數據代碼里隱藏「貓鼠遊戲」 公司數據合規到底難在哪

  原標題:數據代碼里隱藏「貓鼠遊戲」 公司數據合規到底難在哪 

  公司數據合規到底難在哪  數據代碼里隱藏「貓鼠遊戲」;數據出境存在法律間協調難點

  中國國家互聯網應急中心發布的數據顯示,2021年10月,網站安全方面,中國境內被篡改網站數量為9532個,較9月增長近3成;境內被植入後門的網站數量為2932個,較9月增長2.4%。按網站類型統計,被植入後門數量最多的是。COM域名類網站。按地區分佈統計,被植入後門的網站數量排名前三位的分別是北京市、廣東省和浙江省。

  問題可能遠不止於此。10月,木馬或殭屍網路惡意活動情況方面,中國境內近442萬個IP地址對應的主機被木馬或殭屍程序控制,與9月相比增長4成。按地區分佈感染數量排名前三位的分別是廣東省、江蘇省和河南省。

  數據安全問題仍在不斷發生。

  11月8日,美國一款應用程序Robinhood有關負責人表示,一名入侵者上周(11月3日)進入了該公司的系統,盜竊了數百萬用戶的個人信息。包括大約500萬用戶的電子郵件地址外泄,另外200萬用戶的全名外泄。入侵者還獲取了超過300個用戶更廣泛的個人信息。

  Robinhood經過調查后在其官網宣稱,「我們仍然認為該列表不包含社會安全號碼、銀行賬號或借記卡號碼,並且沒有因事件給任何客戶造成經濟損失。」

  個人信息作為數據安全的重要表現,Robinhood的這次個人信息泄露事件只是數據安全問題的一個縮影。因為不僅公司、機構內部存在泄露風險,外部攻擊也是數據安全問題的重要威脅。

  針對潛存的數據安全問題,我國先後頒布實施了相關法律。11月1日,《中華人民共和國個人信息保護法》正式實施。全國人大常委會法工委經濟法室副主任楊合慶解讀稱,個人信息保護法確立了個人信息處理應遵循的基本原則,構建了以「告知-同意」為核心的處理規則,規範個人信息處理行為,為個人信息的利用提供了公開、透明、可預期的法律環境。

  其實,面對無處不在的網路數據安全風險,我國近年來先後頒布出台了相關的法律法規。比如今年9月1日,《中華人民共和國數據安全法》正式實施。4年前,《網路安全法》已開始實施。

  作為重要的風險源頭,那些掌握著大量數據的互聯網公司、快遞公司、金融科技公司等面對實施的新法是否準備好了?做好風險防範可能面對什麼挑戰?

  「缺乏數據安全意識」

  王岩飛是北京市京師(深圳)律師事務所聯合創始人、數據合規研究院執行院長。他接觸的客戶有頭部的平台企業,也有中小規模的互聯網企業,以及一些實體企業。

  王岩飛告訴新京智庫,他們最近接了一家製造業上市公司的新項目,這家公司涉及的個人信息數據量非常少,主要是內部員工的信息,但這家公司提出一定要做好個人信息保護的合規工作,「他們的合規意識很強,但有一點過於擔心了」。

  實際上,有很多企業,包括一些巨頭的數據合規意識還很淡薄。這些企業的商業模式運轉了這麼多年,他們粗放式的數據運營和信息使用模式一時半會也難以改變。「老闆、高管和公司員工對於個人信息保護的法律認知還沒有到這個程度,這可能與執法還沒有跟上有關」,王岩飛說。

  以快遞行業為例,2018年5月1日起實施的《快遞暫行條例》第34條規定,經營快遞業務的企業應當建立快遞運單及電子數據管理制度,妥善保管用戶信息等電子數據,定期銷毀快遞運單,採取有效技術手段保證用戶信息安全。

