30/12/2021 黃淑儀博士每日財經個人筆記(版權擁有)
回顧與展望(繼續)
1. 到目前為止,我們專注於2022技術影響, 這包括:人工智能驅動的網絡安全 (AI-powered cybersecurity); 勒索軟件威脅 (The growing threat of ransomware); 脆弱物聯網 (The Internet of Vulnerable Things)
2. 今天我們將討論最後一個項目: 網絡安全風險和監管決策的關鍵.
網絡安全風險和監管決策
• 隨著最新的{中國個人信息保護法}(Chinese Personal Information Protection Law)和加州消費者隱私法(Californian Consumer Privacy Act)歐洲通用數據保護條例 (GDPR – European General Data Protection Regulation) 等,更多的企業,公司,在線平台,包括慈善機構,大學和學校甚至幼兒園等; 2022年在信息安全方面, 出現失誤機會是很大, 可能面臨巨額罰款的風險. 這意味著每個組織的數據或系統, 包括合作夥伴都將受到嚴格審查。
中國《數據安全法》
• 中國《數據安全法》積極回應了時下國內外, {數據競爭和保護}的關鍵問題,給企業數據經營合規、以及進一步的數據資產化治理與發展提供指引。
• 同時,從{網絡主權}延伸至{數據主權}的發展趨勢日漸明顯,數據安全成為國際間競爭與合作的全新議題。圍繞數據控制權和管轄權,興起新一輪的“數字主權化”浪潮。
• 從金融和經濟的角度來看:這極大地影響了那些中國首次公開上市的公司 (IPO) 的上市選擇地點和估值方法模式。對那些想要投資中國公司股票的美國基金公司, 還受到美國政府的限制。
對我來說《數據安全法》最終文本已在中國人大網上全文公佈,並且將於2021年9月1日產生法律效力。企業需要準確認識、深入研究和仔細解讀: 其中的法律適用具體問題,以避免不必要的合規風險乃至違法成本。
• 例如,最近有中國公司在最後一刻, 因為數據問題, 而不得不退出首次公開募股:這很可笑。 如果那些來自美國和中國的顧問, 仔細閱讀了數據立法,他們應該知道他們的行為違反了法律: 國家互聯網信息辦公室發布的《汽車數據安全管理若干規定: –
“《汽車數據規定》”首次明確界定了汽車行業重要數據的範圍,具體包括:
軍事管理區、國防科工等涉及國家秘密的單位、縣級以上黨政機關等重要敏感區域的人流車流數據;高於國家公開發布地圖精度的測繪數據;汽車充電網的運行數據;
道路上車輛類型、車輛流量等數據;包含人臉、聲音、車牌等的車外音視頻數據;以及國家網信部門和國務院有關部門, 明確的其他可能影響國家安全、公共利益的數據。
• 另外,2022年對企業的建議是:要閱讀所有相關的法律法規,而不僅僅是主要的法律和政策。例如:《數據安全法》延續《網絡安全法》的規定,以重要數據為錨點,但是同時, 對重要數據的處理活動, 提出了若干延展數據安全保護義務,主要包括:
1) 重要數據的處理者應當明確數據安全負責人和管理機構(第27條);重要數據相關活動定期開展包括重要數據的種類、數量,收集、存儲、加工、使用數據的情況,面臨的數據安全風險及其應對措施等在內的風險評估,並向有關主管部門發送風險評估報告(第30條);
2) 如果重要數據的處理活動影響或者可能影響國家安全的,應當接受國家安全審查(第24條);
3) 關鍵信息基礎設施的運營者在國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門製定。 (第31條)。
因此,在 2022 年,所有企業,無論大小,最大的風險之一就是沒有密切關注與技術相關的立法問題和政策。
任何網絡安全操作的安全性取決於其最薄弱的環節,這意味著組織越來越多地將供應鏈中的每個環節視為潛在的漏洞。因此,企業應將網絡安全彈性作為選擇合作夥伴的決定性因素。([email protected] <mailto:[email protected]> )