1973年,瑞典推出了全球首部个人信息保护法《瑞典数据法》。此后,大部分国家和地区开始结合自身情况,制定个人信息保护框架。2018年,欧盟出台了《通用数据保护条例》(简称GDPR),被称为史上最为严格的个人数据保护法案,将数据隐私与安全的话题推向了新高度。去年11月1日,我国也迎来了首部针对个人信息保护的专门性立法,《中华人民共和国个人信息保护法》(以下简称“个保法”),正式填补了个人信息保护领域高位阶且具有强制约束力的法律空白。目前,全球已有128个国家和地区制定了与个人信息保护相关的法律法规。
除了推出新法案,众多国家对其隐私数据法规也在不断从严调整。比如,新加坡对数据泄露问题较之前处以更严厉的罚款,最高罚款高于之前的100万新加坡元。在澳大利亚,最新修订法案规定,对于严重或屡次侵犯隐私的企业,设置了三种处罚情景,最高罚款将从222万澳元(约合人民币1076万元)提高至5000万澳元(约合人民币2.42亿元);或通过滥用信息获得的任何利益价值的三倍;又或是相关期间公司调整后营收的30%,三者中以较高者为准。
从立法的数量、执行力度来看,监管对于数据隐私与保护的趋严态度已经成为企业发展不得不重视的问题。
正值《个保法》颁布1周年之际,全球SaaS软件提供商Zoho推出《Zoho CRM安全白皮书》,回答企业及个人用户关心的一些问题。
全球化背景下,企业正在承担更大的合规压力
1、外部挑战:海内外不同的文化及监管规定
安永此前曾对GDPR欧盟范围内的判罚案例做了一份调研,数据显示:
· 占比最高的是企业缺乏保障信息安全的技术和组织措施,尤其当出现数据泄露时,若收到用户投诉,但企业未能及时采取应有的措施挽救,将很容易收到处罚;
· 其次,数据处理的法律依据不足,如果企业选错了数据处理依据或者没有合法处理依据,意味着该企业在处理个人信息时缺乏处理的正当性;
· 第三,违反数据处理原则以及保障数据主体的权利等。
⁕数据来自GDPR执法案例全景白皮书(2018.5-2020.5)
从全球视角来看,当前,美国多个州计划重新引入隐私法规,加利福尼亚州已经通过了《加州隐私权法案》(CPRA)作为该州的综合隐私法;拉丁美洲多个国家有望出台改革联邦隐私立法的法案;巴西的通用数据保护法(LGPD)也在2021年8月1日正式实施。
此外,针对特定行业的监管正在持续增加,全球各个国家和地区间对待隐私保护的态度不同,需要企业去不断适应。
2、内部挑战:安全投入成本与企业效益之间寻求平衡
企业在内部建立起自身的隐私合规框架是一个长期且持续的过程,从隐私解决方案提出、评估、运维到响应都需要人力支出。
安永在近期发布了《2021安永全球信息安全调查报告(GISS)》报告,该份报告针对2021年3月-5月,全球1010家企业的首席信息安全官和高层展开的调查,其中43%的受访者来自欧洲、中东、印度和非洲地区,36%来自美洲区,20%来自亚太区。主要聚焦年收入过10亿美元的大型企业。
其中,54%的中国受访者表现,合规是工作压力最大的一部分。由于监管环境的多样化,对于符合监管所做的工作将花费更多的时间。尤其是《数据安全法》及《个保法》颁布以来。
Zoho CRM的应对策略
2021年中国SaaS行业市场规模达322.6亿元,预计2023年将达555.1亿元。不断增长的市 场规模印证了企业信息化建设模式的变化趋势。在Zoho看来,企业的数据安全问题,要放在当前大的云服务背景下看待。
· 在信息安全保护方面,Zoho采取了诸如物理安全、基础设施安全、主副数据中心等方式,来充分保障硬件、服务器等设备安全,以及防止数据遭到破坏。
· 网络安全方面,Zoho采用多层保护和防御机制的网络安全和监视技术,通过防火墙防止未经授权的访问和不良流量。为了保护敏感数据,Zoho将系统分割成单独的网络。支持测试和开发活动的系统与支持Zoho生产基础架构的系统托管在不同的网络中。
· 隐私安全方面,Zoho建立起了专业的隐私保护团队,以“法律合规”为首要目标。Zoho将隐私保护的理念融入到了产品研发、产品功能等各个层面,制订详细的隐私保护政策,来保障用户的数据隐私安全不受侵犯。
基于SaaS模式,Zoho采用了云安全责任共担模型,与用户、企业共同创建数据安全环境。安全责任共担的好处在于,企业可以减少对数据安全的资源投入,将精力聚焦在数据安全保障上。
在责任共担模型中,Zoho负责构建安全、可靠和运行稳定的产品,我们在维护云基础设施的同时,客户主要保护自身的数据,以及在Zoho产品中的相关配置信息。
此外,Zoho在内部专门委任了数据保护专员,会根据Zoho的隐私政策来监督我们对用户个人信息的管理。其他细节,可扫描下方二维码,获取《Zoho CRM安全白皮书》查阅。
企业对Zoho安全的信任
Zoho服务过众多出海、外贸,有跨国业务的全球化企业。他们选择Zoho的原因,一方面源于产品功能可以满足业务需求;另一方面,Zoho作为一家国际化企业,对于数据隐私安全的保护可靠到位。
以互联网出海标杆企业茄子科技为例,他们选择Zoho CRM时,认为“Zoho CRM具备国内、国际双重服务能力,这点国内其他CRM产品很难满足。其次,因为业务分散在世界各地,需要解决数据整合及统一管理的问题。茄子科技深知数据合规的重要性,遵守各业务地区数据保护条例。”Zoho作为一家业务遍及全球的科技企业,同样需要面对并遵守不同国家和地区的隐私法规。
科创板上市公司映翰通也是Zoho产品的资深用户,此前曾评价到:“我们之前使用的是Sugar CRM,实施迁移后,几天就把上万个客户和联系人导入到Zoho CRM中,基本是无缝完成了新老系统的更替。”“Zoho是一套简单易用的全能营销工具。”作为上市公司,信息披露的要求标准均需符合监管要求,Zoho是映翰通经过多番审核,最终长期使用的SaaS供应商。
从信息安全到网络安全,再到隐私保护,在数字化、云服务的大背景下,数据安全是每一个企业都应该关注并践行的重要话题。只有在数据、隐私、信息在充分安全的前提下,企业才能更好地开展业务,实现持续增长。
拥有数据和隐私的安全环境是用户的权利,保护数据和隐私安全是Zoho的安身立命之本。我们会不断创新并通过实施最新的技术和协议加强数据保护,在云服务数据安全道路上,为更多企业发展保驾护航。