数据代码里隐藏“猫鼠游戏”;数据出境存在法律间协调难点。
中国国家互联网应急中心发布的数据显示,2021年10月,网站安全方面,中国境内被篡改网站数量为9532个,较9月增长近3成;境内被植入后门的网站数量为2932个,较9月增长2.4%。按网站类型统计,被植入后门数量最多的是.COM域名类网站。按地区分布统计,被植入后门的网站数量排名前三位的分别是北京市、广东省和浙江省。
问题可能远不止于此。10月,木马或僵尸网络恶意活动情况方面,中国境内近442万个IP地址对应的主机被木马或僵尸程序控制,与9月相比增长4成。按地区分布感染数量排名前三位的分别是广东省、江苏省和河南省。
数据安全问题仍在不断发生。
11月8日,美国一款应用程序Robinhood有关负责人表示,一名入侵者上周(11月3日)进入了该公司的系统,盗窃了数百万用户的个人信息。包括大约500万用户的电子邮件地址外泄,另外200万用户的全名外泄。入侵者还获取了超过300个用户更广泛的个人信息。
Robinhood经过调查后在其官网宣称,“我们仍然认为该列表不包含社会安全号码、银行账号或借记卡号码,并且没有因事件给任何客户造成经济损失。”
个人信息作为数据安全的重要表现,Robinhood的这次个人信息泄露事件只是数据安全问题的一个缩影。因为不仅公司、机构内部存在泄露风险,外部攻击也是数据安全问题的重要威胁。
针对潜存的数据安全问题,我国先后颁布实施了相关法律。11月1日,《中华人民共和国个人信息保护法》正式实施。全国人大常委会法工委经济法室副主任杨合庆解读称,个人信息保护法确立了个人信息处理应遵循的基本原则,构建了以“告知-同意”为核心的处理规则,规范个人信息处理行为,为个人信息的利用提供了公开、透明、可预期的法律环境。
其实,面对无处不在的网络数据安全风险,我国近年来先后颁布出台了相关的法律法规。比如今年9月1日,《中华人民共和国数据安全法》正式实施。4年前,《网络安全法》已开始实施。
作为重要的风险源头,那些掌握着大量数据的互联网公司、快递公司、金融科技公司等面对实施的新法是否准备好了?做好风险防范可能面对什么挑战?
1
“缺乏数据安全意识”
王岩飞是北京市京师(深圳)律师事务所联合创始人、数据合规研究院执行院长。他接触的客户有头部的平台企业,也有中小规模的互联网企业,以及一些实体企业。
王岩飞告诉新京智库,他们最近接了一家制造业上市公司的新项目,这家公司涉及的个人信息数据量非常少,主要是内部员工的信息,但这家公司提出一定要做好个人信息保护的合规工作,“他们的合规意识很强,但有一点过于担心了”。
实际上,有很多企业,包括一些巨头的数据合规意识还很淡薄。这些企业的商业模式运转了这么多年,他们粗放式的数据运营和信息使用模式一时半会也难以改变。“老板、高管和公司员工对于个人信息保护的法律认知还没有到这个程度,这可能与执法还没有跟上有关”,王岩飞说。
以快递行业为例,2018年5月1日起实施的《快递暂行条例》第34条规定,经营快递业务的企业应当建立快递运单及电子数据管理制度,妥善保管用户信息等电子数据,定期销毁快递运单,采取有效技术手段保证用户信息安全。
新京智库观察发现,有一些快递公司已将寄、收双方手机号的中间四位数字隐去,但有一些快递公司的快递单仍然显示详细的寄、收双方的手机号码。
第34条还规定,经营快递业务的企业及其从业人员不得出售、泄露或者非法提供快递服务过程中知悉的用户信息。发生或者可能发生用户信息泄露的,经营快递业务的企业应当立即采取补救措施,并向所在地邮政管理部门报告。
新京智库梳理发现,仍有一些快递公司的用户信息在被贩卖。2021年11月7日《南方都市报》报道,该报记者通过一款即时通讯软件联系了多位买家,其中一名叫“橘子”的人报价,实时面单超过1000张每张价格3.5元,精品面单每张4元;而历史面单只收车载、童装童鞋、化妆品类的,每张1.5元。
另一名叫“悟空”的卖家声称,他手里有几十万历史快递面单,货源是一家物流“云仓”;为了证明自己的实力,他还给记者发了一份文档,里面按照化妆品、母婴、服装等进行分门别类,其中包括上百位消费者的姓名、所购商品、家庭住址和电话号码等隐私信息,甚至还有商品的价格。
