戴尔公司亚太及日本大区法律总监徐秀智女士在第五届APEC电子商务工商联盟论坛上演讲

戴尔公司亚太及日本大区法律总监徐秀智女士

徐秀智：各位午安，谢谢主办方给我这个机会来此做演讲。我知道这是一天当中最累的时候。我是来自戴尔公司亚太及日本大区的法律总监徐秀智。我们今天早上也是听到了，有很多的国家，比如越南，他们使用了电子商务这个工具，得到了很好的发展。今天我想要跟大家分享一下戴尔怎么使用电子商务来推进自己的全球采购活动。最重要的是怎么样在用户数据隐私安全方面推进的一些活动。

首先这位是我们的CEO，Michael Dell。在25年前他创立了戴尔，他在自己的学生宿舍当中成立了戴尔。他的愿景就是向全世界售卖高质量的电脑。并且我们通过B2B、B2C来售卖戴尔电脑。他对这个一致性是非常注重的，并且做出的交易当中都应该是合法，不管是什么贸易，不管跟什么公司，或者是政府的采购，他们的义务就是承诺你必须要保持合法性。等一下我会说到隐私合规的文化，等一下我也会回应一下隐私的部分。

我们说合规，合规的风险管理，事实上在所有的戴尔的每一个团队当中都是深入人心，这当中都有自己的风险设定指标。对于戴尔来讲，我们每一个小组都会有领导小组，对于我们来讲，我们和微软有良好的合作，他们首先会做一个风险评估，风险评估之后他们会来识别，在自己的业务运营当中哪一个风险是最大的，这是否会影响他们的核心业务，而且要看它是存在在哪一个结构当中。这可能是作为一个很好的工具来使用，在指导业务当中的一些合规的风险管理。这是我们在全球开展的业务当中都是这样做的。

对于人才来讲，他是否能够得到这个引导，而在我们整个合规的氛围当中进行他的业务。如何能够加强我们整个的合规文化的环境当中进行指导工作。等一下我会说到如何认识到合规的重要性。作为我们做了很多有关风险管理的评估，这个当中不是从零开始的，事实上这当中有很多的组件，比如像合法性，对我们来讲我们是基于自己的业务，我们会看端到端的整个业务流程。而且在这当中，我们会看数据的合法性和完整性。我们看看这个数据，应该是有很多的数据，我们现在有大数据，如果对于大数据的掌控，可能是造成你的成功的关键性因素。

我们看看整个的结果，在合规的评估之后，进行合规管理的结果，事实上，道德帮助对我们来讲可以帮助，如果你有特定的顾虑，能够帮助你进行报告，通过我们的帮助能够帮助到你，而且能够帮助你进行政策的援助。

这些内部的数据，除了内部的数据之外还会通过匿名的方式把问卷发到员工这边，问他们对法规的认知度是怎么样的。为什么要这样？因为这样我们才知道你真正的想法，我们的风险管理才能管理得很好。而且我们是和贸易协会，包括监管当局，等一下迈克尔先生会跟我们分享一下这个问题。有一些方面应该是已经公开披露的，有些可能还不是非常清楚。首先对于公开披露的这个地方，如果你这样做的话，你会被要求迁注或者是注册。

如果你用这个框架之后，你就会被要求合规风险管理。这个等于是在你整个业务群当中都是要保持一致的。戴尔有一个全局观，如果我们是第三方的风险评估的时候，首先可以看到隐私合规是当中一个很重要的主线。首先这边概况式的给大家介绍一下我们的政策是什么样的。因为每一个公司，每一个地区的每一个公司，每一个部门都不太一样，这里和大家分享一下在戴尔当中，首先我们是有专门的这样的部门是涉及到隐私的。这整个供应链当中，是一个书面的文件，不是随便放在这个框架上就能找到，是非常严谨的文字表述，并且不断的根据业务法规的变更，不断在进行更新的。因为我们知道，法律法规不是停滞不前的，它不断变化的时候我们必须要有这样的更新。而且你必须要做到一个社会责任，就是你要有承诺，比如作为戴尔这样一个大公司，你必须要对客户对员工，包括对社会有这样一个承诺，就是保护隐私。戴尔要求所有的员工参与我们这样一个活动，实际上我们在这个合同当也有这样的表述，我们会保护员工的隐私，员工在操作过程中也要保护相关客户的隐私。

我们看到数据隐私的保护，我们通过这样一个框架能够降低风险，迈克尔等一下会从法律层面上给大家解释一下。对员工的保护，某种程度上也是保护了戴尔的声名。戴尔是一个大公司，如果你所转交的数据不合法或者不完整或者没有保护隐私，这会影响我们的声望。所以每一个员工、操作员，都会被要求签署这样一个保密协议。有关数据的安全和数据的隐私，必须要受到严格的保护。如果说是进行外包的话，不管是虚拟的云服务，还是其他的一些服务，我们需要他们做什么呢？他们在访问我们客户的个人信息的时候，必须要保证这个隐私。

