刊物论著

最大限度的保护您的合法权益

国有企业数字化转型的风险与合规要点

2021-04-02/专业文章/ 张云燕  谢媛、吴皓辰

一、数字化转型现状与意义

当前,以云计算、大数据、物联网、人工智能、5G、机器人过程自动化(RPA)和物联网等新技术集群的融合发展,推动着技术范式的转变,并与各行各业广泛渗透和融通,成为新工业革命的主要驱动力,是改变生产生活方式、产业变革升级的强大新动能。数字经济已经成为当前发展最快、创新最活跃、辐射最广泛的经济活动。1例如以比特币、以太坊等为首的加密(数字)货币,已经赋予了“矿工”、“矿机”这些词新的时代内涵。又比如,手机上的各类APP,已可以通过用户的各种使用习惯和浏览内容勾勒出用户的“数字画像”。

“全盘”投入数字化转型,首先要搞清楚“数字化转型”究竟意味着什么。除了简单地引入新技术或提高效率之外,数字化转型也意味着“解决问题、为客户和员工创造独特体验以及加速业务绩效的新方法”。2

平台经济和平台模式是数字化转型和落地的主要实现方式。对于行业龙头的大企业(如国有企业)而言,需要转型成为行业性和社会化平台,最终形成生态链,从而保持行业领袖地位。3

二、数字化转型的风险

在数字化转型过程中,容易产生各种各样的风险,也因此欧美发达国家应用数字化很谨慎。所以说,无论是作为需求方、服务接受方的国有企业,还是作为服务提供方的各个普通企业,都需要对这些风险进行尽早预见以及充分控制和防范。因此,需要对国有企业数字化转型中的风险进行充分地认识,以便能够尽早地预见风险、控制风险和防范风险。

1. 国有企业

国有企业首先是个普通的企业,其次是具有国有的成分。对于作为需求方和服务接受方的国有企业来说,在数字化转型过程中较容易遇见商业风险、网络安全风险、合同违约风险以及国有资产的合规风险。

1)商业风险

国有企业在数字化转型中遇到的商业风险,主要是由转型失败而产生的商业风险。数字化转型失败,国有企业首先会损失之前投入数字化转型的时间成本和资金成本。其次,国有企业也可能因为缺少高效率的数字化手段或者新技术,从而因为软硬件实力的缺失而错失大量相关的业务机会。

2)网络安全风险

网络安全风险是数字化转型过程中的核心风险之一。数字化转型是持续的过程,网络安全风险不可避免。4由于国有企业通常需要完全自主控制各个数字化系统而自身的技术储备通常相较业务部门一般相对薄弱,因此,更不可忽视网络安全风险。与数字化转型相关的网络安全风险有设备漏洞、数据泄露、网络攻击(如DDOS攻击)、新技术自身安全风险的不确定性等。

3)合同违约风险

在数字化转型的实施进程中,国有企业也会面临一定的合同违约风险。除去国有企业因为自身原因造成的合同违约外,目前的服务提供方的合同违约对于国有企业的数字化转型来说是一个重大的风险。即使合同约定并且收到了足额的违约金,但由此需要更换新的服务提供方及造成转型拖延有时候是国有企业难以承受的。

4)国有资产合规风险

由于国有企业天生具有的国有属性,在数字化转型过程中还会遇到国有资产合规风险。数字经济相对前沿,而国有资产合规规则具有一定的滞后性,由此可见,数字化转型会对国有企业现有的国有资产合规规则产生一定的冲击,而由于国有资产必须进行合规监管,因此必然会造成一定的国有资产合规风险。

2.服务提供方

服务提供方在帮助国有企业进行数字化转型中,也会面临一定的风险,主要有网络安全风险、合同违约风险等。

1)网络安全风险

如上所述,网络安全风险是数字化转型过程中最核心的风险之一且贯穿全过程无处不在,作为服务提供方,原则上应当具有相较需求方的国有企业更专业的网络安全防护资源和储备,但仍不能轻视相应的安全风险。特别是,尽管国有企业倾向于完全自主控制各个数字化系统但仍可能将非核心系统使用服务提供方托管平台,而且也会需要服务提供方定期维护,因此,服务提供方仍应当密切关注网络安全风险,尽可能地将风险控制在可控水平。