  新京智庫觀察發現,有一些快遞公司已將寄、收雙方手機號的中間四位數字隱去,但有一些快遞公司的快遞單仍然顯示詳細的寄、收雙方的手機號碼。

  第34條還規定,經營快遞業務的企業及其從業人員不得出售、泄露或者非法提供快遞服務過程中知悉的用戶信息。發生或者可能發生用戶信息泄露的,經營快遞業務的企業應當立即採取補救措施,並向所在地郵政管理部門報告。

  新京智庫梳理髮現,仍有一些快遞公司的用戶信息在被販賣。2021年11月7日《南方都市報》報道,該報記者通過一款即時通訊軟體聯繫了多位買家,其中一名叫「橘子」的人報價,實時面單超過1000張每張價格3.5元,精品面單每張4元;而歷史面單隻收車載、童裝童鞋、化妝品類的,每張1.5元。

  另一名叫「悟空」的賣家聲稱,他手裡有幾十萬歷史快遞面單,貨源是一家物流「雲倉」;為了證明自己的實力,他還給記者發了一份文檔,裏面按照化妝品、母嬰、服裝等進行分門別類,其中包括上百位消費者的姓名、所購商品、家庭住址和電話號碼等隱私信息,甚至還有商品的價格。

  中國政法大學傳播法研究中心副主任朱巍對新京智庫表示,《個人信息保護法》施行前,加密、去標識化的隱私面單還可以視為行業內的倡導,但隨著該法的生效,加密、去標識化等安全技術措施已經成為快遞平台必須履行的法定義務,因此隱私面單功能就必須強制推行。

  中國科學院大學網路空間安全學院教授張銳告訴新京智庫,其實技術上完全可以做到,只需要在源代碼中加入若干行相關程序碼而已,而且「真的很簡單」。

  現實是,「大老闆認識不到,這事肯定做不好」,廣東工業大學計算機學院特聘教授劉文印告訴新京智庫,企業如何在管理過程中加強對公司數據、員工數據、產品用戶數據的合法以及綜合管理,有時會發現投入大量人力資源可能有些問題也無法解決。

  代碼里的「貓鼠遊戲」

  新京智庫梳理髮現,隨著《個人信息保護法》的生效,幾乎所有App、網站都更新了「隱私政策」——都有彈出相應彈窗需要用戶按下「同意」鍵。尷尬的是,很多人可能是直接選擇「同意」,而不會花時間去閱讀這些網站或App的隱私政策到底都是什麼內容。

  「我也不看。因為你不同意的話他就直接退出,無法『正常使用』」,上海大邦律師事務所高級合伙人游雲庭告訴新京智庫,用戶看不看是用戶的事情,但應用開發運營者必須告知用戶權利義務,這是他們的責任。由於商業模式的多樣性,這種事情也沒法特別簡化,現在的模式應該說,是目前情況下可以做到的比較好的方式。

  新法實施下,企業該如何做到「無瑕疵」守法還存在類似的技術難題。劉文印表示,我國頒布的《個人信息保護法》被外媒稱為「世界上最嚴格隱私法之一」。在此之前,歐盟《一般資料保護規範》(GDPR)被稱為史上最嚴的隱私法。

  《個人信息保護法》規定,收集和處理個人信息應取得個人的充分同意,在23、29、39條中,共5種特殊場景中,要求「取得個人的單獨同意」,給用戶充分的「知情權」和「決定權」,個人有權要求演算法說明具體信息,有權知道兩個第三方之間在用「我個人的什麼信息,沒有我個人授權,他們之間無權使用我的個人信息」。

  「很多場景下,獲取『單獨同意』是非常困難的」,劉文印表示,是「發郵件,親手簽字,還是要本人認證?這些信息溝通怎麼自動解析?精度和效率怎麼保證」,這些都是大問題。但是,如果使用已經開發的基於「登錄易」的生態系統架構,網站每次都把「單獨同意」的請求發到手機登錄易App,即,可信用戶代理,或個人信息管理終端,用戶點擊「同意」后,就帶著目的地網站的賬號密碼去調用部署在目的地的API(應用程序介面),目的地網站收到后,驗證賬號密碼「對」就表示確實是用戶本人「同意」,很容易自動完成。

