北京现代汽车有限公司(以下简称“北京现代”)成立于2002年,是中国加入WTO后被批准的第一个汽车生产领域的中外合资项目。汽车行业正处于电动化、智能化、网联化的变革时期,未来数字化、智能化将成为汽车企业的核心竞争力。智能化服务是客户选择汽车产品的关键点,在保障客户信息安全的前提下,提升客户的智能化服务体验,是北京现代的宗旨。北京现代深刻认识到数据资产的价值,以及企业数字化变革的重要性。构建数据安全管理体系赋能企业数字化发展,要与企业业务发展水平相匹配,与风险相匹配,与数字化管理规划相匹配。北京现代自2021年开始跟进个人信息、数据安全相关法律法规和监管机构要求,通过以下几方面初步构建了数据安全管理体系。

         一、建立数据安全合规管理组织

        北京现代于2021年成立数据安全管理组织,包括数据安全管理委员会、数据安全管理办公室、业务部门。北京现代坚持数据安全工作一把手负责制,自上而下高度重视数据安全,由总经理、常任副总经理及公司经管会成员共同组成数据安全管理委员会。通过制度明确了公司数据安全责任人、客户数据安全责任人等。数据安全管理办公室由信息技术部、法律与合规部共同组成,基于数据安全管理委员会的决策和规划,协调业务部门落实公司数据安全管理工作。业务部门是数据安全的执行部门,负责梳理部门数据资产,对部门数据进行分类分级、开展安全风险评估。每个部门设置数据安全员,通过制度明确规定各部门负责人是所在部门的数据安全第一责任人,同时将数据安全作为对部门负责人的考核指标。

        组织是开展数据安全管理工作的保障。数据是流动的,从采集到使用,数据流动于业务链条的各个环节、各个部门。所以,数据安全合规需要多部门共同协调,须建立跨部门、跨领域,贯穿数据处理全流程的端到端的联动组织。同时要明确不同层级、部门的职责——由决策层制定数据安全总体目标和原则,负责对重大事项进行统筹决策;由管理层全面掌握法律法规、国家标准、监管要求并制定详细的管理、技术规范;由业务执行层严格执行、实施各项数据安全管理要求;并设立独立的数据安全监督机构,监督数据安全管理制度、技术措施的执行情况。

         二、建立贯穿数据全生命周期的数据安全和网络安全制度,为数据安全管理提供制度保障

        建立全流程数据安全管理制度是《数据安全法》中对数据安全保护义务的基本要求。在搭建企业数据合规制度前要做好三项工作。首先要进行数据盘点,从数据安全角度对公司数据资产进行盘点,掌握公司数据资产情况,对数据进行分类,并根据数据的敏感程度,提出合规管理方案;二要进行风险识别,结合法律法规进行差距分析和风险识别,就企业的系统、用户界面、用户注册流程以及在个人信息收集、使用、保护等方面进行整体的合规方案规划;三要建立和落地数据合规规则,结合企业实际情况,建立包括数据分类分级、数据全生命周期管理、数据安全事件应急预案、数据权限管理等数据合规规则,完善相关制度和流程,并持续追踪数据保护合规制度的实施情况。

        北京现代自2021年9月开始,全面梳理、盘点公司数据系统、数据资产情况,于2022年对公司生产、销售、售后、管理、车辆运行五大场景重要系统的数据处理全生命周期开展合规差距分析。针对公司数据安全情况,北京现代近两年陆续制定了《数据安全管理制度》《客户信息管理办法》等15项制度,将法律规定、监管要求全面嵌入企业规章制度、工作标准及业务流程,为公司数据安全、网络安全管理提供了制度保障。

         三、加强合作伙伴数据安全管理,建立数据安全生态圈

        汽车产业链比较长,上下游合作伙伴比较多,基于业务开展需要,数据会在合作伙伴间传输。加强合作伙伴数据安全管理,可以有效防止数据泄露、滥用等风险,保护数据权利方的合法权益。

        开展合作伙伴数据安全管理,可以在合作前开展合规审查,与其签署数据处理协议,明确数据使用范围、使用期限、使用规范;在合作过程可通过数据访问控制、数据传输加密处理,定期对合作伙伴数据安全状况进行审计,及时发现、解决存在的问题。

        北京现代在与合作伙伴合作之前均会进行数据合规审查、评估,与其签署数据安全协议或数据安全承诺书,以期建立数据安全生态圈,保障数据安全。

         四、定期开展数据安全评估,加强技术防护措施投入,防控数据安全风险

        企业应制定数据安全评估机制,定期或针对新系统开发,数据出境、数据收集、数据共享等重要业务场景开展数据安全评估,全面掌握企业当前数据安全状况。针对风险点进行整改,以提升数据保护能力、安全水平。

        技术措施是企业保护数据安全的重要手段,可以防止数据在传输和存储过程中被窃取和篡改。企业可通过自身业务特点和风险状况,选择分类、标记、加密、防火墙等适合的技术手段,确保数据安全合规。随着技术的发展,企业也需要定期对技术措施及其效果进行评估,以适应业务、环境的发展和变化。

        北京现代建立了数据资产管理平台,以识别重要和敏感数据,并在数据采集、传输和存储等过程中,采取数据加密、脱敏、权限隔离等措施,防控数据安全风险。建立系统上线审批流程、数据资产使用审批等流程,严格审查数据使用目的和必要性,防控数据安全风险。

         五、强化员工数据安全培训

        员工是企业数据安全的重要组成部分,员工的操作行为直接影响数据的安全合规。企业需要定期对员工进行数据安全合规知识和技能培训。通过培训可以使员工了解数据安全管理政策和规定,增强员工的数据安全技能,使员工能够正确处理、操作数据,防止数据泄露和滥用;对员工开展法律法规的宣贯,可以让员工认识到自己的行为对公司数据安全的影响和可能带来的法律责任,从而提高员工的数据安全意识。

        近两年,北京现代在公司内部通过多渠道开展了自上而下的数据安全培训,包括邀请外部咨询专家对公司各部门负责人进行培训、与重要数据管理部门开展数据安全座谈、针对数据安全员开展数据业务实施培训、针对全员开展数据安全法律普及,全面提升公司员工数据安全防范意识。

        综上,数据安全合规管理体系是企业数字化转型的重要支撑,可以保护企业的数据资产,提升数字化发展的安全性和可持续性。企业需要根据自身业务特点和风险状况,制定符合法律法规和行业规定的数据安全合规策略,建立数据安全合规组织体系,健全数据安全合规管理制度,加强员工培训,定期进行安全评估。北京现代以客户为中心,通过数字化重构客户体验,围绕客户旅程,瞄准客户触点,做深与客户的联接,并不断优化数据安全合规管理体系,实现数据安全合规管理的有效融合,赋能企业数字化转型,保障企业依法合规经营,护航企业高质量发展。