2)合同违约风险

和国有企业类似的,服务提供方也同样面临着一定的合同违约风险。此类风险既包括国有企业导致的合同违约,也包括服务提供方由于对自身条件预估不足而导致的合同违约。

三.风险产生的原因

国有企业在数字化转型中面临风险的原因主要在于决策及确认需求时考虑不周密和由于不太重视非业务部门所导致的欠缺必要的网络安全防护制度和意识。而对于服务提供方,则需要防止因为高估自身技术力以及缺乏足够的网络安全防护机制所产生的相关风险。根据《网络安全法》第二十二条:“网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”因此,如果国有企业无法举证恶意程序或缺陷并非自身原因造成,极易造成法律纠纷或受到处罚。在国有企业数字化转型中尤其值得关注。

不可否认的是,目前相关制度并不完善。由于目前相关制度的不完善,无论是国有企业还是服务提供方均会面临一定的由于相关制度不完善而产生的风险。例如,《网络安全法》第二十一条规定了国家实行网络安全等级保护制度。5但是,《网络安全等级保护条例》目前仍停留在征求意见阶段。缺少条例作为支撑,对国有企业和服务提供方的网络安全保护工作都会产生影响,也不利于国有企业和服务提供方妥善控制网络安全风险。

四.合规要点

1.技术创新与审慎决策

1)审慎决策(国有企业)

企业数字化转型会涉及到多个业务部门以及大量数据,因此需要内外结合以完成转型。具体而言,企业首先应当明确自身所处的法律环境,了解本地区、本行业范围内相关的规定和要求,例如涉及电子商务的企业就应着重了解《网络安全法》等相关法律法规。其次,面对海量数据,建议企业根据实际情况对数据进行分级分类,对应不同的保密级别,从而最大限度的提高效率及资源利用率。同时,企业还可以定期进行员工培训与考核等,真实记录制度落地情况并保存相关文件,并根据实施情况对相关制度政策进行调整和修正。

2)提升自身技术力(服务提供方)

就服务提供方而言,由于其会对企业的海量数据进行筛选、分类、存储等,不可避免的会接触到企业之商业秘密等。因此在提供服务时,应当格外注意保密相关条款,此外,倘若涉及到境外信息的收集存储等还需注意数据跨境之问题,尤其是欧洲GDPR等高标准且能够“长臂管辖”的法律法规,以免因一时不慎而面临天价赔偿。

2.建立健全网络安全防护制度积极推进相关法律法规的完善

现阶段我国已经颁布了《中华人民共和国网络安全法》、《电子商务法》、《互联网用户公众账号信息服务管理规定》、《信息安全技术个人信息安全规范》等众多法律法规,但许多具有法律规定过于原则化,没有配套的实施细则。例如《网络安全法》中对个人信息定义为“是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。但是在实际操作中对于“结合可识别”的程度应当如何把控呢?

此外,纵观人工智能数据相关法律法规,涉及到公安部门、国家网信办、工业和信息化部、市场监督局、全国信息安全标准化技术委员会等非常多部门,相互之间职能还存在交叉,仿若“九龙治水”。

国企数字化转型是趋势也是趣事,让系统全面的法律合规保障于转型过程中的资本安全、网络安全、系统安全、数据安全、交易安全等是成功转型的关键。

[1] 雷万云、中国企业数字化联盟专家组. (2021). 《数字化转型白皮书2021》

[2] 普华永道思略特. (2020.5). 《新形势下,企业如何进行数字化转型》

[3] 雷万云、中国企业数字化联盟专家组. (2021). 《数字化转型白皮书2021》

[4] Krishna Balakrishnan. (2019). 数字化转型中的安全风险. 软件和集成电路, 000(012), P.54-55.

[5] 《网络安全法》第二十一条:“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:

(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;

(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;

(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;

(四)采取数据分类、重要数据备份和加密等措施;

(五)法律、行政法规规定的其他义务。”

阅读原文

手机扫一扫
分享这则文章