颤抖的CEO – 企业管理层应该如何应对《个人信息保护法》带来的严峻挑战?

《个人信息保护法》对于企业的影响正在逐渐显现。

企业的管理层,或许应该未雨绸缪,思考《个人信息保护法》对企业带来的影响,以及数字化转型中,涉及到个人信息的部分(以数字营销和客户经营为主要领域)应该如何规划和处理。

在这篇文章中,将会介绍由《个保法》对企业产生影响的几个重要的事实。也会提出这些影响对企业增长模式将带来的深刻的变化,企业管理层,尤其是CEO,尤为需要重视。

全文大纲如下

01 《个保法》对企业的几个显著影响

02 企业管理层如何应对

  • CEO应决定企业增长模型
  • 组织架构变化
  • 建立企业自己的围墙花园
  • 防御性保护,并驱动数字化转型
  • 渐进的转型而不是激进的转型

03 结语

作者,是纷析咨询的创始人宋星,曾为超过200家品牌企业提供数据应用的相关咨询。

01 《个保法》对企业的几个显著影响

《个保法》的实施,对于企业的很多影响是逐渐显现的,这意味着,在模糊地带(是的,即使立法已经通过并实施,模糊地带仍然还是存在的)的一些做法,并不会立即招致厄运(即使如此,我也将在后面论述,不做防御性准备迟早会给我们带来厄运),而另一些影响则是立竿见影的。

这些立竿见影的影响包括:

  • 企业可获得精细化数据的数据源大幅度减少,尤其是获得用户个体级别的外部数据源将减少到零。
  • 获取数据的难度和成本都将显著提升。
  • 数据应用的场景将减少,或需要满足更苛刻的条件。
  • 管理数据的精细化要求提升,成本增加,并且可能导致部门间的协同被抑制。(这很不符合当前数据应用的要求,但《个保法》之下,确实容易产生这样的问题。)
  • 抑制企业营销技术化创新力,并导致营销费用向更难追踪效果的营销方式迁移。
  • 数据的价值衡量(为数据进行投入后的回报比,即数据的ROI),将越来越趋向于长效的价值输出,而难以做出短期的价值判断,这使对数据进行投入变得更难下定决心。

图:个保法对企业的影响与成因

很显然,这些影响对普通企业都具有挑战性。如果我们尽量客观,就会发现,我们对数据的乐观来自于我们希望挖掘数据更大的价值,但是否值得为这些价值付出远高于过去的代价,是需要管理层考虑的。

下面,我们分析上面这些影响对于企业的增长意味着什么,以及企业如何应对。

02 企业管理层如何应对

应对《个保法》对数字化转型带来的影响,是战略层面的问题,而不仅仅是执行层面的问题。

如果认为我在执行层面加强对数据的管理就能解决问题,就能实现符合法律的数据应用,是非常不切合实际的。

因为,数据如何被应用,应用的深度和广度,是受企业战略方向、资源和组织状况的制约的。这些都不可能在执行层得到解决。

1. CEO应决定企业增长模型

不同增长模式,对于数据的依赖很有区别。

企业管理曾需要思考,基于自己的产品和市场状况,是应该追求短效的迅速增长,例如爆款策略,还是应该追求更长期的稳健增长,即通过不断建立和夯实与消费者/顾客的深度关系,来带来更具有生命周期价值的增长。

事实上,即使是今天被热捧的DTC方式,它本身也同样面临做短效暴增,还是做长效经营的战略选择。

某种程度上,这很取决于你的产品。

如果你追求短效暴增,对数据的依赖将远低于做长效经营,你为数据所投入的成本和资源将并不显著,数据的应用也将更“随来随用”。而如果选择做更长效持久的增长,那么,数据本身就会变成一个重要的基础设施,变成维持竞争优势的一个战略性考量。

图:企业增长模型衡量维度

随便举几个品牌,我们就能看到其中的差异。

完美日记,在增长的初期,是聚焦在爆款的。完美日记的初期依赖于什么数据?洞察数据偏多。做品牌或产品的推广,需要实现比较有效的目标人群洞察,且这些数据是临时收集,临时使用的,并且不需要特别依赖于自有数据。

