近期不少友人谈论数据规范议题,恰好我挚友老李这半年的经历颇具典型性。他在中关村一家从事企业数字化SaaS业务的公司担任技术主管,目睹了从遭遇挫折到进行修正的完整过程,此事与今年四月新推行的工业和信息化部令9号关系直接,听完他的故事,你就知道小企业怎么避开合规雷区了。
工业和信息化部令9号是什么?
老李的公司去年年底完成了A轮融资,公司领导决定开发汽车行业的数据展示工具,不过刚拿下首个客户,问题就出现了。今年三月,客户的合规部门突然提出质疑:"你们的软件在收集信息时,没有弹出窗口说明用途,还默认获取位置信息?这完全违反了2022年发布的第9号文件!"当时整个技术部门都感到困惑——没有人知道这个文件。连夜翻政府网站才发现,工业和信息化部令9号《工业和信息领域数据安全管理实施条例》这个文件,在2022年12月就已经公布,今年4月1日才正式开始实施,主要针对工业方面的数据使用情况,他们开发的汽车行业软件服务正好受到这个条例的约束。
不合规有多严重?
起初老李认为客户反应过度,直到五月收到朝阳区网信办发出的《约谈通知书》才幡然醒悟。执法部门发现了三项严重问题,包括:未能为用户设立数据可撤销的授权通道;日志保存时间仅定为三十天(九号令规定最少六个月);生产区与测试区数据相互连通,导致数据缺乏分类管理。那阵子把老板给吓坏了工业和信息化部令 9号,当天就到楼下的律师事务所租了个房间,给我们搞了半天法律知识培训。光是律师的酬金,再加上加班整改的钱,前后花了将近十万块钱,那几乎是我们俩两个月的流动资金了。
小企业怎么执行9号令?
真正难熬的是整改那两个月。研发总监抓着工业和信息化部令9号第六条第七条第八条里关于数据收集的"最小必要原则"的说明,就让前端团队修改了五次,注册环节原本需要营业执照和法人身份证,现在只留下企业简称和唯一识别码,用户画像数据也从原先本地储存改成了实时计算后销毁。老李管理的那个数据中台经历了多次改造,原先因为图省事,把所有客户信息都存放在一个 Redis 集群里,现在根据九号令第十四条的要求必须分开数据库,就连负责维护的同事设置防火墙规则都感到十分头疼。没想到这个转变让产品负责人突然有了新思路,合规调整之后用户信任明显增强,新版本发布三个月内续费比例增加了18个百分点。
9号令实施效果如何?
老李的公司现在墙上贴着非常明显的资料安全操作指引,每个短周期结束后的评审会议都必须对照执行标准清单。前不久朝阳区网络信息办公室来检查工作,他们被当作了区域内规模较小的科技创新企业的示范单位。前些天接到所在社区管理处的通知,说附近好几家类似的企业都被处以了数额巨大的罚款,企业负责人还受到了约谈处理。这才明白刚开始推行的时候大家都很犹豫,如今才清楚这根本不是可以自由选择的事情。上月行业高峰论坛,李先生特意率部参加工信部举办的九号令研习会,见到与会者尽是中小科技企业主,咨询处人头攒动,队伍蜿蜒环绕会场。
说到底,工业和信息化部令9号对小企业而言,这既是限制,也是保障。老李现在到处宣传数据规范的关键性工业和信息化部令 9号,"不要等到罚单送到才去弥补过失,与整改的开销相比,业务被停30天的代价谁能够承受?"我最近把老李编写的《9号令100题检查表》放到社交网络上,一天之内就有很多人索要电子档。如果你正在从事工业领域的数字化工作,最好立刻参照相关规定进行自我检查,毕竟遵循法规这条路,走得越早越能让人放心。如果觉得这些内容对你有帮助,可以点击一下支持,在留言区说句话,我会把老李整理的清单发给你。
