德勤中国副首席执行官：要把隐私保护放在关乎企业存亡的高度

结束了一整天紧张的会议，第一次作为全国政协委员履职的蒋颖依旧没有一丝疲态。身为德勤中国副首席执行官，她已经习惯了忙碌的工作节奏，去年更是创下了在一个地方停留时长不超过15天的纪录。

这种爱“折腾”的性格在蒋颖的学生时代就初见端倪。她以上海市文科前二十名的成绩考上复旦大学英美文学专业，仅仅待了两年，就决定“肄业”去纽约转专业求学，用两年多拿到了会计专业大学文凭。在德勤亚特兰大分所升到经理之后，她又选择回到上海继续开拓中国市场。

谁也没想到，蒋颖在德勤一待就是20多年。她欣赏德勤骨子里的创新精神和“因我不同”的理念，带领德勤中国从传统的会计公司发展成提供一揽子解决方案的专业服务机构。蒋颖认为，在数字化变革的时代，企业合规要从顶层设计上注重网络安全，克服资源和人才不足的问题，建立体系化的管理机制。在未来的五到十年，网络安全咨询业务将成为德勤重要的战略增长点。

德勤中国副首席执行官蒋颖

南都：身兼公司高管和全国政协委员两种身份，工作上有哪些侧重点？

蒋颖：我一直把德勤这种专业服务机构叫作“接地气的智库”，是企业和政府之间的桥梁。政府推出了新政策，我们就要从企业能够理解和应用的角度解释给企业听，让企业真正运用起来。

作为政协委员，我还要注重对企业微观层面的问题进行总结，发现其中的共性，然后把它提升到宏观层面。这个过程就像是一次调研，我们发现企业在政策落地上存在的问题之后，再把意见和建议反馈给政府。

在整个生态链条里，政府要起到引导作用，提供好的环境和好的平台；企业要起到主导作用，因为它们是市场的主体；我们作为第三方的专业服务机构，要起到倡导的作用，成为衔接企业和政府的桥梁。三体联动，一个良性的生态圈就建立起来了。

南都：知名咨询公司Gartner的报告显示，德勤连续2年居于全球网络安全咨询公司之首。这代表了什么趋势？

蒋颖：这表示网络安全风险已成为各国政府、企业、社会公众高度关注和应对的关键风险之一。在数字化变革的时代，包括政府和企业在内的各种组织已经或正在搜集、使用和处理各类数据，数据的传输、流动和共享越来越频繁和常态化，产生了非常大的经济价值和社会效益。

对企业来讲，如果要成为一个品牌得到认可、竞争力强的企业，在网络安全上的投入是不可避免的。从这个角度来讲，企业一定要把布局网络安全和信息保护作为企业运作成本必然的一部分。目前企业对这方面的重视度还需要增强，我们也希望让企业意识到，如果不保障网络安全，对品牌、对获客都是一个非常大的负面影响。

南都：接下来是否计划继续扩张网络安全咨询业务？

蒋颖：德勤中国15年前就成立了网络安全团队，现在规模将近600人，是过去三年里德勤内部增长率最高的一个团队，基本上是以每年200%的增长率在发展。我认为，在未来的五到十年，网络安全咨询业务将成为德勤非常重要的战略增长点。

在中国，我认为现阶段企业对于数据保护、个人信息保护、网络安全合规等方面的需求尤其迫切，网络安全威胁管理、网络安全响应服务等也有很大市场需求。接下来德勤中国将进一步扩大网络安全业务，借助全球网络，加强本地合作、创新服务，帮助越来越多的中国企业在“走出去”时，应对各国网络安全合规要求。

南都：企业在合规的过程中，普遍面临哪些问题？

蒋颖：在过去一年多的时间里，我们协助企业实施网络安全法及个人隐私保护的项目时发现，企业压力蛮大的。它们一方面非常了解自身的短板，另一方面又面临资源不足和人才不足的问题。

以前的安全部门大多以IT内部的安全为主，很少也很难涉及到和业务相关的网络风险。而网络安全法的合规和个人隐私保护工作牵扯到整个企业的管理机制，需要与法律合规、业务部门、采购、HR等部门协同完成。但事实上不少企业的安全部门没有足够的授权和资源，难以在整个企业范围内推进安全工作。