建立围绕“个人信息”的基础设施?在那个时候并无必要,甚至连CRM系统都不那么需要。打造爆款,在小红书等平台上制造热度,然后实现快速的销售变现。

这种方式是有效的,直到今天仍然有效,以至于会导致一种误解,即DTC就是快速打造爆款的一种模式。事实是很多DTC品牌也已开始进入挖掘消费者生命周期价值的新阶段。

今天,完美日记同样开始重视长效消费者关系的构建,以提升ARPU。在这种情况下,他们需要投入更多资源,构建自己的数据基础设施。

另一个品牌是美赞臣。这个品牌,如同所有的母婴产品(尤其是婴儿奶粉)的其他品牌一样,饱受如何找到真正的目标人群的困扰(人群要非常精准到具体的年龄,以帮助推荐真正适合该年龄的婴幼儿的产品)。并且,这些产品本质上不可能像美妆或者大众食品一样,迅速爆发出爆款的。

这样的品牌对于数据的依存度极高,即使它要采用DTC的模式,它仍然极为依赖于消费者的数据。

因此,对于管理层,尤其是对于CEO,需要做一个清晰的判断,自己的产品增长模型是否真的极为依赖数据,以及,自己的企业在当前的增长阶段是否极为依赖数据。如果不需要建立完善的数据能力,尤其是考虑到今天所谓的完善的数据能力还要包含对“个人信息”提供有效保护和遵纪守法的能力,相关的工作就显得多余,并且短期收益有限,甚至会拖慢迅速爆款起量的节奏。

这是一个短期和长期平衡的问题,但毫无疑问,在《个保法》的影响下,数据的价值越来越体现在长期价值,而不是短期的效果爆发上。如同我们前面所说的,数据的价值衡量(为数据进行投入后的回报比,即数据的ROI),将越来越趋向于长效的价值输出,而更难以做出短期的价值判断。

2. 组织架构变化

在没有《个保法》的时代,数据的获取和应用是简单粗暴的。

某一个部门,例如市场部门,可以自行决定数据如何获取与使用。一般情形下,CEO及管理层并不需要对此特别加以关注。

但《个保法》之后,情况变得复杂。

简单讲,如果按照原有的粗暴方法行事,最后的问责会回到公司管理层头上。

管理层不可能具有对于数据的全盘的专业性,而避免问责风险的最好办法,就是让具有专业性的部门一起参与进来。

这些部门包括,IT部门、法务部门、客户关系管理部门,以及外部的智囊等。

《个保法》导致复杂性的另一方面,是它可能严重伤害组织间的协同。

尽管从CEO的视角,协同各个专业部门,对于个人数据的合法获取与应用至关重要,但各个部门,尤其是相关数据的具体责任部门,一定会有不同的看法。

理想化的数据应用状况,是数据获取之后,相应的部门将这些数据提供给所有能够发挥这些数据价值的部门,例如市场部门获得的消费者数据,提供给客户关系管理部门使用。

但《个保法》下,市场部门获得的数据,如果在客户关系管理部门没有得到正确合法地使用而导致了侵权责任,市场部门或许难辞其咎。

因此,市场部门当然是选择将这些数据存放在自己的闭环中,封闭自己的数据,降低自己的风险。结果是,这些数据也没有能够得到更大价值的使用。

企业管理层当然不喜欢看到这样的局面。

这时,组织架构的调整成为必然,表面上,这种调整是对人员的重新分配,或者增加新的职能,但根本上,这种调整是对数据权力的重新安排。

管理层应设置CDO这样的职位,以全面协调企业各个数字化部门,以及各个部门的数字化。

CDO可以解释为首席数字官,也可以是首席数据官。我倾向于CDO作为首席数字官存在,本质上,数据的应用不是一个数据技术的问题,而是一个业务(如今天被革新的数字营销)、数据技术、数据管理三者交融的问题,业务是首要的,是数据存在的意义。而数字官的职责,要比数据官的职责更为广泛。

