中國國家互聯網應急中心發布的數據顯示,2021年10月,網站安全方面,中國境內被篡改網站數量為9532個,較9月增長近3成;境內被植入後門的網站數量為2932個,較9月增長2.4%。按網站類型統計,被植入後門數量最多的是.COM域名類網站。按地區分佈統計,被植入後門的網站數量排名前三位的分別是北京市、廣東省和浙江省。
問題可能遠不止於此。10月,木馬或殭屍網絡惡意活動情況方面,中國境內近442萬個IP地址對應的主機被木馬或殭屍程序控制,與9月相比增長4成。按地區分佈感染數量排名前三位的分別是廣東省、江蘇省和河南省。
數據安全問題仍在不斷發生。
11月8日,美國一款應用程序Robinhood有關負責人表示,一名入侵者上周(11月3日)進入了該公司的系統,盜竊了數百萬用戶的個人信息。包括大約500萬用戶的電子郵件地址外泄,另外200萬用戶的全名外泄。入侵者還獲取了超過300個用戶更廣泛的個人信息。
Robinhood經過調查后在其官網宣稱,“我們仍然認為該列表不包含社會安全號碼、銀行賬號或借記卡號碼,並且沒有因事件給任何客戶造成經濟損失。”
個人信息作為數據安全的重要表現,Robinhood的這次個人信息泄露事件只是數據安全問題的一個縮影。因為不僅公司、機構內部存在泄露風險,外部攻擊也是數據安全問題的重要威脅。
針對潛存的數據安全問題,我國先後頒布實施了相關法律。11月1日,《中華人民共和國個人信息保護法》正式實施。全國人大常委會法工委經濟法室副主任楊合慶解讀稱,個人信息保護法確立了個人信息處理應遵循的基本原則,構建了以“告知-同意”為核心的處理規則,規範個人信息處理行為,為個人信息的利用提供了公開、透明、可預期的法律環境。
其實,面對無處不在的網絡數據安全風險,我國近年來先後頒布出台了相關的法律法規。比如今年9月1日,《中華人民共和國數據安全法》正式實施。4年前,《網絡安全法》已開始實施。
作為重要的風險源頭,那些掌握着大量數據的互聯網公司、快遞公司、金融科技公司等面對實施的新法是否準備好了?做好風險防範可能面對什麼挑戰?
“缺乏數據安全意識”
王岩飛是北京市京師(深圳)律師事務所聯合創始人、數據合規研究院執行院長。他接觸的客戶有頭部的平台企業,也有中小規模的互聯網企業,以及一些實體企業。
王岩飛告訴新京智庫,他們最近接了一家製造業上市公司的新項目,這家公司涉及的個人信息數據量非常少,主要是內部員工的信息,但這家公司提出一定要做好個人信息保護的合規工作,“他們的合規意識很強,但有一點過於擔心了”。
實際上,有很多企業,包括一些巨頭的數據合規意識還很淡薄。這些企業的商業模式運轉了這麼多年,他們粗放式的數據運營和信息使用模式一時半會也難以改變。“老闆、高管和公司員工對於個人信息保護的法律認知還沒有到這個程度,這可能與執法還沒有跟上有關”,王岩飛說。
以快遞行業為例,2018年5月1日起實施的《快遞暫行條例》第34條規定,經營快遞業務的企業應當建立快遞運單及電子數據管理制度,妥善保管用戶信息等電子數據,定期銷毀快遞運單,採取有效技術手段保證用戶信息安全。
新京智庫觀察發現,有一些快遞公司已將寄、收雙方手機號的中間四位數字隱去,但有一些快遞公司的快遞單仍然顯示詳細的寄、收雙方的手機號碼。
第34條還規定,經營快遞業務的企業及其從業人員不得出售、泄露或者非法提供快遞服務過程中知悉的用戶信息。發生或者可能發生用戶信息泄露的,經營快遞業務的企業應當立即採取補救措施,並向所在地郵政管理部門報告。
新京智庫梳理髮現,仍有一些快遞公司的用戶信息在被販賣。2021年11月7日《南方都市報》報道,該報記者通過一款即時通訊軟件聯繫了多位買家,其中一名叫“橘子”的人報價,實時面單超過1000張每張價格3.5元,精品面單每張4元;而歷史面單隻收車載、童裝童鞋、化妝品類的,每張1.5元。
另一名叫“悟空”的賣家聲稱,他手裡有幾十萬歷史快遞面單,貨源是一家物流“雲倉”;為了證明自己的實力,他還給記者發了一份文檔,裡面按照化妝品、母嬰、服裝等進行分門別類,其中包括上百位消費者的姓名、所購商品、家庭住址和電話號碼等隱私信息,甚至還有商品的價格。