  劉文印表示,如果「拒絕」,甚至可以自動 投訴到監管機構。如果在登錄易中設置自動授權「同意」的條件,自動檢查信息請求是否滿足,就可以自動授權,提高效率,同時留下「單次通知知情-單次同意」的日誌記錄,作為證據。

  然而,「很多企業還不知道如何才能自動合規,實現上述規則,尤其是單獨『同意』的規則在實踐中如何落地」,劉文印表示,因為這是一個全新規則,比普通的「同意」更難獲得,需要有單獨的通知,讓用戶知情,並明確授權「同意」,不能一開始在用戶協議或隱私政策一次性打鉤就算永久「同意」,「授權」了。

  因為數量上加上技術上客觀存在的難題,游雲庭介紹,多數情況下,互聯網公司會做「踩線」的事,比如在產品設計時就把它設計成一個容易混淆,方便他們在接受審

  查時有退路的架構,處理成一個看似合規合理的模式。

  為什麼這麼做?游雲庭表示,因為這涉及一個監管部門的審計能力問題。因為目前我們的監管機構缺乏相應的審計能力,即如何判定互聯網公司的某個設計是否違法,或者一旦發生數據安全違法事件,如何判定違法還需要查看相應的產品設計方案及程序源代碼。

  「如果要加強執法的話,其實要提升相應的數據審計能力,這個成本由誰來承擔」,游雲庭表示,如果由平台公司承擔,那就變成了一個「貓鼠遊戲」,把「老鼠」都抓光了,「貓」也就不用活了。

  數據出境到底怎麼出

  一個可能更為棘手的問題是,涉外企業的數據出境問題該如何解決?

  王岩飛介紹,他所感受到的是,企業對於數據出境問題還是有很多急需法律普及的盲點。「很多企業暫時不知道怎麼做,而且有的是跨國公司」。

  作為高校教師,劉文印所在的網路安全圈子也經常遇到來自企業界的類似困惑。因為很多境內外都有業務(或者國內運營,用戶主要在境外)的公司就會遇到「數據出境」和「個人信息保護」的雙重問題。

  涉及這類業務的不僅有外資企業,還有中資企業,比如在境外設有子公司的,或境外只有貿易業務的。以外資企業為例,國家統計局《中國統計年鑒2021》的數據顯示,2020年,我國共有外商投資企業戶數總計63.54萬家,同比增長1.3%。

  隨著數字經濟全球化的推進,數字貿易日益成為區域經貿協定的重要內容,我國數字貿易金額也越來越大。商務部的數據顯示,「十三五」時期我國數字貿易額由2015年的2000億美元增長到2020年的2947.6億美元(約合人民幣2萬億元),增長47.4%,占服務貿易的比重從30.6%增長至44.5%。

  「比如,有一家叫『XX思維』的在線教育App,因為收集了太多個人信息,三天兩頭收到監管部門的通知整改」,劉文印說,因為該App的不少用戶在境外,不僅要符合中國的法律,海外也得合規,包括符合歐盟GDPR的規定。

  對於金融企業來說,也有一些問題亟待解決。王岩飛介紹,金融企業不僅要履行反洗錢法律責任,如果某家商業銀行是在海外註冊的,不僅要做好反洗錢合規工作,基於其歸屬地的法律,還需要把信息對衝過去,就又涉及數據出境問題在不同法律之間怎麼協調處理問題。「我覺得是個難點」。

  急需解決的問題不僅於此。游雲庭表示,當企業在為數據出境感到困惑時,我們的監管部門力量還無法匹配。即當所有涉及數據出境的企業都要求到監管部門備案時,監管部門能否都及時審批過來?如果不能,那企業數據出境業務怎麼開展?

