全球財經交易行

全球財經交易行

数据司数網站安全方麵

时间:2025-04-16 16:36:09来源:编辑:

  原標題:數據代碼裏隱藏“貓鼠遊戲”公司數據合規到底難在哪 

  公司數據合規到底難在哪  數據代碼裏隱藏“貓鼠遊戲”;數據出境存在法律間協調難點

  中國國家互聯網應急中心發布的猫鼠游戏數據顯示,2021年10月,数据司数網站安全方麵,代码底难中國境內被篡改網站數量為9532個,据合較9月增長近3成;境內被植入後門的猫鼠游戏網站數量為2932個,較9月增長2.4%。数据司数按網站類型統計,代码底难被植入後門數量最多的据合是。COM域名類網站。猫鼠游戏按地區分布統計,数据司数被植入後門的代码底难網站數量排名前三位的分別是北京市、廣東省和浙江省。据合

  問題可能遠不止於此。猫鼠游戏10月,数据司数木馬或僵屍網絡惡意活動情況方麵,代码底难中國境內近442萬個IP地址對應的主機被木馬或僵屍程序控製,與9月相比增長4成。按地區分布感染數量排名前三位的分別是廣東省、江蘇省和河南省。

  數據安全問題仍在不斷發生。

  11月8日,美國一款應用程序Robinhood有關負責人表示,一名入侵者上周(11月3日)進入了該公司的係統,盜竊了數百萬用戶的個人信息。包括大約500萬用戶的電子郵件地址外泄,另外200萬用戶的全名外泄。入侵者還獲取了超過300個用戶更廣泛的個人信息。

  Robinhood經過調查後在其官網宣稱,“我們仍然認為該列表不包含社會安全號碼、銀行賬號或借記卡號碼,並且沒有因事件給任何客戶造成經濟損失。”

  個人信息作為數據安全的重要表現,Robinhood的這次個人信息泄露事件隻是數據安全問題的一個縮影。因為不僅公司、機構內部存在泄露風險,外部攻擊也是數據安全問題的重要威脅。

  針對潛存的數據安全問題,我國先後頒布實施了相關法律。11月1日,《中華人民共和國個人信息保護法》正式實施。全國人大常委會法工委經濟法室副主任楊合慶解讀稱,個人信息保護法確立了個人信息處理應遵循的基本原則,構建了以“告知-同意”為核心的處理規則,規範個人信息處理行為,為個人信息的利用提供了公開、透明、可預期的法律環境。

  其實,麵對無處不在的網絡數據安全風險,我國近年來先後頒布出台了相關的法律法規。比如今年9月1日,《中華人民共和國數據安全法》正式實施。4年前,《網絡安全法》已開始實施。

  作為重要的風險源頭,那些掌握著大量數據的互聯網公司、快遞公司、金融科技公司等麵對實施的新法是否準備好了?做好風險防範可能麵對什麽挑戰?

  “缺乏數據安全意識”

  王岩飛是北京市京師(深圳)律師事務所聯合創始人、數據合規研究院執行院長。他接觸的客戶有頭部的平台企業,也有中小規模的互聯網企業,以及一些實體企業。

  王岩飛告訴新京智庫,他們最近接了一家製造業上市公司的新項目,這家公司涉及的個人信息數據量非常少,主要是內部員工的信息,但這家公司提出一定要做好個人信息保護的合規工作,“他們的合規意識很強,但有一點過於擔心了”。

  實際上,有很多企業,包括一些巨頭的數據合規意識還很淡薄。這些企業的商業模式運轉了這麽多年,他們粗放式的數據運營和信息使用模式一時半會也難以改變。“老板、高管和公司員工對於個人信息保護的法律認知還沒有到這個程度,這可能與執法還沒有跟上有關”,王岩飛說。

  以快遞行業為例,2018年5月1日起實施的《快遞暫行條例》第34條規定,經營快遞業務的企業應當建立快遞運單及電子數據管理製度,妥善保管用戶信息等電子數據,定期銷毀快遞運單,采取有效技術手段保證用戶信息安全。