另外，这些年来，在数据搜集和应用过程中也出现了不少问题。比如个人信息数据的过度搜集和滥用，现在动不动就要求用户提供名字和身份证号，却不告知用途。此外，安全系统的技术保障不到位也是大问题，往往造成企业的敏感数据被窃、用户信息流入地下市场等严重后果。在对社会造成了极大危害的同时，也让公众对企业的安全保障能力信心不足。

南都：你认为有什么解决办法？

蒋颖：数据安全问题已经成为影响各类数据拥有者和处理者的最大担忧和风险。企业必须从顶层管理的高度更加重视网络安全，树立起网络安全意识，并在政府法律法规落地的过程中逐步提升，在合规的方向上不断推进。

世界上的大型企业几乎都会设立首席隐私官的职位，专门负责评估业务过程和信息系统处理对个人信息的影响和风险，并采取相应的保护措施，还会定期进行与个人隐私保护相关的安全审计。中国设置该职位的企业极少，很多还是兼职。我认为中国企业需要尽快建立体系化的管理机制。

随着企业在数据安全方面的市场需求慢慢扩大，政府还需推进具体监管和配套落地措施，建立企业数据安全信用档案和黑名单，以及安全可信的数据交易平台。政府规范出台以后，企业第一步要自查，对标规范评估差距；第二步要补漏，针对差距进行弥补；第三步要自我提升。这个整改必须是持续性的，因为每个新科技从产生到运用，都是博弈的过程。你把系统建立好了，可能别人又有了更高的技术可以侵入。不断反复之后形成管理模式，这样企业才有比较长期的安全保证。

南都：去年个人信息泄露事件屡屡发生，引起社会广泛关注。你如何看待这个现象？

蒋颖：作为一个普通消费者，我认为个人信息保护是非常重要的，也是迫切需要解决的事情，因为个人信息被滥用给我们的生活造成了非常多的不便甚至是伤害。

我自己就碰到过诈骗电话，还几乎上当。从我的身份证号码，到我工作的公司，甚至我每个月工资多少，骗子都能说得出来，让我感觉他就是银行的工作人员。个人信息泄露的确到了需要大力整治的时候。

南都：前不久发布的《2017德勤中国移动消费者调研》提出，个人信息泄漏成为一种新常态。为什么这么说？

蒋颖：这个新常态是非常不好的。我们在工作中，经常发现企业根本没有设立信息安全规范和管理机制，说明企业内部没有把个人信息保护放到一个战略的高度和关乎企业存亡的高度。由于缺乏这个管理机制，一旦后端真的发生问题，企业就没有相应的控制和补救机制，最终将导致个人信息泄露大规模爆发。

我认为全社会各方特别是涉及搜集、使用、传输、存储公民个人信息的组织单位需要立即行动起来，建立可持续的个人信息保护管理框架。这些措施不仅能帮助企业满足合规要求，更能提升企业品牌声誉，赢得客户消费者的信任。我们希望通过标杆企业的示范作用，推进整个行业对个人信息保护的意识和管理水平的提升。

南都：从去年出台的网络安全法，到即将施行的《个人信息安全规范》，都对企业保护和使用用户信息做出了严格规定。企业还将面临哪些挑战？

蒋颖：我们发现数据跨境对很多跨国企业是很大的挑战。跨国企业，包括国内的合资公司和工厂，需要将大量业务数据传输至国外，可能包含与个人相关的证件、手机号、家庭住址等个人信息、也可能包含疾病、基因、临床试验等对国家来说需要控制的重要数据。这些跨境数据的识别、评估，以及技术控制，对很多企业来说是一个很大的挑战。

另外我们也看到，中国的企业“走出去”，除了要满足国内的法律法规，还要满足其他国家的规定，这是一个非常大的挑战。虽然每个国家在个人隐私保护上的大方向一致，但是它在具体落地的规范和监管上还是有很多不同，所以整个合规成本其实是增加的，但也是企业提高竞争力和可持续发展所必须的。

采写：南都记者蒋琳

声明：本文来自南方都市报，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。