  游雲庭表示,新法普及確實增加了企業運營成本,而且部分企業也出現了一些恐慌,尤其是做境內外投資的。現在找他們律師諮詢或做合規工作的是還有錢的企業,如果本身就是微利經營,手裡沒有現金流的企業,「它可能就不做了」。

  企業做好數據合規面臨的挑戰

  面對新規,企業做好個人信息保護,數據合規又可能面臨哪些挑戰?

  上市公司索信達控股有限公司(下稱「索信達」)數據管理領域專家韋海晗告訴新京智庫,新監管趨勢及行業趨勢對數據安全管理提出了更高要求,但像銀行業要做好數據安全工作還面臨不小的挑戰。比如,要求管理內容更豐富,具體體現在非結構化數據納入管理範疇、客戶隱私數據保護成為重點、數據安全分級管理成為必要、海量數據脫敏比較關注、分散式的基礎設施災備、更多相關的法律法規保證等。

  同時,對金融公司也提出了更高的管理能力要求。韋海晗介紹,比如對數據安全要求更高,數據泄露影響也更大,面對海量的數據進行全面的安全分級管理。一些新的大數據產品對於數據安全設計存在缺陷,更多依賴於企業自身數據安全管理能力,分散式的災備和恢復要求也越來越多。

  如果管理能力沒有相應「升級」可能面對的就是管理成本急劇上升。 IBM 公司今年7月底發布的《2021年數據泄露成本報告》數據顯示,數據泄露的平均成本從上一年度的386萬美元上升到424萬美元,同比增長近10%。這是近七年來最大的單年成本增長。也是IBM發布該報告17年來的最高成本。

  該報告進一步指出,與無關遠程工作的數據泄露相比,與遠程工作有關的數據泄露事件的平均成本高出107萬美元。因遠程工作而導致數據泄露的企業百分比為17.5%。此外,與遠程工作人員最多為50%的組織相比,遠程工作人超過50%的組織識別和遏制數據泄露事件所需的時間要多出58天。

  從行業來看,該報告指出,醫療保健行業的數據泄露平均總成本從2020年的713萬美元增加到2021年的923萬美元,增幅近3成。醫療保健行業的數據泄露成本連續11年位居首位。

  「這就要求管理技術也要更先進」,韋海晗說,比如利用大數據技術獲取企業不同類型的安全數據,識別潛在的數據安全風險和威脅,非結構化數據的安全保護策略和技術實現方案,分散式的數據加密技術、數據脫敏技術,以及更全面、靈活的數據文件訪問技術,基礎設施災備和恢復技術等。

  因而,韋海晗認為,數據安全管理的工作是貫穿于整個數據管理體系之中的,關係到整個數據管理體系的搭建。從整個數據管理角度看,數據安全管理工作包括數據安全管理標準、數據安全事故處理、數據安全分級、數據安全審計。

  「數據安全分級是數據安全管理體系構建的重點核心,數據分類又是數據安全分級的基礎和依據」,韋海晗建議,在系統技術支撐上,可以將數據安全分級管理體系嵌入到類似元數據平台、數據資產管理平台上去做。

  而張銳表示,很多平台企業,即便是科技企業在技術上的投入還是太少,他們的系統也沒有太先進。很多公司實際上的先進技術研發人員遠沒有他們所宣稱的那麼多,「可能是干體力活的居多」。

  企業在做好數據合規工作時不僅內部,外部也同樣面臨挑戰。

  游雲庭表示,在《數據安全法》和《個保法》等新的法律規範生效之下,執法能力不強也在一定程度上限制了企業的發展。比如,有的企業有數據跨境需求,但當他們諮詢或者請相關部門予以指導時,相關部門告知「這塊暫時不管」,因為這是「優化營商環境」的範疇。

  游雲庭介紹,這是他在《數據安全法》生效后兩三天遇到的真實經歷。他認為,這說明相關的監管部門不能說沒有準備,而是新法生效后,一下子湧現那麼多企業需要辦理數據合規的相關業務,他們受理不過來。「他們也不會去接(企業)鍋的,萬一你(企業)這些數據有問題呢?」

  企業要有國家安全思維

  那企業該如何做到合規經營?