  新京智庫觀察發現,有一些快遞公司已將寄、收雙方手機號的中間四位數字隱去,但有一些快遞公司的快遞單仍然顯示詳細的寄、收雙方的手機號碼。

  第34條還規定,經營快遞業務的企業及其從業人員不得出售、泄露或者非法提供快遞服務過程中知悉的用戶信息。發生或者可能發生用戶信息泄露的,經營快遞業務的企業應當立即采取補救措施,並向所在地郵政管理部門報告。

  新京智庫梳理發現,仍有一些快遞公司的用戶信息在被販賣。2021年11月7日《南方都市報》報道,該報記者通過一款即時通訊軟件聯係了多位買家,其中一名叫“橘子”的人報價,實時麵單超過1000張每張價格3.5元,精品麵單每張4元;而曆史麵單隻收車載、童裝童鞋、化妝品類的,每張1.5元。

  另一名叫“悟空”的賣家聲稱,他手裏有幾十萬曆史快遞麵單,貨源是一家物流“雲倉”;為了證明自己的實力,他還給記者發了一份文檔,裏麵按照化妝品、母嬰、服裝等進行分門別類,其中包括上百位消費者的姓名、所購商品、家庭住址和電話號碼等隱私信息,甚至還有商品的價格。

  中國政法大學傳播法研究中心副主任朱巍對新京智庫表示,《個人信息保護法》施行前,加密、去標識化的隱私麵單還可以視為行業內的倡導,但隨著該法的生效,加密、去標識化等安全技術措施已經成為快遞平台必須履行的法定義務,因此隱私麵單功能就必須強製推行。

  中國科學院大學網絡空間安全學院教授張銳告訴新京智庫,其實技術上完全可以做到,隻需要在源代碼中加入若幹行相關程序碼而已,而且“真的很簡單”。

  現實是,“大老板認識不到,這事肯定做不好”,廣東工業大學計算機學院特聘教授劉文印告訴新京智庫,企業如何在管理過程中加強對公司數據、員工數據、產品用戶數據的合法以及綜合管理,有時會發現投入大量人力資源可能有些問題也無法解決。

  代碼裏的“貓鼠遊戲”

  新京智庫梳理發現,隨著《個人信息保護法》的生效,幾乎所有App、網站都更新了“隱私政策”——都有彈出相應彈窗需要用戶按下“同意”鍵。尷尬的是,很多人可能是直接選擇“同意”,而不會花時間去閱讀這些網站或App的隱私政策到底都是什麽內容。

  “我也不看。因為你不同意的話他就直接退出,無法‘正常使用’”,上海大邦律師事務所高級合夥人遊雲庭告訴新京智庫,用戶看不看是用戶的事情,但應用開發運營者必須告知用戶權利義務,這是他們的責任。由於商業模式的多樣性,這種事情也沒法特別簡化,現在的模式應該說,是目前情況下可以做到的比較好的方式。

  新法實施下,企業該如何做到“無瑕疵”守法還存在類似的技術難題。劉文印表示,我國頒布的《個人信息保護法》被外媒稱為“世界上最嚴格隱私法之一”。在此之前,歐盟《一般資料保護規範》(GDPR)被稱為史上最嚴的隱私法。

  《個人信息保護法》規定,收集和處理個人信息應取得個人的充分同意,在23、29、39條中,共5種特殊場景中,要求“取得個人的單獨同意”,給用戶充分的“知情權”和“決定權”,個人有權要求算法說明具體信息,有權知道兩個第三方之間在用“我個人的什麽信息,沒有我個人授權,他們之間無權使用我的個人信息”。

  “很多場景下,獲取‘單獨同意’是非常困難的”,劉文印表示,是“發郵件,親手簽字,還是要本人認證?這些信息溝通怎麽自動解析?精度和效率怎麽保證”,這些都是大問題。但是,如果使用已經開發的基於“登錄易”的生態係統架構,網站每次都把“單獨同意”的請求發到手機登錄易App,即,可信用戶代理,或個人信息管理終端,用戶點擊“同意”後,就帶著目的地網站的賬號密碼去調用部署在目的地的API(應用程序接口),目的地網站收到後,驗證賬號密碼“對”就表示確實是用戶本人“同意”,很容易自動完成。

