案例背景
去年下半年,某省网信部门和公安部门联合对辖区内多家重点企业执行了数据安全合规检查工作。其中一家专门从事电商数据分析服务的技术公司,在接受现场检查时被发现存在相当严重的数据安全漏洞和多项合规违规问题。检查过程中,监管部门发现该企业此前按照要求提交的年度安全自查报告中,标注为已整改的多项安全隐患,实际上根本没有落实任何整改措施。报告上的整改描述写得非常详细,写明了整改时间、整改负责人和具体措施,但现场的实际情况却和这些描述大相径庭,完全是两码事。监管部门依据数据安全法和相关法规,对该企业做出了较高金额的行政罚款并责令停业整顿的处罚,企业的主要负责人也被约谈并要求书面说明情况。这一消息传出后,该企业的多家重要合作方先后暂停了业务往来,企业运营陷入了非常困难的境地。
风险分析
安全合规检查中的数据造假行为,带来的风险远不止一次罚款那么简单。这个案例中,企业本质上存在的问题本来并不是特别严重——技术漏洞可以通过修复来解决、管理制度可以通过完善来提升——但在安全自查报告上做手脚这个行为,让监管部门和整个市场对这家企业的信用产生了根本性的怀疑。数据安全法和个人信息保护法中,对于隐瞒重要数据安全事件、提供虚假安全评估报告等行为,都有明确的从重处罚条款。企业在这个问题上犯了一个方向性的根本错误——把安全合规工作当成了应付检查的表面任务,而不是真正当作企业经营的底线来重视。安全自查报告的真实性和可信度,是监管部门和第三方评估机构对企业做信用评级时的重要参考依据。一旦在这个方面失去了信任,后续所有的合规事项都会受到更加严格的审查和关注,企业的合规经营成本会因此成倍地增加,这种连锁反应才是真正让企业难以承受的。
警示与建议
企业在对待数据安全合规这件事上,必须从心态上放弃应付的想法。安全自查报告是对自身安全状况的真实反映,不是给监管部门交的作业。发现了问题正是改正的机会,整改不到位就如实写明未完全整改以及正在采取的措施,这远比写了已整改后被现场抓到要好得多。建议企业建立安全合规工作的专项管理机制,由专人或者专门的部门负责安全管理的持续性改进工作,而不是为了应对检查才做临时突击。同时,建议引入有资质的第三方专业机构做定期的安全评估和合规审计,这样既能获得中立的整改建议和优先级排序,也能在监管检查时提供更有公信力的第三方评估报告作为证明。北京企密安在为各类企业提供安全合规服务时,始终对客户坚持一个基本的立场——合规不是为了做给监管部门看的表面文章,而是企业保护自身数据资产和核心竞争力的基本方法和必由之路。
