第54章 网安法元年

    会议室里那股子余波还没散干净，周锐的声音已经钉在了黑板上。


    “《网络安全法》正式施行了。企业数据出境，必须安全评估。”


    “这不是建议，是红线。”他敲着白板，上面“安全评估”四个字底下划了道粗粗的红线。


    国资委派驻的这位专家，要求的比我们的保密协议还要严谨。


    我低头翻着刚发的材料，密密麻麻的条款看得人眼晕。


    数据出境？我们跟老外合作的项目，研发数据天天飞过各大洋，这评估怎么做？


    “周老师，”技术部的张峰皱着眉头举手，他是出了名的急性子。


    “这评估一套流程走下来，黄花菜都凉了！”


    “我们跟A国埃克森的联合研发项目，人家催数据跟催命似的。”


    “按这个速度，项目延期谁负责？这成本算谁的？”


    研发部的李工也忍不住插话：“是啊周老师，我们和欧洲那个清洁能源实验室的实时数据共享协议都签了三个月了！”


    “按新法，每次数据交换都要提前申请安全评估？那合作还怎么推进？人家可不等我们！”


    搞技术的，最怕条条框框捆住手脚，时间就是生命。


    “谁负责？效率？”周锐的目光定在张峰和李工脸上。


    “去年，燕山隔壁兄弟单位，为了赶一个海外合作节点，未经评估就把一套高温裂解装置的运行参数‘测试包’发了出去。”


    “结果呢？”他顿住，“那个‘测试包’里，被人为混进了一份核心催化剂的中试数据碎片！”


    “碎片本身价值有限，但结合对方之前通过其他渠道获取的信息，差点反推出我们整整五年攻关的催化剂配方！”


    “要不是对方公司内部合规审查时发现了数据异常，主动向我们通报，我们至今还蒙在鼓里！”


    “这个责任，谁负得起？张工，李工，你们说，是快重要，还是安全重要？”


    这事内部通报过，但细节如此惊心还是第一次听。原来隐患离我们这么近！


    张峰还是梗着脖子：“教训是深刻…可具体操作呢？技术部门不懂法，法务不懂技术。”


    “这安全评估怎么搞？总不能每次传个数据都等上三个月批文吧？市场不等人的！”


    李工也愁眉苦脸：“是啊，特别是联合研发，数据交互频繁得很。法务的同志，总不能天天蹲在我们技术部机房吧？”


    这问题问到点子上了。法务和技术，中间隔着的不是办公室的墙，是技术的鸿沟。


    “这就是今天培训的重点，也是你们接下来工作的核心！”周锐在白板上用力写下两个词：“法务合规部”、“技术支持部”。


    他在中间画了个粗壮的双向箭头。


    “协作！建立联合审核小组！林晓阳，”他直接点我的名。


    “你负责项目合同合规审核，现在加上数据出境安全评估流程把控。张峰，”他转向技术部。


    “你们技术部负责数据识别、分类分级和基础脱敏处理！”


    “从今天起，所有涉及数据出境的项目，无论大小，必须过你们这个联合小组的初审！”


    “法务管流程红线，技术管内容风险。互相学习，互相盯着！这叫‘合规前置，风险共担’！”


    我赶紧应下：“明白，周老师。”


    以前审合同，重点在权责利分配、保密条款。现在，数据安全成了悬在头顶的剑。


    张峰脸色缓和了点，“行…行吧。安全第一。但周老师，这联合小组怎么运作？天天开会？效率…”


    “制定标准！建立清单！”周锐在白板上唰唰写下几个词：“核心数据清单（禁止出境）”；


    “重要数据清单（严格评估）”、“一般数据清单（备案）”。


    “林晓阳牵头，张峰你们技术部配合，一周内，根据新法和公司具体情况。”


    “拿出我们燕山分公司的《数据分类分级及出境安全管理细则（试行）》！把红线标清楚，把流程理顺畅！”


    “把‘什么数据能出’、‘怎么出’的规矩立起来！”


    “这不是拖后腿，是给你们的研发创新装上安全阀！别等船翻了才想起救生圈！细则出来前，一切数据出境申请，暂停！”


    “暂停？！”张峰和李工同时叫出声。埃克森和欧洲那边还等着呢！


    中午食堂，人声鼎沸。我脑子里还在转上午的《细则》和周锐那声“暂停”。


    打好饭刚坐下，张峰就端着盘子一屁股坐我对面。


    “林工！”他一脸苦大仇深，“上午那事儿…我不是冲你。”


    “你知道的，埃克森那个项目，下个月初就要阶段性汇报，数据交不出去，甲方要掀桌子的！”


    “理解，张工。”我叹了口气。


    “周老师的话重，但理是对的。去年那个教训，血淋淋的。安全阀不装好，跑得越快，摔得越惨。”我看着他的眼睛。


    “咱们现在是一条船上的人了。细则必须尽快拿出来，既要合规，也得考虑实际操作的可行性。”


    “你有什么难处，想法，咱们得先沟通透。”


    “沟通！对！必须沟通！”张峰眼睛一亮。


    “你说你们法务那术语，什么‘数据处理者’‘关键信息基础设施’，听着就头大。”


    “你给翻译翻译？到底哪些数据是‘核心’？哪些是‘重要’？我们技术这边好对症下药啊！”


    “简单说，”我放下筷子，尽量掰开揉碎。


    “核心？就是咱公司的命根子！独家配方、核心工艺参数、未公开的重大研发成果原始数据、正在攻关的关键技术模型。”


    “这些，别说出境，内部流转都得最高审批！”


    “重要？就是一旦泄露或被滥用，可能对公司经营、技术竞争力、甚至国家相关产业造成较大损害的数据。”


    “比如重要设备的运行数据、特定环境下的实验数据集、有一定价值的阶段性研发报告。”


    “这些要出境，必须严格评估风险，按流程来。至于一般的公开数据、脱敏处理到妈都不认识的数据，备案就行。”


    “就像…”我努力想个贴切的比喻，“你送孩子出国，核心数据是孩子本身，绝对禁止！”


    “重要数据是孩子的详细行程和住址，必须严格审查安全风险！一般数据就是孩子发回来的风景明信片，报个平安。”


    “嘿！这么一说就懂了！”张峰猛地一拍大腿。


    “林工，你行啊！这比喻绝了！行！以后我们技术部负责把‘孩子’（数据）的身份（分类）；”


    “详细程度（分级）、要去哪儿（出境目的）搞清楚，该打码的打码（脱敏）。”


    “你们法务负责查‘签证’（评估风险），看‘目的地’安不安全。咱们双签生效！”


    “下午！我让小王把埃克森和欧洲那边第一批急着要的数据清单和内容简述发你。”


    “你赶紧看看，哪些是‘孩子本身’，哪些是‘详细行程’，哪些是‘明信片’？”


    “咱们先把紧急的、风险低的捋出来，争取特事特批！细则咱们加班搞！”


    “好！就这么办！”我也松了口气，心里有了点底。


    沟通的墙，总算被我们合力凿开一块砖。