  劉文印表示,如果“拒絕”,甚至可以自動投訴到監管機構。如果在登錄易中設置自動授權“同意”的條件,自動檢查信息請求是否滿足,就可以自動授權,提高效率,同時留下“單次通知知情-單次同意”的日誌記錄,作為證據。

  然而,“很多企業還不知道如何才能自動合規,實現上述規則,尤其是單獨‘同意’的規則在實踐中如何落地”,劉文印表示,因為這是一個全新規則,比普通的“同意”更難獲得,需要有單獨的通知,讓用戶知情,並明確授權“同意”,不能一開始在用戶協議或隱私政策一次性打鉤就算永久“同意”,“授權”了。

  因為數量上加上技術上客觀存在的難題,遊雲庭介紹,多數情況下,互聯網公司會做“踩線”的事,比如在產品設計時就把它設計成一個容易混淆,方便他們在接受審

  查時有退路的架構,處理成一個看似合規合理的模式。

  為什麽這麽做?遊雲庭表示,因為這涉及一個監管部門的審計能力問題。因為目前我們的監管機構缺乏相應的審計能力,即如何判定互聯網公司的某個設計是否違法,或者一旦發生數據安全違法事件,如何判定違法還需要查看相應的產品設計方案及程序源代碼。

  “如果要加強執法的話,其實要提升相應的數據審計能力,這個成本由誰來承擔”,遊雲庭表示,如果由平台公司承擔,那就變成了一個“貓鼠遊戲”,把“老鼠”都抓光了,“貓”也就不用活了。

  數據出境到底怎麽出

  一個可能更為棘手的問題是,涉外企業的數據出境問題該如何解決?

  王岩飛介紹,他所感受到的是,企業對於數據出境問題還是有很多急需法律普及的盲點。“很多企業暫時不知道怎麽做,而且有的是跨國公司”。

  作為高校教師,劉文印所在的網絡安全圈子也經常遇到來自企業界的類似困惑。因為很多境內外都有業務(或者國內運營,用戶主要在境外)的公司就會遇到“數據出境”和“個人信息保護”的雙重問題。

  涉及這類業務的不僅有外資企業,還有中資企業,比如在境外設有子公司的,或境外隻有貿易業務的。以外資企業為例,國家統計局《中國統計年鑒2021》的數據顯示,2020年,我國共有外商投資企業戶數總計63.54萬家,同比增長1.3%。

  隨著數字經濟全球化的推進,數字貿易日益成為區域經貿協定的重要內容,我國數字貿易金額也越來越大。商務部的數據顯示,“十三五”時期我國數字貿易額由2015年的2000億美元增長到2020年的2947.6億美元(約合人民幣2萬億元),增長47.4%,占服務貿易的比重從30.6%增長至44.5%。

  “比如,有一家叫‘XX思維’的在線教育App,因為收集了太多個人信息,三天兩頭收到監管部門的通知整改”,劉文印說,因為該App的不少用戶在境外,不僅要符合中國的法律,海外也得合規,包括符合歐盟GDPR的規定。

  對於金融企業來說,也有一些問題亟待解決。王岩飛介紹,金融企業不僅要履行反洗錢法律責任,如果某家商業銀行是在海外注冊的,不僅要做好反洗錢合規工作,基於其歸屬地的法律,還需要把信息對衝過去,就又涉及數據出境問題在不同法律之間怎麽協調處理問題。“我覺得是個難點”。

  急需解決的問題不僅於此。遊雲庭表示,當企業在為數據出境感到困惑時,我們的監管部門力量還無法匹配。即當所有涉及數據出境的企業都要求到監管部門備案時,監管部門能否都及時審批過來?如果不能,那企業數據出境業務怎麽開展?