中国政法大学传播法研究中心副主任朱巍对新京智库表示,《个人信息保护法》施行前,加密、去标识化的隐私面单还可以视为行业内的倡导,但随着该法的生效,加密、去标识化等安全技术措施已经成为快递平台必须履行的法定义务,因此隐私面单功能就必须强制推行。
中国科学院大学网络空间安全学院教授张锐告诉新京智库,其实技术上完全可以做到,只需要在源代码中加入若干行相关程序码而已,而且“真的很简单”。
现实是,“大老板认识不到,这事肯定做不好”,广东工业大学计算机学院特聘教授刘文印告诉新京智库,企业如何在管理过程中加强对公司数据、员工数据、产品用户数据的合法以及综合管理,有时会发现投入大量人力资源可能有些问题也无法解决。
2
代码里的“猫鼠游戏”
新京智库梳理发现,随着《个人信息保护法》的生效,几乎所有App、网站都更新了“隐私政策”——都有弹出相应弹窗需要用户按下“同意”键。尴尬的是,很多人可能是直接选择“同意”,而不会花时间去阅读这些网站或App的隐私政策到底都是什么内容。
“我也不看。因为你不同意的话他就直接退出,无法‘正常使用’”,上海大邦律师事务所高级合伙人游云庭告诉新京智库,用户看不看是用户的事情,但应用开发运营者必须告知用户权利义务,这是他们的责任。由于商业模式的多样性,这种事情也没法特别简化,现在的模式应该说,是目前情况下可以做到的比较好的方式。
新法实施下,企业该如何做到“无瑕疵”守法还存在类似的技术难题。刘文印表示,我国颁布的《个人信息保护法》被外媒称为“世界上最严格隐私法之一”。在此之前,欧盟《一般资料保护规范》(GDPR)被称为史上最严的隐私法。
《个人信息保护法》规定,收集和处理个人信息应取得个人的充分同意,在23、29、39条中,共5种特殊场景中,要求“取得个人的单独同意”,给用户充分的“知情权”和“决定权”,个人有权要求算法说明具体信息,有权知道两个第三方之间在用“我个人的什么信息,没有我个人授权,他们之间无权使用我的个人信息”。
“很多场景下,获取‘单独同意’是非常困难的”,刘文印表示,是“发邮件,亲手签字,还是要本人认证?这些信息沟通怎么自动解析?精度和效率怎么保证”,这些都是大问题。但是,如果使用已经开发的基于“登录易”的生态系统架构,网站每次都把“单独同意”的请求发到手机登录易App,即,可信用户代理,或个人信息管理终端,用户点击“同意”后,就带着目的地网站的账号密码去调用部署在目的地的API(应用程序接口),目的地网站收到后,验证账号密码“对”就表示确实是用户本人“同意”,很容易自动完成。
刘文印表示,如果“拒绝”,甚至可以自动投诉到监管机构。如果在登录易中设置自动授权“同意”的条件,自动检查信息请求是否满足,就可以自动授权,提高效率,同时留下“单次通知知情-单次同意”的日志记录,作为证据。
然而,“很多企业还不知道如何才能自动合规,实现上述规则,尤其是单独‘同意’的规则在实践中如何落地”,刘文印表示,因为这是一个全新规则,比普通的“同意”更难获得,需要有单独的通知,让用户知情,并明确授权“同意”,不能一开始在用户协议或隐私政策一次性打钩就算永久“同意”,“授权”了。
因为数量上加上技术上客观存在的难题,游云庭介绍,多数情况下,互联网公司会做“踩线”的事,比如在产品设计时就把它设计成一个容易混淆,方便他们在接受审查时有退路的架构,处理成一个看似合规合理的模式。
为什么这么做?游云庭表示,因为这涉及一个监管部门的审计能力问题。因为目前我们的监管机构缺乏相应的审计能力,即如何判定互联网公司的某个设计是否违法,或者一旦发生数据安全违法事件,如何判定违法还需要查看相应的产品设计方案及程序源代码。
“如果要加强执法的话,其实要提升相应的数据审计能力,这个成本由谁来承担”,游云庭表示,如果由平台公司承担,那就变成了一个“猫鼠游戏”,把“老鼠”都抓光了,“猫”也就不用活了。
3
数据出境到底怎么出
一个可能更为棘手的问题是,涉外企业的数据出境问题该如何解决?
