文/本刊记者益达
互联网企业业务模式的快速创新与信息技术的深度应用,在给互联网企业带来巨大机遇的同时也面临着各类风险的挑战,IT风险治理的重要性日益凸显。
为深入洞察互联网企业信息科技风险治理面临的主要风险、治理现状以及存在的痛点和挑战,中国互联网协会信息技术(IT)风险治理工作委员会(以下简称工作委员会)会发起了《互联网企业信息科技风险治理现状调查问卷》。参与本次调研的互联网企业中约43.5%已开展出海业务,涉及全球多个国家和地区。其中,在欧盟成员国开城的企业占比最多,超过了66%。其次是美国(62.96%)和俄罗斯(55.56%)。除此之外,还有部分互联网企业选择在日本、印度、新加坡、马来西亚、澳大利亚等国家开城。
科技法律体系逐步完善,数据信息保护增强
根据调研报告发现,参与调研的大部分互联网企业设立了信息科技风险治理责任部门,其中,68%的受访企业已明确信息科技风险治理的实体责任部门,主要由风险、安全、合规、内控、法务等部门承担。18%的受访企业以跨部门的工作委员会形式开展工作。此外,14%的受访企业反馈尚未设立明确的责任部门,根据统计分析报告发现,尚未设立明确的责任部门的企业普遍规模较小,且非上市公司。
调研结果显示,仅有29.03%的企业设置了首席风险官(CRO)。而在信息科技风险治理责任人方面,由首席信息官(CIO)、首席信息安全官(CISO)承担企业信息科技风险治理责任的情况较多(18.18%),此外,部分企业由公司法人(13.64%)、首席执行官(CEO)(15.91%)、业务条线负责人(15.91%)承担信息科技风险治理责任,首席风险官(CRO)、首席技术官(CTO)占比较少,另外少数企业尚未明确信息科技风险治理责任人。这体现出部分互联网企业仍未形成职责明确、相互制衡的信息科技治理组织架构,风险管理责任人同时承担经营管理和决策,对风险管理工作的独立性有一定影响。
法律合规管理领域。近年来,我国网络空间法治不断推进,互联网企业所面临的信息科技法律体系日趋完善,以《网络安全法》为代表的网络安全立法顶层设计已基本完成,随着《数据安全法(草案)》《个人信息保护法(草案)》的陆续发布,即填补了我国数据安全管理方面的空白,也进一步构建了网络安全管理框架。《网络信息内容生态治理规定》的出台、《未成年保护法》新增“网络保护”章节,标志着互联网执法、司法体系不断提高。另一方面,个人信息保护一直是全球的热点话题,已有超过个国家和地区正在开展个人信息保护立法工作,大幅度提升了互联网企业出海的合规门槛。因此,法律合规工作是互联网企业不可或缺的重要组成部分。
调研结果显示,93.48%的受访企业已设立独立的部门承担法律合规工作。而剩余6.52%尚未设立法律合规部门的企业均为员工数量小于的规模较小的企业。从调研结果来看,个人信息保护与数据安全方面的法律合规已经引起了互联网企业的高度重视,其中93.48%的互联网企业已将个人信息保护作为企业法律合规重点,其次是业务安全管理与数据管理,占比均超过了70%。在开展法律合规工作中,对法律、行业规范和准则的追踪不及时(32.61%)、解读不准确(32.61%)并不是互联网公司面临的主要困难。50%的受访者所在企业认为难以根据法律法规准确评估企业运营现状是否符合合规要求才是现阶段最大的痛点。
除此之外,与信息科技风险治理整体情况相同,互联网企业法律合规工作过程存在的困难仍以人员因素为主,认为“法律合规专业人员缺少信息科技相关专业知识”的受访者占比为50%。在合规工具方面,超过60%的互联网企业部署的合规工具仅用于收集汇总法律合规文件,39.13%的企业形成了法律知识合规知识库。仅有21.74%的企业运用了智能化合规风险监测工具。这表明互联网企业法律合规工具普遍停留在基础法律文件的收集和管理层面,距离自动化、智能化地监测、评估和处置企业合规风险还有一定发展空间。
业务安全管理领域。在需要开展业务安全风险治理的企业中,由安全部门开展业务安全管理的占比最高(60.98%),其次是法律合规部门(58.54%)与业务部门(51.22%),风险管理部门、内控部门和审计部门也都涉及业务安全管理。在业务安全管理工作开展过程中,大部分的受访者认为企业的主要挑战为难以有效地识别和防范业务策略漏洞,而在技术漏洞和管理漏洞的识别方面,受访者普遍认为企业表现较为良好。此外,业务安全管理通常依赖于业务风控平台,根据调研结果显示,73.17%的受访企业自行研发了风控平台,17.07%的企业采用外购的服务平台,另外还有9.76%的企业尚未应用平台技术来管控业务安全。这说明互联网企业拥有较强的研发能力,通过自动化、智能化技术手段开展业务安全风控是互联网企业的主要趋势。
个人信息保护领域。在