戴尔实际上有线上的商店，如果你没有访问过希望你访问一下，我们这方面是做得非常好的。在支付这个门户的时候是做得非常好，你要知道这个支付，这个支付不是我们做的，是第三方做的，但是这个支付非常重要，它会收集相关的个人的隐私，比如银行卡的信息等等。所以对于我们非常有保证的系统当中，你不必担心自己的私人关键信息的泄露。我们的IT团队严密的执行这样的规则，并且我们会不断的问我们的客户，他们需要我们怎么样达到他们的需求，包括和监管单位也保持良好的沟通。

我们可以看到，有很多人声称他们的隐私保护做得非常好。但是有时候在访问网站的时候，很多网站都要求发出cookie的隐私信息。你怎么保证这些信息之后不会被盗用或者误用呢？所以我们戴尔的风险评估管理，这方面就做得非常好。我们在选择第三方的供应商的时候，我们也会有线上的问卷，我们要求他们必须告诉我们他们本身防范隐私规范是什么样的，这样我们才能信任这样一个供应商，他们做决策的时候能够符合我们戴尔全球的隐私策略。这边有一个档案生成，这个档案不仅是有关于非常简单的隐私保护，首先根本的，和所有的普通描述是一样的。这边还有戴尔独特的数据，如果你是采购方的客户，我们这边如果说，你会被要求上传相关的数据，我们会进行认证。如果在管辖区有这样高风险的供应商，他的IT惯例，如果在他的档案当中所表述的和他们实际所执行的不一致的话，他们可能就会被列入高风险的名单。

实际上对于我们这样一个监测和评估是自动化的，不需要人工的干预，整个过程都是自动的。如果我们登入了一个客户，他们了解这个平台的话就知道我们是端对端的自动化的程序，而且自动化的匹配数据更新，从而达到保护要求。

说到提高意识，这非常挑战，很难做。戴尔有十万名员工之多，要一次性培训他们是不可能的事情。所以我们必须运用这样一个混合的方式进行培训。有的线上的培训是必须的，而且强制性的，而且我们有多语言版本，不仅仅是英文。要求所有的员工了解戴尔对他们的要求。而且我们有随机的抽样来测试这些员工，他们是否对这些关键的规则是非常清楚的。比方说像呼叫中心，包括客户关怀中心，他们在收集到客户信息的时候是如何进行保存如何进行运作的，什么可以做什么不可以做，等一下我会展示一下我们是怎么做的。

在归档方面我们有严格的培训，有时候我们会有一些视频给他们看，看视频培训起来更加方便。而且我们有一些关键的，会做出视频让员工进行相关标准的培训。而且有的时候，我们会通过故事陈述的形式，来告诉员工我们该怎么来做。而且尤其是针对隐私保密信息如何进行保存和运维。任何顾虑，如果在你的组织当中有任何关键的事件发生，我们的法务部门而参与进来，法务部门会选择可信的第三方供应商，来亲自测试这些相关的员工，他们是否了解了，然后看到我们培训的结果，要看他们对我们的培训师的发言的理解度是怎么样的，是否真正的理解了，综合的理解了他们所讲的情况。

还有包括信息的管理，我们不希望戴尔出现在任何报刊杂志的头版头条，说我们有任何的事故。这边我要强调一下，如果你在管理这些事情的时候，不要想象我可以很好的处理这些事情，事实上是非常非常难控制的。因为对你来讲，在你的教科书当中必须有这样一个书面的语言，要告诉大家我们这个组织对于数据的安全和隐私，我们的要求是什么样的，必须要有文字的表述。不管你在哪个部门哪个业务条线，你必须要了解，必须是符合我们整个全球化的这样一个机制。

对此，我是非常骄傲的和大家分享一下，在这当中是我们所赢得的一些奖杯。今年我们是被评选为全球最有道德的公司，我们被认为在全球当中，我们的核心价值被体现出来了。比如说数据的完整性，包括我们在外包到第三方的供应商当中，我们都很好的掌握了他们隐私方面的管理。所以如果你想保持组织性，不单单是要内部的保证，而且要外部的保证。比方说你除了内部的分享价值文化，还要和外部第三方进行分享。我们这方面做得非常好，今年我们又得到了这个创新合规奖和反腐奖。我们在第三方的运行方面，尽职调查方面做得非常到位，而且我们做到了，还有包括道德审查委员会，我们也是做到很好的合规。这当中有很多有关合规元素的验证，你要知道，事实上我们这个隐私不是做一个部门一个业务条线，是做整个组织，全球戴尔的组织。我们在这方面做得非常成功，而且我们是延伸到整个的业务部门。这边我们是协同合作来进行风险的识别，这边还有，我们也获得了这样一个奖项，基于原则表现的奖项。

我们一直考虑持续的更新持续的改进，因为你要知道，所有的事情都在变化当中，我们的组织也在不断的发展当中，而且我们也会不断的涉及到新的相关方，有新的相关方可能会代表戴尔公司进行业务。所以他们的证词证言，包括他们的业务性，同样也是要受到验证。所以他们的表现会影响到我们的声望，这一方面我们做得非常好。

下面我把话筒交给约翰先生。