中國政法大學傳播法研究中心副主任朱巍對新京智庫表示,《個人信息保護法》施行前,加密、去標識化的隱私面單還可以視為行業內的倡導,但隨着該法的生效,加密、去標識化等安全技術措施已經成為快遞平台必須履行的法定義務,因此隱私面單功能就必須強制推行。
中國科學院大學網絡空間安全學院教授張銳告訴新京智庫,其實技術上完全可以做到,只需要在源代碼中加入若干行相關程序碼而已,而且“真的很簡單”。
現實是,“大老闆認識不到,這事肯定做不好”,廣東工業大學計算機學院特聘教授劉文印告訴新京智庫,企業如何在管理過程中加強對公司數據、員工數據、產品用戶數據的合法以及綜合管理,有時會發現投入大量人力資源可能有些問題也無法解決。
代碼里的“貓鼠遊戲”
新京智庫梳理髮現,隨着《個人信息保護法》的生效,幾乎所有App、網站都更新了“隱私政策”——都有彈出相應彈窗需要用戶按下“同意”鍵。尷尬的是,很多人可能是直接選擇“同意”,而不會花時間去閱讀這些網站或App的隱私政策到底都是什麼內容。
“我也不看。因為你不同意的話他就直接退出,無法‘正常使用’”,上海大邦律師事務所高級合伙人游雲庭告訴新京智庫,用戶看不看是用戶的事情,但應用開發運營者必須告知用戶權利義務,這是他們的責任。由於商業模式的多樣性,這種事情也沒法特別簡化,現在的模式應該說,是目前情況下可以做到的比較好的方式。
新法實施下,企業該如何做到“無瑕疵”守法還存在類似的技術難題。劉文印表示,我國頒布的《個人信息保護法》被外媒稱為“世界上最嚴格隱私法之一”。在此之前,歐盟《一般資料保護規範》(GDPR)被稱為史上最嚴的隱私法。
《個人信息保護法》規定,收集和處理個人信息應取得個人的充分同意,在23、29、39條中,共5種特殊場景中,要求“取得個人的單獨同意”,給用戶充分的“知情權”和“決定權”,個人有權要求算法說明具體信息,有權知道兩個第三方之間在用“我個人的什麼信息,沒有我個人授權,他們之間無權使用我的個人信息”。
“很多場景下,獲取‘單獨同意’是非常困難的”,劉文印表示,是“發郵件,親手簽字,還是要本人認證?這些信息溝通怎麼自動解析?精度和效率怎麼保證”,這些都是大問題。但是,如果使用已經開發的基於“登錄易”的生態系統架構,網站每次都把“單獨同意”的請求發到手機登錄易App,即,可信用戶代理,或個人信息管理終端,用戶點擊“同意”后,就帶着目的地網站的賬號密碼去調用部署在目的地的API(應用程序接口),目的地網站收到后,驗證賬號密碼“對”就表示確實是用戶本人“同意”,很容易自動完成。
劉文印表示,如果“拒絕”,甚至可以自動投訴到監管機構。如果在登錄易中設置自動授權“同意”的條件,自動檢查信息請求是否滿足,就可以自動授權,提高效率,同時留下“單次通知知情-單次同意”的日誌記錄,作為證據。
然而,“很多企業還不知道如何才能自動合規,實現上述規則,尤其是單獨‘同意’的規則在實踐中如何落地”,劉文印表示,因為這是一個全新規則,比普通的“同意”更難獲得,需要有單獨的通知,讓用戶知情,並明確授權“同意”,不能一開始在用戶協議或隱私政策一次性打鉤就算永久“同意”,“授權”了。
因為數量上加上技術上客觀存在的難題,游雲庭介紹,多數情況下,互聯網公司會做“踩線”的事,比如在產品設計時就把它設計成一個容易混淆,方便他們在接受審
查時有退路的架構,處理成一個看似合規合理的模式。
為什麼這麼做?游雲庭表示,因為這涉及一個監管部門的審計能力問題。因為目前我們的監管機構缺乏相應的審計能力,即如何判定互聯網公司的某個設計是否違法,或者一旦發生數據安全違法事件,如何判定違法還需要查看相應的產品設計方案及程序源代碼。
“如果要加強執法的話,其實要提升相應的數據審計能力,這個成本由誰來承擔”,游雲庭表示,如果由平台公司承擔,那就變成了一個“貓鼠遊戲”,把“老鼠”都抓光了,“貓”也就不用活了。
數據出境到底怎麼出
一個可能更為棘手的問題是,涉外企業的數據出境問題該如何解決?
