字数 10763,阅读大约需 54 分钟
第4-45讲:法律法规与合规审查(中)——给数据资产上“保险”
第一部分:上节回顾与热身
嘿,同学们,早上好!欢迎回到老孙的软考课堂。
上节课,我们一起,系统性地,学习了我们所有数字化活动,都必须无条件遵守的“根本大法”——《中华人民共和国网络安全法》。这节课的内容,极其重要,因为它为我们所有的数字化活动,划定了最基本的、不可逾越的行为边界。我们得出的核心结论,有三条,请大家跟我一起,在脑海里快速地过一遍电影:
- 1. 定位变了:我们深刻地认识到,法律合规,不再是技术部门的可选项,而是整个企业生存发展的“生命线”。我们“智慧邻里”平台的运营方,作为一个典型的“网络运营者”,必须,也必然,要无条件地承担起法律所赋予的所有责任和义务。
- 2. 身份定了:我们明确了,我们必须对平台上的用户,实行“后台实名制”。这意味着,“游客模式”或者“昵称注册”,在我们的核心业务中,是行不通的。用户的真实身份,必须与权威机构的数据,进行交叉校验。
- 3. 责任明了:我们知道了,我们必须像保护自己的眼睛一样,保护用户的个人信息,并且,要严格执行网络安全等级保护制度。这为我们之前,经过专业分析,将“智慧邻里”平台,确定为“等保三级”的这个决策,提供了最坚实的法律依据。
课后作业深度剖析
我看了大家的作业,思考得都非常到位,有深度,有见地。特别是第三道“规划师视角”的题目,这个问题,可以说是每一位IT负责人在推动安全合规项目时,都必然会遇到的最大阻力:“如何向对成本高度敏感的王总,说明白,那笔看起来‘不产生直接收益’的‘合规成本’,是必须投入、而且是物有所值的?”
大家的回答,都非常精彩,有的从法律的强制性入手,有的从市场竞争的信任优势切入。这里,我给大家提供一个“老孙”风格的、更完整的参考话术,希望能把“风险管理”和“品牌价值”这两个点,揉得更透一些。
【模拟场景:在“智慧邻里”项目预算专题评审会上】
背景:你刚刚汇报完项目的总体预算,法务部的同事,紧接着,就提出了增加一笔200万元的“合规专项预算”的建议。王总听完后,眉头紧锁。
王总:“小孙,法务提的这笔钱,我不是说不应该花。但是,200万,不是个小数目。我们现在,每一分钱,都要花在刀刃上。你看看,我们花200万,可以多开发好几个业主喜欢的新功能,可以多做多少市场推广。而这200万,花在‘合规’上,它能给我们带来一分钱的收入吗?好像不能。这是一笔纯粹的成本投入。我们能不能,先把核心功能做上线,等我们开始赚钱了,再来慢慢地,完善这些合规的事情?”
你(老孙):(你心里非常清楚,王总的这个想法,代表了绝大多数企业家的“增长优先”思维。你必须,把这个看似是“成本”的问题,成功地,转化为一个“投资”和“保险”的问题。)
“王总,您提的这个问题,特别关键!‘每一分钱都要花在刀刃上’,我举双手赞成。而我今天,想向您论证的,恰恰是,这笔200万的预算,正是我们所有投入中,最应该被花在‘刀刃’上的那一部分。因为它,是在为我们未来所有的收入,上了一份‘综合保险’,而且是一份稳赚不赔的保险。”
“我们可以从两个角度,来看这笔钱的价值。”
第一个角度:从‘风险管理’的角度看,这不是‘成本’,这是‘风险拨备金’和‘消防系统’。
“王总,我们可以把我们面临的网络安全风险,想象成两种‘火灾’。”