Out-Law / 您的日常须知

专家称,在infratech时代,基础设施企业须有数据监测

Out-Law分析 | 17 Apr 2019 | 3:59 pm |

分析:基础设施企业需善于处理、使用数据及管理网络风险,抓住基础设施科技项目机遇,遵守严格的新法规

诸如技术或金融服务领域的企业,数据在业务运营中长期发挥着核心作用,这类企业已形成了一种妥善处理数据的文化。在这些企业部门中,有许多组织也成了网络安全识别其掌握信息价值的最佳实践领导者。对于更惯于处理材料而非个人信息的基础设施企业来说,这都是新挑战。

本篇是探索基础设施科技(infratech)、将技术融入基础设施的机遇和挑战系列文章之一。您可在我们的特别报告中阅读更多内容,或向我们索取品诚梅森独家研究报告。

但是,如果他们要利用物理基础设施和数字技术的融合,就必须掌握基础设施科技。这种融合使得基础设施资产产生了大量关于基础设施资产的数据,并帮助这些基础设施企业了解如何使用和维护这些数据。

例如,高速公路越来越多地采用智能技术辅助管理交通流量。机场使用连接的传感器来获悉客流量并优化人们的出行方式。此外,列车隧道中的传感器还可帮助铁路运营商了解何时需要进行维护工作。

基础设施科技时代正在推动基础设施所有者、运营商与技术公司之间合作的发展。然而,由基础设施科技资产所获得的数据归谁所有,具有不确定性。

Out-Law.com网站运营商品诚梅森出品的一份新报告中,强调了基础设施和技术行业中关于谁通常拥有基建科技项目数据及谁应该拥有这些数据的各种观点。该调查发现,91%的受访者希望在协作合作伙伴之间采用“开放获取”数据的方法,但实际上只有62%的项目采用此模式。

在其他项目中,基础设施的所有者,如工程或建筑公司、运营与维护提供商、技术公司、采购商与监管机构等基础设施企业,通常都拥有其生成的数据。

此复杂情况在调查结果中有所反映,调查结果显示,38%的科技公司受访者以及34%的基础设施企业受访者均表示,同意将基础设施科技项目中的数据作为要求或挑战的标准。

但显而易见的是,基础设施企业须捕获并分析数据,进而保持与发展中市场的相关性,同时须以满足数据保护法要求的方式进行。这是因为通过基础设施科技获取的大部分数据都可归类为个人数据。

品诚梅森报告强调,基础设施与技术领域的绝大多数高管认为,数据保护法要落后于基础设施科技的发展。欧洲现行的数据保护法自1995年就开始实施了。但自2018年5月25日始,数据保护法将开始应用新的更严苛的要求。

《一般数据保护条例》(GDPR)规定了处理个人数据的条件,并规定了数据主体的若干权利,包括访问、纠正与删除有关数据主体的个人数据有关的权利。

它将进一步为企业规定一系列新的义务,包括数据泄露通知、文档处理与数据保护影响评估的执行。其中,它还规定了有关数据安全的规则,以及有关海外个人数据传输的限制等。

新法规进一步加重了对企业可能面临的违规行为的制裁。在最严重的情况下,企业可能面临高达其全球年度营业额4%的罚款,即2,000万欧元(约合人民币1.6亿元),以最高者为准。相形之下,英国企业若严重违反《数据保护法》,目前被信息专员办公室(ICO)罚款的最高金额为50万英镑(约合人民币440万元)。

所有部门的组织均须为新法规做好充分的准备工作。于基础设施企业而言,许多人可能会反思为实现《一般数据保护条例》合规所需的努力,类似于他们必须进行的文化、政策与实践的转变,进而满足正在不断提高的健康和安全监管规定。

两种不同制度之间的许多遵守原则是相似的:增加文书记录;重视员工培训;现场安全;违反行为的透明度。

出售由基础设施科技资产产生的数据可能有机会获利,因为这些信息可能对一系列第三方(如零售商或其他广告商)有价值。 品诚梅森调查显示,有22%的受访者发现了这种潜力。

对于希望利用此机会的基础设施企业来说,数据保护法并非他们的障碍,但他们需要考虑如何获得个人同意收集、使用与共享其个人数据。同等重要的是,他们制定保证此类数据安全的协议,特别是考虑到网络风险。

在一些情况下,基础设施企业的网络安全义务将超出保护个人数据安全的范围,并且属于欧盟新的《网络和信息安全(NIS)指令》的范围。实施该指令的国家法律须在2018年5月9日之前就绪。

《网络和信息安全指令》规定了旨在确保银行、能源、健康与运输等中央经济部门关键IT系统安全的措施。它将适用于被指定为此类“必要服务”运营商的组织,其中可能包括基础设施企业或其他符合“数字服务提供商”资格的公司。

根据指令,运营商将要制定风险管理战略和政策,提高员工的意识与培训,事故发生要及时汇报,并建立系统,以确保他们能够恢复系统并在事故发生后迅速做出响应。他们将被要求实施安全措施,防止攻击或系统故障,包括检测攻击和制定安全监控程序的措施。

英国提出的实施《网络和信息安全指令》的建议包括《一般数据保护条例》相关违规处罚。

令人振奋的是,许多基础设施企业已开始为一般数据保护条例时代做准备,重要的是,不仅在英国,也在他们经营业务其他欧盟国家,他们都要认识到如何进一步实施《网络和信息安全指令》。

他们面临的主要挑战之一是获得具备适当技能的人员,帮助他们管理持有、使用数据与保持系统安全的风险。

根据品诚梅森的报告,62%的基础设施与技术部门高管表示,他们的业务一直在努力招募数据科学专家。另有57%的人表示他们一直在努力寻找具有安全专业知识的人。

对于不习惯以数据和网络问题为核心运营的部门而言,遵守《一般数据保护条例》和《网络和信息安全指令》可能涉及大部分工作。然而,能够应对这些挑战的基础设施运营商不单会面临潜在的破坏性罚款和声誉受损的风险;另外,数据和系统处理操作类型的这些运营,将使他们的业务向基础设施科技提供的机遇开放。

Anne-Marie Friel是品诚梅森基础设施项目合同专家。品诚梅森为Out-Law.com网站运营商。