美國時間2月24日,在RSAC 2020會議首日,有著“全球網絡安全風向標”之稱的RSAC 2020創新沙盒冠軍授予美國初創企業Securiti.ai公司,該公司由於
“在隱私保護與合規領域的創新與進展”摘得桂冠,融資總額高達8100萬美元,是十強名單中融資額最高的初創企業。Securiti.ai基於PrivacyOps的概念,完成了對歐盟GDPR、美國加州CCPA及巴西LGPD三項隱私合規法規的適配,核心能力體現在個人數據關聯報告的生成、可視化管理跨國企業的個人數據以及發生數據洩露後及時通知受影響的數據主體等三方面。
隨著SECURITI.ai奪冠,數據隱私領域的市場關注度猛增。每年RSA沙盒大賽對於國內安全企業都有指向性的影響,對我國而言,無論從立法層面,還是從技術層面、社會反響層面,會對國內的數據隱私保護市場產生何種影響呢?
一、國際上數據隱私保護屬於強合規要求
國際上與數據隱私保護有關的規範主要是歐盟通用數據保護條例(GDPR)、加州消費者隱私法(CCPA)、巴西通用數據保護法(LGPD)等強隱私法規。近年來數據洩露事件的報道時常見諸報道,2018年3月,劍橋分析公司被曝出通過“獲得用戶同意”的方式,造成8700萬Facebook用戶個人數據洩露,在美國引起震動。可以說,數據隱私安全的話題是近年來全球最炙手可熱的熱點之一。
2018年5月,被稱為“史上最嚴”的歐盟通用數據保護條例(GDPR)正式生效,GDPR包括11個章節、99項條款,強化了對公民隱私權的保護,明確了企業獲取、修改、刪除個人信息的權利,引入了嚴厲的懲罰機制,罰款最高可達2000萬歐元或企業全球年營業額的4%。
GDPR重點著眼於數據的敏感度(例如特殊類型、特殊人群、大規模數據等)、數據安全失控危險度(例如數據傳輸交互、跨境、大規模洩露),並關注員工數據、數據合理保存期限、加密貨幣的數據安全等問題,正在從發生事件的被動執法向預防型的主動執法轉變。
據GDPR一週年報告,2019年,31家監管機構處理案件超過20萬起,採取了罰款、違規警告、開展審查、限期糾正、命令刪除數據、限制傳輸等多項措施。
例如,2019年1月,谷歌因在法國違反GDPR遭當局罰款5000萬歐元;2019年7月,英國信息專員辦公室(ICO)對英國航空公司 2018 年客戶數據遭洩露事件開出 1.83 億英鎊鉅額罰單,對萬豪集團開出9920萬英鎊罰單(因其下屬的喜達屋酒店3.39億用戶信息洩露事件)。截止2019年9月底,總共有82個機構或者個人受到了GDPR 的處罰。
2018年6月,美國加利福尼亞州通過了消費者隱私保護法案(CCPA),並已於2020年1月1日起正式實施。CCPA被稱為“精簡版的GDPR”,對個人信息的定義更加廣泛,強調個人對隱私的控制權,設定了較嚴格的處罰措施,賦予了消費者個人獲得賠償的權利。CCPA的主要條款如下。
CCPA在一定程度上體現了美國建立個人信息保護統一標準的趨勢。2019年2月,美國政府問責局(GAO)提交了一份關於互聯網隱私保護的獨立報告,建議美國國會制定美國首部聯邦級互聯網數據隱私立法,以加強對消費者的保護。
2020年1月16日,美國國家標準與技術研究院(NIST)發佈了《隱私框架V1.0-通過企業風險管理改善隱私的工具》,提出了隱私風險管理的思路,通過識別、治理、內控、交流、保護這5個隱私框架板塊,管理數據處理中產生的隱私風險。2020年2月13日,在華盛頓舉行隱私辯論會,紐約州參議員Kirsten Gillibrand提出制定《數據保護法》,並設立聯邦數據保護局(DPA)。
2018年8月14日,巴西總統米歇爾·特梅爾簽署《通用數據保護法》(LGPD),並將於2020年2月15日正式生效。LGPD是一項綜合性法律,制定了關於個人數據收集、使用、處理和存儲的詳細規則,適用於數字及物理環境中處理的所有個人數據,覆蓋巴西所有的經營行業,影響全部私營及公共實體。