  遊雲庭表示,新法普及確實增加了企業運營成本,而且部分企業也出現了一些恐慌,尤其是做境內外投資的。現在找他們律師谘詢或做合規工作的是還有錢的企業,如果本身就是微利經營,手裏沒有現金流的企業,“它可能就不做了”。

  企業做好數據合規麵臨的挑戰

  麵對新規,企業做好個人信息保護,數據合規又可能麵臨哪些挑戰?

  上市公司索信達控股有限公司(下稱“索信達”)數據管理領域專家韋海晗告訴新京智庫,新監管趨勢及行業趨勢對數據安全管理提出了更高要求,但像銀行業要做好數據安全工作還麵臨不小的挑戰。比如,要求管理內容更豐富,具體體現在非結構化數據納入管理範疇、客戶隱私數據保護成為重點、數據安全分級管理成為必要、海量數據脫敏比較關注、分布式的基礎設施災備、更多相關的法律法規保證等。

  同時,對金融公司也提出了更高的管理能力要求。韋海晗介紹,比如對數據安全要求更高,數據泄露影響也更大,麵對海量的數據進行全麵的安全分級管理。一些新的大數據產品對於數據安全設計存在缺陷,更多依賴於企業自身數據安全管理能力,分布式的災備和恢複要求也越來越多。

  如果管理能力沒有相應“升級”可能麵對的就是管理成本急劇上升。IBM公司今年7月底發布的《2021年數據泄露成本報告》數據顯示,數據泄露的平均成本從上一年度的386萬美元上升到424萬美元,同比增長近10%。這是近七年來最大的單年成本增長。也是IBM發布該報告17年來的最高成本。

  該報告進一步指出,與無關遠程工作的數據泄露相比,與遠程工作有關的數據泄露事件的平均成本高出107萬美元。因遠程工作而導致數據泄露的企業百分比為17.5%。此外,與遠程工作人員最多為50%的組織相比,遠程工作人超過50%的組織識別和遏製數據泄露事件所需的時間要多出58天。

  從行業來看,該報告指出,醫療保健行業的數據泄露平均總成本從2020年的713萬美元增加到2021年的923萬美元,增幅近3成。醫療保健行業的數據泄露成本連續11年位居首位。

  “這就要求管理技術也要更先進”,韋海晗說,比如利用大數據技術獲取企業不同類型的安全數據,識別潛在的數據安全風險和威脅,非結構化數據的安全保護策略和技術實現方案,分布式的數據加密技術、數據脫敏技術,以及更全麵、靈活的數據文件訪問技術,基礎設施災備和恢複技術等。

  因而,韋海晗認為,數據安全管理的工作是貫穿於整個數據管理體係之中的,關係到整個數據管理體係的搭建。從整個數據管理角度看,數據安全管理工作包括數據安全管理標準、數據安全事故處理、數據安全分級、數據安全審計。

  “數據安全分級是數據安全管理體係構建的重點核心,數據分類又是數據安全分級的基礎和依據”,韋海晗建議,在係統技術支撐上,可以將數據安全分級管理體係嵌入到類似元數據平台、數據資產管理平台上去做。

  而張銳表示,很多平台企業,即便是科技企業在技術上的投入還是太少,他們的係統也沒有太先進。很多公司實際上的先進技術研發人員遠沒有他們所宣稱的那麽多,“可能是幹體力活的居多”。

  企業在做好數據合規工作時不僅內部,外部也同樣麵臨挑戰。

  遊雲庭表示,在《數據安全法》和《個保法》等新的法律規範生效之下,執法能力不強也在一定程度上限製了企業的發展。比如,有的企業有數據跨境需求,但當他們谘詢或者請相關部門予以指導時,相關部門告知“這塊暫時不管”,因為這是“優化營商環境”的範疇。

  遊雲庭介紹,這是他在《數據安全法》生效後兩三天遇到的真實經曆。他認為,這說明相關的監管部門不能說沒有準備,而是新法生效後,一下子湧現那麽多企業需要辦理數據合規的相關業務,他們受理不過來。“他們也不會去接(企業)鍋的,萬一你(企業)這些數據有問題呢?”