王岩飞介绍,他所感受到的是,企业对于数据出境问题还是有很多急需法律普及的盲点。“很多企业暂时不知道怎么做,而且有的是跨国公司”。
作为高校教师,刘文印所在的网络安全圈子也经常遇到来自企业界的类似困惑。因为很多境内外都有业务(或者国内运营,用户主要在境外)的公司就会遇到“数据出境”和“个人信息保护”的双重问题。
涉及这类业务的不仅有外资企业,还有中资企业,比如在境外设有子公司的,或境外只有贸易业务的。以外资企业为例,国家统计局《中国统计年鉴2021》的数据显示,2020年,我国共有外商投资企业户数总计63.54万家,同比增长1.3%。
随着数字经济全球化的推进,数字贸易日益成为区域经贸协定的重要内容,我国数字贸易金额也越来越大。商务部的数据显示,“十三五”时期我国数字贸易额由2015年的2000亿美元增长到2020年的2947.6亿美元(约合人民币2万亿元),增长47.4%,占服务贸易的比重从30.6%增长至44.5%。
“比如,有一家叫‘XX思维’的在线教育App,因为收集了太多个人信息,三天两头收到监管部门的通知整改”,刘文印说,因为该App的不少用户在境外,不仅要符合中国的法律,海外也得合规,包括符合欧盟GDPR的规定。
对于金融企业来说,也有一些问题亟待解决。王岩飞介绍,金融企业不仅要履行反洗钱法律责任,如果某家商业银行是在海外注册的,不仅要做好反洗钱合规工作,基于其归属地的法律,还需要把信息对冲过去,就又涉及数据出境问题在不同法律之间怎么协调处理问题。“我觉得是个难点”。
急需解决的问题不仅于此。游云庭表示,当企业在为数据出境感到困惑时,我们的监管部门力量还无法匹配。即当所有涉及数据出境的企业都要求到监管部门备案时,监管部门能否都及时审批过来?如果不能,那企业数据出境业务怎么开展?
游云庭表示,新法普及确实增加了企业运营成本,而且部分企业也出现了一些恐慌,尤其是做境内外投资的。现在找他们律师咨询或做合规工作的是还有钱的企业,如果本身就是微利经营,手里没有现金流的企业,“它可能就不做了”。
4
企业做好数据合规面临的挑战
面对新规,企业做好个人信息保护,数据合规又可能面临哪些挑战?
上市公司索信达控股有限公司(下称“索信达”)数据管理领域专家韦海晗告诉新京智库,新监管趋势及行业趋势对数据安全管理提出了更高要求,但像银行业要做好数据安全工作还面临不小的挑战。比如,要求管理内容更丰富,具体体现在非结构化数据纳入管理范畴、客户隐私数据保护成为重点、数据安全分级管理成为必要、海量数据脱敏比较关注、分布式的基础设施灾备、更多相关的法律法规保证等。
同时,对金融公司也提出了更高的管理能力要求。韦海晗介绍,比如对数据安全要求更高,数据泄露影响也更大,面对海量的数据进行全面的安全分级管理。一些新的大数据产品对于数据安全设计存在缺陷,更多依赖于企业自身数据安全管理能力,分布式的灾备和恢复要求也越来越多。
如果管理能力没有相应“升级”可能面对的就是管理成本急剧上升。IBM公司今年7月底发布的《2021年数据泄露成本报告》数据显示,数据泄露的平均成本从上一年度的386万美元上升到424万美元,同比增长近10%。这是近七年来最大的单年成本增长。也是IBM发布该报告17年来的最高成本。
该报告进一步指出,与无关远程工作的数据泄露相比,与远程工作有关的数据泄露事件的平均成本高出107万美元。因远程工作而导致数据泄露的企业百分比为17.5%。此外,与远程工作人员最多为50%的组织相比,远程工作人超过50%的组织识别和遏制数据泄露事件所需的时间要多出58天。
从行业来看,该报告指出,医疗保健行业的数据泄露平均总成本从2020年的713万美元增加到2021年的923万美元,增幅近3成。医疗保健行业的数据泄露成本连续11年位居首位。
“这就要求管理技术也要更先进”,韦海晗说,比如利用大数据技术获取企业不同类型的安全数据,识别潜在的数据安全风险和威胁,非结构化数据的安全保护策略和技术实现方案,分布式的数据加密技术、数据脱敏技术,以及更全面、灵活的数据文件访问技术,基础设施灾备和恢复技术等。
因而,韦海晗认为,数据安全管理的工作是贯穿于整个数据管理体系之中的,关系到整个数据管理体系的搭建。从整个数据管理角度看,数据安全管理工作包括数据安全管理标准、数据安全事故处理、数据安全分级、数据安全审计。
“数据安全分级是数据安全管理体系构建的重点核心,数据分类又是数据安全分级的基础和依据”,韦海晗建议,在系统技术支撑上,可以将数据安全分级管理体系嵌入到类似元数据平台、数据资产管理平台上去做。
而张锐表示,很多平台企业,即便是科技企业在技术上的投入还是太少,他们的系统也没有太先进。很多公司实际上的先进技术研发人员远没有他们所宣称的那么多,“可能是干体力活的居多”。
企业在做好数据合规工作时不仅内部,外部也同样面临挑战。
游云庭表示,在《数据安全法》和《个保法》等新的法律规范生效之下,执法能力不强也在一定程度上限制了企业的发展。比如,有的企业有数据跨境需求,但当他们咨询或者请相关部门予以指导时,相关部门告知“这块暂时不管”,因为这是“优化营商环境”的范畴。
游云庭介绍,这是他在《数据安全法》生效后两三天遇到的真实经历。他认为,这说明相关的监管部门不能说没有准备,而是新法生效后,一下子涌现那么多企业需要办理数据合规的相关业务,他们受理不过来。“他们也不会去接(企业)锅的,万一你(企业)这些数据有问题呢?”