CDO也需要为企业不恰当获取或应用数据所带来的风险承担责任。因此,CDO或许是一个企业内最具风险的职位,他需要有很好的专业性,还需要很强的管理能力,他要有防患于未然的“上游思维”,也需要有协调各个部门的智慧。CEO则需要赋予CDO一些实际的权力,但归根结底CDO是支持和控制的职责,而不可能对业务本身负责。

3. 建立企业自己的围墙花园

在《个保法》 的约束之下,企业的数据应用体系也将需要进行优化或重构。

一个重要的原则是,数据的应用体系需要闭环。毕竟,管理层要确保在所有数据流动的环节中,数据都不能被转移,或是被泄露。

如同互联网巨头们构建起的围墙花园,企业肯定也需要有自己数据的围墙花园。

围墙花园的含义,不是只修围墙,不修门和窗。企业应该确保个人数据不出库的安全,也需要在这个安全的情况下,能够最大化地应用数据。安全,需要围墙;应用,则需要门和窗。

构建这样的闭环体系包含一系列的举措。

在获取数据,尤其是获取自有数据上,企业应构建自己的私域触点体系,并且需要充满想象力地合理地设计自己的触点功能与互动,以突破《常见类型移动互联网应用程序必要个人信息范围规定》所限制的数据收集的基本范围。(当然,前提是要做知情同意,甚至单独同意的告知。)

在应用上,需要将数据本身与数据赋能的对象在应用上连接,在物理上隔离。

这么讲或许非常难以理解,你可以想象成,数据本身不被查看不被转移,但同时它又可以变成能力输出给各应用系统。就像隔山打牛。

为了实现这一点,数据必然要和这些系统深度地耦合,这是企业构建CDP这样的数据系统的意义所在。为了实现与外部应用的耦合(例如企业和媒体的数据的耦合),如同量子纠缠,新的技术尤为重要,例如隐私计算技术,以及更新的加密技术。

CEO和管理层,应该积极拥抱这些技术。利用围墙花园,以及支持企业围墙花园的相关技术。

4. 防御性保护,并驱动数字化转型

《个保法》是抽象立法,这意味着在法律的具体执行的各种场景上仍然有巨大的需要厘清的空间。

举个例子,如果我是外企,很可能涉及到个人信息数据出境的情形。《个保法》明确了数据出境的合法性要求,但是当你真的需要出境的时候,你会发现完全不知道应该如何才能做到合法,因为与《个保法》所明确的主管机构还没有出台相关的配套规则。

这种情况并不罕见,一个上位法的出台需要大量下位法和规则的出台才能保障其实施。

因此,如果你的企业仍然在使用Google Analytics这类海外的SaaS数据工具,至少在当前,被问责和起诉的风险并不大。但Google Analytics的数据服务并没有在国内,因此在法律意义上,这属于数据出境的情形。从长远看,你将不得不切换它为别的数据工具。

如果我们在不得已的情况下被动切换这个工具,或者在法律已经开始追责的情况下我们因为使用这个工具而被处罚,显然得不偿失。(这也是我在前面所讲的,如果什么都不做,最终会发生的“厄运”。)

所以,公司的管理层需要提前做好准备,将自己的数据体系分为三个层面去应对:

  • 现在和未来都安全的
  • 现在暂时没被问责,但已经不合法的
  • 现在已经有巨大风险的

考虑到法律的落地到执法的落地之间还有不少的鸿沟要填平,我们不能一刀切地认为所有的数据都存在风险,都需要立即开始整改。但同样不能认为一切都安全。

或者说,对于现在暂时没有被问责,但已经不合法的,要做好备份方案,以确保在必要的时候能够随时切换。

图:个保法之下,企业三个层面的数据体系应对方案

大多数时候,规避风险的切换情况不像停用或切换一个Google Analytics那么简单。管理层应该意识到,对于数据合法性的应对将不是用一个合规的零件做替换即可,而是一个系统性的工程。这源于数字化体系下各部分之间具有很强的耦合性。例如,如果我要改变过去的获取数据的方式,那么与之相应的一系列配套体系都需要做调整,比如消费者触点的建立、触点功能设置的升级,比如数据获取的工具调整,比如在组织架构上的调整,甚至重新改变营销模式或业务增长的方式。