王岩飛介紹,他所感受到的是,企業對於數據出境問題還是有很多急需法律普及的盲點。“很多企業暫時不知道怎麼做,而且有的是跨國公司”。
作為高校教師,劉文印所在的網絡安全圈子也經常遇到來自企業界的類似困惑。因為很多境內外都有業務(或者國內運營,用戶主要在境外)的公司就會遇到“數據出境”和“個人信息保護”的雙重問題。
涉及這類業務的不僅有外資企業,還有中資企業,比如在境外設有子公司的,或境外只有貿易業務的。以外資企業為例,國家統計局《中國統計年鑒2021》的數據顯示,2020年,我國共有外商投資企業戶數總計63.54萬家,同比增長1.3%。
隨着數字經濟全球化的推進,數字貿易日益成為區域經貿協定的重要內容,我國數字貿易金額也越來越大。商務部的數據顯示,“十三五”時期我國數字貿易額由2015年的2000億美元增長到2020年的2947.6億美元(約合人民幣2萬億元),增長47.4%,占服務貿易的比重從30.6%增長至44.5%。
“比如,有一家叫‘XX思維’的在線教育App,因為收集了太多個人信息,三天兩頭收到監管部門的通知整改”,劉文印說,因為該App的不少用戶在境外,不僅要符合中國的法律,海外也得合規,包括符合歐盟GDPR的規定。
對於金融企業來說,也有一些問題亟待解決。王岩飛介紹,金融企業不僅要履行反洗錢法律責任,如果某家商業銀行是在海外註冊的,不僅要做好反洗錢合規工作,基於其歸屬地的法律,還需要把信息對衝過去,就又涉及數據出境問題在不同法律之間怎麼協調處理問題。“我覺得是個難點”。
急需解決的問題不僅於此。游雲庭表示,當企業在為數據出境感到困惑時,我們的監管部門力量還無法匹配。即當所有涉及數據出境的企業都要求到監管部門備案時,監管部門能否都及時審批過來?如果不能,那企業數據出境業務怎麼開展?
游雲庭表示,新法普及確實增加了企業運營成本,而且部分企業也出現了一些恐慌,尤其是做境內外投資的。現在找他們律師諮詢或做合規工作的是還有錢的企業,如果本身就是微利經營,手裡沒有現金流的企業,“它可能就不做了”。
企業做好數據合規面臨的挑戰
面對新規,企業做好個人信息保護,數據合規又可能面臨哪些挑戰?
上市公司索信達控股有限公司(下稱“索信達”)數據管理領域專家韋海晗告訴新京智庫,新監管趨勢及行業趨勢對數據安全管理提出了更高要求,但像銀行業要做好數據安全工作還面臨不小的挑戰。比如,要求管理內容更豐富,具體體現在非結構化數據納入管理範疇、客戶隱私數據保護成為重點、數據安全分級管理成為必要、海量數據脫敏比較關注、分佈式的基礎設施災備、更多相關的法律法規保證等。
同時,對金融公司也提出了更高的管理能力要求。韋海晗介紹,比如對數據安全要求更高,數據泄露影響也更大,面對海量的數據進行全面的安全分級管理。一些新的大數據產品對於數據安全設計存在缺陷,更多依賴於企業自身數據安全管理能力,分佈式的災備和恢復要求也越來越多。
如果管理能力沒有相應“升級”可能面對的就是管理成本急劇上升。IBM公司今年7月底發布的《2021年數據泄露成本報告》數據顯示,數據泄露的平均成本從上一年度的386萬美元上升到424萬美元,同比增長近10%。這是近七年來最大的單年成本增長。也是IBM發布該報告17年來的最高成本。
該報告進一步指出,與無關遠程工作的數據泄露相比,與遠程工作有關的數據泄露事件的平均成本高出107萬美元。因遠程工作而導致數據泄露的企業百分比為17.5%。此外,與遠程工作人員最多為50%的組織相比,遠程工作人超過50%的組織識別和遏制數據泄露事件所需的時間要多出58天。
從行業來看,該報告指出,醫療保健行業的數據泄露平均總成本從2020年的713萬美元增加到2021年的923萬美元,增幅近3成。醫療保健行業的數據泄露成本連續11年位居首位。
“這就要求管理技術也要更先進”,韋海晗說,比如利用大數據技術獲取企業不同類型的安全數據,識別潛在的數據安全風險和威脅,非結構化數據的安全保護策略和技術實現方案,分佈式的數據加密技術、數據脫敏技術,以及更全面、靈活的數據文件訪問技術,基礎設施災備和恢復技術等。
因而,韋海晗認為,數據安全管理的工作是貫穿於整個數據管理體系之中的,關係到整個數據管理體系的搭建。從整個數據管理角度看,數據安全管理工作包括數據安全管理標準、數據安全事故處理、數據安全分級、數據安全審計。
“數據安全分級是數據安全管理體系構建的重點核心,數據分類又是數據安全分級的基礎和依據”,韋海晗建議,在系統技術支撐上,可以將數據安全分級管理體系嵌入到類似元數據平台、數據資產管理平台上去做。
而張銳表示,很多平台企業,即便是科技企業在技術上的投入還是太少,他們的系統也沒有太先進。很多公司實際上的先進技術研發人員遠沒有他們所宣稱的那麼多,“可能是干體力活的居多”。
企業在做好數據合規工作時不僅內部,外部也同樣面臨挑戰。
游雲庭表示,在《數據安全法》和《個保法》等新的法律規範生效之下,執法能力不強也在一定程度上限制了企業的發展。比如,有的企業有數據跨境需求,但當他們諮詢或者請相關部門予以指導時,相關部門告知“這塊暫時不管”,因為這是“優化營商環境”的範疇。
游雲庭介紹,這是他在《數據安全法》生效后兩三天遇到的真實經歷。他認為,這說明相關的監管部門不能說沒有準備,而是新法生效后,一下子湧現那麼多企業需要辦理數據合規的相關業務,他們受理不過來。“他們也不會去接(企業)鍋的,萬一你(企業)這些數據有問題呢?”
