一些关于进入新市场的原则，以及一些技术支持，那么该企业将更有可能在流程的早期发现问题并及时调整优化。

数字时氪（微信ID：digital36kr）