隨著LGPD的出臺,巴西對個人數據保護的要求顯著增強,可以預見,受管轄的企業需要為此投入大量的合規成本;印度也頒佈了《2018個人數據保護法(草案)》,越來越多的國家正在提出對數據隱私的強監管要求。
二、我國的數據隱私保護工作正在快速推進
我國的數據隱私保護工作呈現快速推進的態勢。2019年全國兩會後,“加強大數據時代個人信息保護”成為全國政協重點系列提案之一。目前,我國關於個人信息保護的相關法規散見於《民法總則》、《網絡安全法》、《電子商務法》和《消費者權益保護法》等相關立法文件中,據不完全統計,我國目前大概有40部法律、30餘部法規,以及近200部規章和司法解釋涉及個人信息保護,但是我國尚未出臺一部專門的《個人信息保護法》。
2019年1月,中央網信辦、工信部、公安部、市場監管總局等四部委聯合發佈《關於開展App違法違規收集使用個人信息專項治理的公告》,決定2019年1月至12月開展App違法違規收集使用個人信息專項治理,併成立了App專項治理工作組。
2019年3月,市場監管總局和中央網信辦發佈關於開展APP安全認證公告,鼓勵App運營者自願通過App安全認證,鼓勵搜索引擎、應用商店等明確標識並優先推薦通過認證的App。
2019年12月30日,網信辦網站發佈“關於印發《App違法違規收集使用個人信息行為認定方法》的通知”。四部委發佈的主要隱私保護專項治理公告、文件、標準規範如下。
《GB/T 35273信息安全技術 個人信息安全規範》(簡稱《規範》)於2018年5月正式實施,並於2020年3月6日發佈了新版。《規範》對個人信息收集,保存,使用,主體權利,委託處理、共享、轉讓、公開披露,事件處置,組織管理等7方面提出了要求,共42條、214項檢測點。
《規範》是進行APP安全認證的主要參考標準,APP安全認證的檢查項也是基於《規範》制定的,要求針對每一項進行評估檢查,給出詳細的評估結果說明,並需提供相關證明材料。
《App違法違規收集使用個人信息行為認定方法》(簡稱《認定辦法》)提出了6方面、31項違法違規收集使用個人信息的情形,於2019年5月份發佈徵求意見稿、11月28日形成正式稿、12月30日正式印發,明確了App違法違規收集使用個人信息的檢測操作規則,為App運營者自查自糾提供了指引、也為App的檢查評估和處置通報提供了參考。
目前正在制定的數據隱私保護相關標準還包括:
- 《互聯網信息服務安全通用要求》,規定了具有開放性、交互性、動員力等特徵的互聯網信息服務,從信息的生成、處理、發佈、傳播、存儲、銷燬等角度,應滿足的安全要求,並劃分了安全等級;
- 《移動互聯網應用程序(App)收集個人信息基本規範》,提出了App收集個人信息的基本要求,規定了地圖導航、網絡約車、即時通訊、網絡社區等30種常用服務類型APP可收集的最小必要信息;
- 《個人信息告知同意指南》,對網絡環境中個人信息處理告知的內容、結構及徵得個人信息主體同意收集、使用、對外提供個人信息的方式提出要求,明確了告知同意或的適用情形、基本原則、同意的模式選擇等方面的內容;
- 以及《數據安全管理辦法(徵求意見稿)》、《個人信息出境安全評估辦法(徵求意見稿)》等多項標準和要求。
此外,金融等多個行業也在加大對行業隱私數據的治理工作。2019年10月,央行向部分銀行下發了《個人金融信息(數據)保護試行辦法》初稿,待徵求意見結束後將正式對外發布,《辦法》加大了對違規採集、使用個人徵信信息的懲處力度,將提高對個人金融信息的有效監管,強化個人金融信息保護主管部門的監管職能,明確對金融機構進行個人金融信息的監管標準。