  企業要有國家安全思維

  那企業該如何做到合規經營?

  中國信息通信研究院互聯網法律研究中心主任方禹向新京智庫表示,企業首先要強化數據合規意識。《個人信息保護法》所構建的很多規則,在一定程度上是對企業進行“補課”,過去“重發展、輕保護”的經營思路需要做較大調整,而調整的起點就是個人信息保護意識的形成和強化。

  “還要持續合規”,方禹說,個人信息保護本身具有動態性,合規也是一項持續性動作,企業確定個人信息保護總體框架後,需要結合技術發展、業務變化等持續開展合規工作,以符合個人信息保護的安全狀態。

  從技術操作層麵而言,劉文印建議,企業需要優先梳理、盤點自己的數據資產。首先要知道自己都有什麽(數據),才能有針對性地提出管理和合規的策略。同時,通過合規性檢測來確定自身的問題點,然後再製定適當的、有效的治理手段和風險管理方式和目標計劃,從而有效執行實現合規化。

  “網絡安全治理和風險管控每一個步驟都是為了減少安全威脅”,劉文印認為,企業經過有效的梳理後進行集中治理並定期不斷循環升級,從而形成一種生態模式。網絡安全的鏈條很長,主要涉及三個要素,即人員、流程和技術。因此,企業在培訓和優化流程時,也需要在技術上提高,特別是著重提高可以優化、減少人員犯錯流程的技術和能自動執行合規的技術。

  對於金融機構而言,索信達的數據治理專家魏強向新京智庫表示,需建立個人信息保護的製度體係,明確工作職責,規範工作流程,完善IT係統,設計並實施覆蓋個人信息全生命周期的安全保護策略,需要從敏感個人金融信息的收集、傳輸、存儲、使用、刪除、銷毀等處理的整個過程采取措施進行全生命周期的保護。“比如遵循明確和最小必要原則對個人信息收集進行規範;采用加密等安全措施傳輸和存儲個人敏感信息,避免泄露等”。

  王岩飛認為,做好新時代下的數據合規,企業還需樹立兩種思維。首先是樹立國家安全思維,這對很多企業來說都是非常重要的,但是大部分企業都沒有。因為平台企業采集的信息,不僅包括用戶個人信息,還可能包括天氣、地理等數據,隻有樹立了國家安全思維,才能在數據出境工作中不踩國家安全“紅線”。

  其次是樹立刑事風險的思維。很多企業家可能都會想,如果可以賺10億元,但隻罰3000萬元,那他就願意去冒違法的風險。但是他們忽略了一個問題,就是《刑法》中有好幾個涉及個人信息保護、數據安全的罪名。

  有些違法行為可能就不隻是罰錢了事,“我們去年接手的幾起刑事案件,就是金融企業各板塊的員工相互導數據,他們完全沒有意識,認為這是合理的”,王岩飛說。

  北京大學法學院教授薛軍向新京智庫表示,企業在遵守《個人信息保護法》,包括《數據安全法》的過程中,需要有一定的意識,即促進統一的執法標準的形成,比如一些指導性意見或行業準則的出台。這樣才能使得大家在一個“水位線”上,在同等的、合規的標準上來展開競爭,這樣才能真正促進行業的健康、良性發展。“特別是在個人信息保護的合規監管力度、標準的拿捏上,是不是能夠實現一體的、統一的執法標準”。

  方禹建議,從監管角度來說,行政指導就尤為重要。大多數國家和地區都組建了個人信息保護專門機構,其關鍵作用之一是對個人信息保護進行指導。行政指導的相對柔性,能夠與法律的相對剛性實現有機結合,促進個人信息保護複雜性的解決。基於指導經驗,將一些成熟的做法、普遍接受的做法固化為監管細則。

  新京報記者肖隆平查誌遠

关注更多相关资讯请点击《焦點》专栏

相关文章

copyright © 2016 powered by 全球財經交易行   sitemap