5
企业要有国家安全思维
那企业该如何做到合规经营?
中国信息通信研究院互联网法律研究中心主任方禹向新京智库表示,企业首先要强化数据合规意识。《个人信息保护法》所构建的很多规则,在一定程度上是对企业进行“补课”,过去“重发展、轻保护”的经营思路需要做较大调整,而调整的起点就是个人信息保护意识的形成和强化。
“还要持续合规”,方禹说,个人信息保护本身具有动态性,合规也是一项持续性动作,企业确定个人信息保护总体框架后,需要结合技术发展、业务变化等持续开展合规工作,以符合个人信息保护的安全状态。
从技术操作层面而言,刘文印建议,企业需要优先梳理、盘点自己的数据资产。首先要知道自己都有什么(数据),才能有针对性地提出管理和合规的策略。同时,通过合规性检测来确定自身的问题点,然后再制定适当的、有效的治理手段和风险管理方式和目标计划,从而有效执行实现合规化。
“网络安全治理和风险管控每一个步骤都是为了减少安全威胁”,刘文印认为,企业经过有效的梳理后进行集中治理并定期不断循环升级,从而形成一种生态模式。网络安全的链条很长,主要涉及三个要素,即人员、流程和技术。因此,企业在培训和优化流程时,也需要在技术上提高,特别是着重提高可以优化、减少人员犯错流程的技术和能自动执行合规的技术。
对于金融机构而言,索信达的数据治理专家魏强向新京智库表示,需建立个人信息保护的制度体系,明确工作职责,规范工作流程,完善IT系统,设计并实施覆盖个人信息全生命周期的安全保护策略,需要从敏感个人金融信息的收集、传输、存储、使用、删除、销毁等处理的整个过程采取措施进行全生命周期的保护。“比如遵循明确和最小必要原则对个人信息收集进行规范;采用加密等安全措施传输和存储个人敏感信息,避免泄露等”。
王岩飞认为,做好新时代下的数据合规,企业还需树立两种思维。首先是树立国家安全思维,这对很多企业来说都是非常重要的,但是大部分企业都没有。因为平台企业采集的信息,不仅包括用户个人信息,还可能包括天气、地理等数据,只有树立了国家安全思维,才能在数据出境工作中不踩国家安全“红线”。
其次是树立刑事风险的思维。很多企业家可能都会想,如果可以赚10亿元,但只罚3000万元,那他就愿意去冒违法的风险。但是他们忽略了一个问题,就是《刑法》中有好几个涉及个人信息保护、数据安全的罪名。
有些违法行为可能就不只是罚钱了事,“我们去年接手的几起刑事案件,就是金融企业各板块的员工相互导数据,他们完全没有意识,认为这是合理的”,王岩飞说。
北京大学法学院教授薛军向新京智库表示,企业在遵守《个人信息保护法》,包括《数据安全法》的过程中,需要有一定的意识,即促进统一的执法标准的形成,比如一些指导性意见或行业准则的出台。这样才能使得大家在一个“水位线”上,在同等的、合规的标准上来展开竞争,这样才能真正促进行业的健康、良性发展。“特别是在个人信息保护的合规监管力度、标准的拿捏上,是不是能够实现一体的、统一的执法标准”。
方禹建议,从监管角度来说,行政指导就尤为重要。大多数国家和地区都组建了个人信息保护专门机构,其关键作用之一是对个人信息保护进行指导。行政指导的相对柔性,能够与法律的相对刚性实现有机结合,促进个人信息保护复杂性的解决。基于指导经验,将一些成熟的做法、普遍接受的做法固化为监管细则。