企業要有國家安全思維
那企業該如何做到合規經營?
中國信息通信研究院互聯網法律研究中心主任方禹向新京智庫表示,企業首先要強化數據合規意識。《個人信息保護法》所構建的很多規則,在一定程度上是對企業進行“補課”,過去“重發展、輕保護”的經營思路需要做較大調整,而調整的起點就是個人信息保護意識的形成和強化。
“還要持續合規”,方禹說,個人信息保護本身具有動態性,合規也是一項持續性動作,企業確定個人信息保護總體框架后,需要結合技術發展、業務變化等持續開展合規工作,以符合個人信息保護的安全狀態。
從技術操作層面而言,劉文印建議,企業需要優先梳理、盤點自己的數據資產。首先要知道自己都有什麼(數據),才能有針對性地提出管理和合規的策略。同時,通過合規性檢測來確定自身的問題點,然後再制定適當的、有效的治理手段和風險管理方式和目標計劃,從而有效執行實現合規化。
“網絡安全治理和風險管控每一個步驟都是為了減少安全威脅”,劉文印認為,企業經過有效的梳理後進行集中治理並定期不斷循環升級,從而形成一種生態模式。網絡安全的鏈條很長,主要涉及三個要素,即人員、流程和技術。因此,企業在培訓和優化流程時,也需要在技術上提高,特別是着重提高可以優化、減少人員犯錯流程的技術和能自動執行合規的技術。
對於金融機構而言,索信達的數據治理專家魏強向新京智庫表示,需建立個人信息保護的制度體系,明確工作職責,規範工作流程,完善IT系統,設計並實施覆蓋個人信息全生命周期的安全保護策略,需要從敏感個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等處理的整個過程採取措施進行全生命周期的保護。“比如遵循明確和最小必要原則對個人信息收集進行規範;採用加密等安全措施傳輸和存儲個人敏感信息,避免泄露等”。
王岩飛認為,做好新時代下的數據合規,企業還需樹立兩種思維。首先是樹立國家安全思維,這對很多企業來說都是非常重要的,但是大部分企業都沒有。因為平台企業採集的信息,不僅包括用戶個人信息,還可能包括天氣、地理等數據,只有樹立了國家安全思維,才能在數據出境工作中不踩國家安全“紅線”。
其次是樹立刑事風險的思維。很多企業家可能都會想,如果可以賺10億元,但只罰3000萬元,那他就願意去冒違法的風險。但是他們忽略了一個問題,就是《刑法》中有好幾個涉及個人信息保護、數據安全的罪名。
有些違法行為可能就不只是罰錢了事,“我們去年接手的幾起刑事案件,就是金融企業各板塊的員工相互導數據,他們完全沒有意識,認為這是合理的”,王岩飛說。
北京大學法學院教授薛軍向新京智庫表示,企業在遵守《個人信息保護法》,包括《數據安全法》的過程中,需要有一定的意識,即促進統一的執法標準的形成,比如一些指導性意見或行業準則的出台。這樣才能使得大家在一個“水位線”上,在同等的、合規的標準上來展開競爭,這樣才能真正促進行業的健康、良性發展。“特別是在個人信息保護的合規監管力度、標準的拿捏上,是不是能夠實現一體的、統一的執法標準”。
方禹建議,從監管角度來說,行政指導就尤為重要。大多數國家和地區都組建了個人信息保護專門機構,其關鍵作用之一是對個人信息保護進行指導。行政指導的相對柔性,能夠與法律的相對剛性實現有機結合,促進個人信息保護複雜性的解決。基於指導經驗,將一些成熟的做法、普遍接受的做法固化為監管細則。