  中國信息通信研究院互聯網法律研究中心主任方禹向新京智庫表示,企業首先要強化數據合規意識。《個人信息保護法》所構建的很多規則,在一定程度上是對企業進行「補課」,過去「重發展、輕保護」的經營思路需要做較大調整,而調整的起點就是個人信息保護意識的形成和強化。

  「還要持續合規」,方禹說,個人信息保護本身具有動態性,合規也是一項持續性動作,企業確定個人信息保護總體框架后,需要結合技術發展、業務變化等持續開展合規工作,以符合個人信息保護的安全狀態。

  從技術操作層面而言,劉文印建議,企業需要優先梳理、盤點自己的數據資產。首先要知道自己都有什麼(數據),才能有針對性地提出管理和合規的策略。同時,通過合規性檢測來確定自身的問題點,然後再制定適當的、有效的治理手段和風險管理方式和目標計劃,從而有效執行實現合規化。

  「網路安全治理和風險管控每一個步驟都是為了減少安全威脅」,劉文印認為,企業經過有效的梳理後進行集中治理並定期不斷循環升級,從而形成一種生態模式。網路安全的鏈條很長,主要涉及三個要素,即人員、流程和技術。因此,企業在培訓和優化流程時,也需要在技術上提高,特別是著重提高可以優化、減少人員犯錯流程的技術和能自動執行合規的技術。

  對於金融機構而言,索信達的數據治理專家魏強向新京智庫表示,需建立個人信息保護的制度體系,明確工作職責,規範工作流程,完善IT系統,設計並實施覆蓋個人信息全生命周期的安全保護策略,需要從敏感個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等處理的整個過程採取措施進行全生命周期的保護。「比如遵循明確和最小必要原則對個人信息收集進行規範;採用加密等安全措施傳輸和存儲個人敏感信息,避免泄露等」。

  王岩飛認為,做好新時代下的數據合規,企業還需樹立兩種思維。首先是樹立國家安全思維,這對很多企業來說都是非常重要的,但是大部分企業都沒有。因為平台企業採集的信息,不僅包括用戶個人信息,還可能包括天氣、地理等數據,只有樹立了國家安全思維,才能在數據出境工作中不踩國家安全「紅線」。

  其次是樹立刑事風險的思維。很多企業家可能都會想,如果可以賺10億元,但只罰3000萬元,那他就願意去冒違法的風險。但是他們忽略了一個問題,就是《刑法》中有好幾個涉及個人信息保護、數據安全的罪名。

  有些違法行為可能就不只是罰錢了事,「我們去年接手的幾起刑事案件,就是金融企業各板塊的員工相互導數據,他們完全沒有意識,認為這是合理的」,王岩飛說。

  北京大學法學院教授薛軍向新京智庫表示,企業在遵守《個人信息保護法》,包括《數據安全法》的過程中,需要有一定的意識,即促進統一的執法標準的形成,比如一些指導性意見或行業準則的出台。這樣才能使得大家在一個「水位線」上,在同等的、合規的標準上來展開競爭,這樣才能真正促進行業的健康、良性發展。「特別是在個人信息保護的合規監管力度、標準的拿捏上,是不是能夠實現一體的、統一的執法標準」。

  方禹建議,從監管角度來說,行政指導就尤為重要。大多數國家和地區都組建了個人信息保護專門機構,其關鍵作用之一是對個人信息保護進行指導。行政指導的相對柔性,能夠與法律的相對剛性實現有機結合,促進個人信息保護複雜性的解決。基於指導經驗,將一些成熟的做法、普遍接受的做法固化為監管細則。

  新京報記者 肖隆平 查志遠

加入好友

台灣疫情資訊

台灣疫苗接種

相關熱門