这实际上就是《个保法》驱动数字化转型的根本原因。

5.渐进的转型而不是激进的转型

如同我前面所论述的,《个保法》下,对数据有依赖的企业必须要进行数字化转型。

不过,要避免数字化的转型激进化。

所谓的激进,是希望毕其功于一役,对组织、与数据相关的数字业务、相关工具、工作流程等,进行短期的、彻底地改变。

倒并不是因为风险高,而是因为,做不到。

最主要的挑战在于人本身,管理层不可能对人进行大换血,即使有这样的决心,也不可能找到全部合适的相关人才。

而且,即使全部合适的人都到位,他们又如何能在短时间内熟悉业务并开始协同起来高效运作?

所以,当有人问我,哪一家的数字化转型异常成功的时候,我都会先确定,“你如何定义什么叫数字化转型的成功?”

在我们服务的诸多数字化转型企业中,更多的转型是从局部慢慢延展到全局,是从改善到改变的渐进过程。

在这个过程中,数字化转型要认真布局好几件事情:

第一件事:你认为你的数字化转型的最需要启动的领域是什么?即,策略是什么。

所谓策略,通常是要回答几个问题:

(1)数字化转型朝什么方向走;

(2)分几个阶段,每个阶段的重点是什么;

(3)各个阶段怎么实现。

例如,我要做消费者体验的转型升级,那么这就是上面的(1)大的方向的问题。实现体验转型升级,包含触点体验、商品履约体验、会员体验、服务体验,这就是(2)要解决的的问题。为了实现触点体验的升级,我需要做什么什么事情,这就是(3)要解决的问题。

第二件事:策略清楚了,需要进一步了解怎么做具体的实践。

在每一个阶段具体如何实现的策略定下来之后,下一步就是要定下来,具体的打法是什么,需要什么基础设施,需要什么样的团队,用什么资源,用什么工具。这个过程中需要什么数据,又能够产生什么样的数据,相关的《个保法》所要求的合法性如何实现等。

第三件事:清晰化每一阶段应该达成的效果、风险和备选方案

策略并不总是对的,所以,对于策略的每一阶段,要设置具体的目标,也要能衡量能够达成的结果;要对风险有预计,对防范风险或者对可能产生的风险有预案。并且,某个阶段如果按照既定的方案无法达成,需要有备选方案。

这样的布局背后,企业的数字化转型一定是渐进进行的。既然是渐进发生,管理层或许不需要特别焦虑,但也完全不能无动于衷。

03 结语

《个保法》强化了部分企业的数字化转型的紧迫性,因为如果一个企业需要依靠消费者数据建立竞争优势,那么它就不得不面对来自《个保法》所导致的组织在数据策略上的保守化和封闭化的压力,以及传统数据运作方式的法律风险。这又促使企业的数字化转型发生。

企业的管理层应该意识到,无论是主动求变还是被动应付,在《个保法》的压力下,组织架构、企业的数据体系、企业对数据及其应用的防御性保护、以及包容前面这些问题的数字化转型一定会发生。

企业的管理层同样应该意识到责任在于自己,应破除“将保护数据安全的责任丢给有关部门即可”的偏见。保护数据安全若只是被动的应对,只是修修补补,不可能适应《个保法》下的新商业逻辑。《个保法》提供了一个机会,而不仅仅只是挑战,它并没有将数据应用的大门关闭,相反,它定义了新的游戏规则,而更早学会这个规则,并应用这个规则的企业将更快获益。

那么具体来看,企业该如何在《个保法》的背景之下,进行合法合规的数字营销,这其中有哪些结合实际业务的应用案例,我会在《个人信息保护法》与新数字营销的线上课程中与大家分享(点击了解课程详情),欢迎朋友们参加。

未经允许不得转载:版权归宋星及chinawebanalytics.cn所有宋星的数字观 » 颤抖的CEO – 企业管理层应该如何应对《个人信息保护法》带来的严峻挑战?
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址