数字经济的“新常态”

郑淯心2018-06-19 16:42

(图片来源:全景视觉)

Kevin Collin/文 欧盟通用数据保护条例(GDPR)来了。靴子已经落地,在人们对数据的使用开始建章立制的时候,企业应当看得更远,需要知道自身正在或将要采取的行动会直接关系到其数据资产的未来——数字经济下的新血液。

就埃森哲长期调研和观察来看,中国企业在保障数据安全、维系各方信任方面还有一段长路要走。中国消费者认为,其与企业的关系正陷入恶性循环:消费者渴望个性化的体验却担心数据安全和个人隐私;而离开了基于数据的消费者洞察,企业又很难打造独特的用户体验。

无独有偶,在企业端,与数据安全相关的议题也一直困扰着中国企业。近期,埃森哲在调研制造企业如何运用人工智能技术时发现,52%的中国受访企业将数据质量列为突出挑战,数据安全与网络安全紧随其后(47%),均高于全球平均比例。

信任是数字经济的基石。伴随着社会高度的互联和新兴技术的规模应用,企业亟需构建一种新的社会契约关系:不仅有关商业,更在于与人的关系。企业提供产品和服务时需要“知道得更多”,但更需要“公开、透明得更多”,这样才能在目标与价值观上与人们建立起更深入的信任和伙伴关系,这才是企业持续发展的动力来源。在这个意义上,GDPR是一块很好的试金石。

数据拥有者和使用者都会被问责

GDPR是二十年来数据隐私规则领域发生的最重要变化,新条例要求加强对数据隐私的管控,提高个人数据管理技术和提供详细记录。尤其对于将业务建立在数据收集和分析之上的科技公司而言,新监管将可能改变其运营方式。有研究者甚至预测,这将使得创新和发展速度放缓。

在数据保护上,数据供应链自上而下的各方(包括数据的拥有者和使用者)都会被问责,这一规定史无前例。比如,提供数据处理服务的云服务提供商等也将需要直接承担合规风险和义务。

然而,早前面向云服务供应商的一项调查显示,仅有6%的企业被认为符合GDPR、无需在新的规定条款框架下重新商谈合同。出于对数据处理的复杂性和成本的考虑,91%的企业对自身能否符合GDPR表示担忧。

值得注意的是,GDPR还要求,如涉及自动化数据处理(如数据画像等),数据控制者还需要提供基本的算法逻辑及针对个人的运算结果,也就意味着算法的“黑匣子”需要在一定程度上透明化。

正如埃森哲在《技术展望2018》中指出的那样,以人工智能为代表的新兴技术需要教养。从技术层面而言,除了需要确保信息安全保密性、要防止信息泄露问题之外,企业需要进一步理解技术背后的行为源头再去教育它,保障信息没有被滥用。

在获取和管理个人信息上,GDPR提出了新的、更严格的要求,并赋予个人明确的权利,为企业通过人工、流程和技术进行客户数据管理都带来了一定的冲击;而且,GDPR还大大增加了数据保护的强制性和责任性。具体来看,GDPR提出了八项基本要求,对企业运营带来巨大冲击。

数字经济也是信任经济

技术变革正改变着我们的世界,也让我们感受到了对立和紧张。商业世界的逻辑永远不是非此即彼:数据开放的担忧和对产品服务个性化的渴望;技术的大规模应用和使用不当导致的大规模事故和丑闻;生态圈中的共享洞察和竞争合作等等。

物理、虚拟世界的隔阂正在消失,但企业与信息、与用户、与人才间的互动远未达到信任无间。当下技术变革的特点是技术与人形成一种双向关系。人们不只是企业产品和服务的消费者,同时还将想法和需求直接反馈给企业。因此,企业需要从新的角度思考业务契机,将关注点从“接触点”转向“信任点”,化解今天面临的诸多尴尬和挑战。

监管政策总是与时俱进且不断演进的,应对这些变化将成为企业运营的“新常态”。最为重要的是,建立起数字信任是先决条件。脱颖而出的领先者一定是那些把业务洞察建立在数据安全和隐私保护措施之上,并建立起新型信任关系的那些企业。

过去一年,引发越来越多人际、组织和社会之间矛盾关系(或公司丑闻)的不是某台智能设备或机器,而是看不见摸不着的数据——无形的、也是全方位的。

综合埃森哲的研究以及第三方调查发现,许多企业依旧疏于对用户数据进行有效追踪和采取相应的保护措施。从关键问题出发,企业才能站在GDPR之上看得更远,有助于进行自我诊断,并开展针对性措施。

(作者系埃森哲互联网行业董事总经理;本报记者郑淯心采访整理)

企业如何自我诊断?

1、企业是否了解客户数据

的存储位置?企业必须掌握所存储和处理数据的特征,从而可以全面保护数据。目前,领先企业能够成功追溯70-80%的数据来源,但仍有许多企业尚不具备这一能力。甚至许多领先企业也表示难以探寻剩余20%相关数据的下落。

2、企业能否明确证实已获得客户同意?

企业应当向用户提供简明易懂的数据收集和处理相关的知情通知,确保在获得用户同意后方可继续使用这些数据。例如,未经用户明确同意,企业不得将个人信息用于营销目的,甚至不得用作客户群的背景说明。

3、企业的内部隐私管控机制是否健全,相关产品和服务是否符合隐私策略?

企业需要将隐私管控机制全面集成到需要使用个人数据的各个系统和流程中,从而确保为客户提供可自动应用隐私保护设置的产品和服务。

4、企业存储的数据是否支持移植和传输?

这一点要求企业具备多项能力,包括对数据结构化处理,使其成为可移植的数据,以及管理多个平台或供应商之间共享的数据。高科技企业还需着力构建数据安全解决方案,提高消费者的数据可视化程度,和筛选哪些数据需要传输的能力。

5、企业能否在必要时彻底清除个人数据?

GDPR规定,用户有权“被遗忘”,这就意味着企业必须删除不必要的或用户不再允许使用的个人数据。因此,企业必须具备相应的技术和流程,在整个企业中查找相应的数据,将其从系统中删除,同时将用户的数据清除请求告知第三方处理机构。目前,84%的云服务供应商并不会在合同到期时立即删除客户数据。

6、企业能否快速识别并报告数据泄露事件?

如果数据遭到泄露,用户有权快速获取相关信息,这就要求企业必须在72小时内向数据保护机构报告数据泄露事件。目前,只有1%的云服务供应商能够在24小时内向客户发出数据安全事故通知。

7、企业能否确保所使用的第三方供应商符合GDPR标准?

需要进一步厘清整个数据供应链上的企业各自的数据保护职责。企业必须明确划分各利益相关方的角色、责任和义务,同时具备卓越的履约能力、供应商管理和风险管理知识,从而打造各平台合作伙伴间紧密合作的全新架构。

8、企业是否拥有经验丰富的隐私保护工作人员?

企业必须加大对个人和员工隐私保护的培训力度,建立相应的工作流程,促进不同业务部门之间的协作。企业必须及时填补隐私保护方面的关键职位空缺,安排相应的员工培训。对于需要处理大量敏感数据的企业,可能还需聘请专职的数据保护官。

 

版权声明:以上内容为《经济观察报》社原创作品,版权归《经济观察报》社所有。未经《经济观察报》社授权,严禁转载或镜像,否则将依法追究相关行为主体的法律责任。版权合作请致电:【010-60910566-1260】。
大消费新闻部记者
长期关注大消费行业的市场发展和公司动向,擅长深度调查报道、高端人物专访和产业剖析。
线索请联系:zhengyuxin@eeo.com.cn