不管任何一位企业领袖个人对数据隐私法规有何看法,它们似乎注定会变得更加强大。
去年12月,200多家银行、零售商和科技公司呼吁国会起草更严格的隐私立法。联盟成员表示,他们相信所有公司都应该遵守相同的规则,无论其规模或行业如何,而且应该有一个数据泄露通知的国家标准。
私营企业本身呼吁立法,这一事实意义重大。公司现在已经敏锐地意识到数据泄露所带来的财务和公共关系方面的影响,以至于他们实际上要求立法者对数据泄露进行更高的标准。公众同样对数据隐私感到焦虑。
正是这种结合,使得更严格的数据监管极有可能即将出台。
所有这些都是在去年春天欧盟实施《通用数据保护条例》(GDpR)以及去年夏天通过《加利福尼亚消费者隐私法案》(california Consumer privacy act)之后发生的。国会民主党人和共和党人目前在这个问题上针锋相对,共和党人只对一项取代任何州法规的联邦法律感兴趣。
小企业如何看待这一切?考虑到加利福尼亚州的法律将于2020年1月生效,而且几乎每个州都提出了各种数据隐私立法,小企业显然急于避免各州法律的可能拼凑。监管水域已经波涛汹涌。
一些行业,如金融业,已经习惯于数据监管。然而,考虑到可能出台的新法规的范围,金融业的经验不会有多大意义。因为一个简单的事实是,美国的每家公司都需要在2019年为新的合规挑战做好准备。
你想过合规对你意味着什么吗?
大多数公司都希望即将出台的法规能够仿效GDpR,而GDpR现在适用于欧洲所有为客户服务的企业联合.GDpRlevies对每一个被曝光的违规记录进行罚款,这意味着罚款可能达到数百万欧元(甚至数十亿欧元)(计算一下美元)。
如果这些数字的大小令人不安,考虑一下罚款的可能性。即将出台的法规将迫使公司对数据和客户参与采取全新的方法。适应复杂、范围广泛的新法规并非易事。公司可能急于遵守,但却发现自己陷入困境,因为他们无法做到这一点。
日益增长的网络犯罪威胁是另一个令人担忧的问题。如今的黑客既顽强又老练,使得网络安全难以保证。不管发布了什么法规,遵守这些法规并不能使公司免受攻击,也不能免除罚款——尽管这会使它们得到比现在更好的保护。
我们还不知道任何新法规可能采取什么形式,也不知道它们会对个别公司产生怎样的影响。幸运的是,这些细节并不是企业开始构建更好的法规遵从性方法所必需的。目标是使管理法规遵从性同时变得更容易和更一致。从以下步骤开始:
不要认为数据是“受监管的”还是“不受监管的”所有数据都具有潜在的敏感性,因此,公司应该开始平等地保护所有数据,而不是保护某些数据。首先,企业能够从尽可能多的来源收集数据,以便存储在一个为法规遵从性而标准化的平台上。
施乐在2017年成立了合规办公室,致力于通过帮助员工勤奋工作,确保高层领导和所有管理层成员发出一致的信息,创造积极的企业合规文化,从而认识到标准化的价值。该办公室还不断审查和更新公司政策,以符合不断变化的监管和法律要求。
一旦多种格式的快速移动数据受到隐私法的约束,这种自上而下的协调将是必不可少的。可以把它看作是一个专门的法规遵从性团队,负责及时了解每一个新的开发并做出相应的响应。
各种规模的公司都应该仿效施乐公司,并努力编纂他们的合规协议——越早越好。只要确保对程序变更的可能性保持开放,因为即将出台的法规在出台和颁布时肯定需要灵活性。
审计对合规性至关重要。遵从审计师的要求通常意味着交出大量的信息。另外,进行内部审计可以让公司在监管机构到来之前发现并纠正问题。无论哪种情况,公司都需要按需访问所有数据;否则,任何类型的审计都是一种负担。
通过统一搜索将所有数据放在一个可访问的平台上,基本上可以轻松地进行检索。尼康明白快速反应非常重要,以至于它已经开发出了独立的系统。这些制度使公司内部审计部门能够在不受运营部门干扰的情况下审查法律法规和内部规章的遵守情况。
向公司执行委员会和董事会提供各部门年度活动的概述,主要是确定pisions的运营是否符合法律法规,以及提出改进建议。
想象一下,在你的公司进行了大量的试运行之后,外部调查将变得多么容易管理。熟能生巧。随着2019年及以后法规的演变,快速反应和适应将是关键。尽快建立一套内部审计制度,以取得领先。
法规规定了公司在违约前后必须采取的行动。由于越来越多的审查,公司必须对数据安全变得极度警惕。例如,如果一项违规行为未被发现,因而未被报告,那么由此产生的罚款可能会成倍增加。考虑到网络安全的不可预测性,公司需要制定计划和政策,详细说明在网络安全被破坏后如何采取行动。
通用电气(generalelectric)聘用了约800名合规负责人和600多名兼职监察员担任顾问,帮助其全球员工将合规放在首位。
通用电气没有试图掩盖合规问题,而是直面合规问题,确保问题得到倾听和解决,并利用热线电话让员工报告合规问题。员工也可以带着这些担忧去找他们的经理。其想法是,各方之间坦诚、公开的对话将在许多问题有机会开始之前就停止。
每家公司都应该效仿通用电气。当然,你可能没有成百上千的员工来承担这项任务,但有一个分层的监督网络将有助于消除盲点,并掌握新的立法。
避免巨额罚款和负面宣传很重要,但处罚并不是2019年关注合规性的核心原因。是什么:客户关心他们的私人数据,并且厌倦了看到公司滥用这些数据。
这样,监管机构就为企业在完全由数据驱动的未来经济中茁壮成长铺平了道路。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“融道中国”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场。
延伸阅读
版权所有:融道中国