2020年2月13日,央行發佈《個人金融信息保護技術規範》(JR/T 0171—2020),將個人金融信息由高到低分為C3、C2、C1三個類別,C3主要為各類賬戶密碼,C2主要為賬戶、身份證信息、短信口令、KYC信息、住址等,C1主要為開戶時間、支付標記信息等,規定了個人金融信息在收集、傳輸、存儲、使用、刪除、銷燬等生命週期各環節的安全防護要求,尤其在信息收集方面,要求“不應委託或授權無金融業相關資質的機構收集C3、C2類別信息”,明確要求無資質的機構不得收集KYC等信息,直指非持牌機構對個人金融信息的收集行為。
三、監管機構治理數據隱私侵權行為動作頻頻
國內的個人隱私洩露事件近年來一直層出不窮。在近期新冠肺炎疫情聯防聯控中,出於疫情防控的需要,很多地區對於存在武漢旅遊、居住和接觸史的人員進行了排查和信息統計。這本無可厚非,但有些地區在信息收集後,卻沒有做好保密工作,導致人員名單在社交平臺被大肆傳播,個別被公開信息的人員還收到了陌生人電話、微信等方式的騷擾,造成隱私洩露。
中消協在2018年8月發佈的《APP個人信息洩露情況調查報告》顯示,多款APP涉嫌過度收集個人信息,85.2%的人遇到過個人信息洩露情況。另據統計,針對39款常見網購、旅遊、生活類常用手機APP分析發現,超6成APP申請了過多敏感權限,造成敏感信息洩露。
監管機構對個人信息保護領域的執法動作頻頻,多批次通報違規收集個人隱私數據的APP,未按要求完成整改的APP將被依法下架。
2019年“3·15”晚會曝光手機APP洩露個人隱私信息,導致詐騙或騷擾電話頻發,3月16日工信部要求嚴厲查處“3·15”晚會曝光的信息通信領域違規行為,並要求同類APP進行檢測,對類似問題予以整改;2019年5月,網信辦公佈了百款常用App申請收集個人信息權限情況;公安部組織開展“淨網2019”專項行動,至2019年12月已依法查處違法違規採集個人信息的APP共683款;工信部在侵害用戶權益專項整治行動中先後測試了兩批APP,通報了存在問題的56款APP並要求限期整改。2019年監管機構針對個人信息違規行為的部分通報情況如下。
國家主管部門越來越重視數據隱私安全,監管機構對個人信息保護領域的執法態度堅決,力度不斷加大,後續的檢查會越來越嚴格、通報力度會越來越大。
數據隱私保護相關的法律也已走上快車道,2018年9月7日,在十三屆全國人大常委會公佈的立法規劃中,《數據安全法》位於第一類項目,屬於條件比較成熟、任期內擬提請審議的法律草案;2019年3月4日,十三屆全國人大二次會議新聞發佈會發言人表示,全國人大常委會已將制定《個人信息保護法》列入本屆立法規劃,相關部門正在抓緊研究和起草,爭取早日出臺。《數據安全法》和《個人信息保護法》出臺後,將從法律層面進一步強化對數據隱私保護的要求。
四、企業應儘快落地數據隱私保護相關工作
從數據隱私保護的市場端容量看,據信通院發佈的《移動應用(App)數據安全與個人信息保護白皮書(2019)》統計,2019年App已超越網站成為提供互聯網服務的主角,我國本土市場上的App在架數量已超過500萬款,首次超越了網站數量,傳統桌面互聯網應用服務向移動互聯網全面遷移,App已實現生活場景全覆蓋,形成了圍繞個人需求的完整消費閉環。
縱觀本次RSAC2020會議上Securiti.ai公司獲得創新沙盒冠軍,得益於其從技術產品層面落實了GDPR、CCPA、LGPD三大國際數據隱私合規要求。
獲得投資機構青睞的數據隱私安全公司並非只有Securiti.ai一家,2019年多家數據隱私安全公司獲得融資,包括:大數據隱私保護服務商Privitar於6月份獲4000萬美元B輪融資;GDPR合規解決方案公司OneTrust於7月份獲得2億美元的A輪融資;TrustArc於7月份獲7000萬美元D系列增長投資;Ethyca於7月份融資420萬美元,幫助企業以簡化GDPR合規性,等等。國內外數據隱私保護市場正處於厚積勃發的時期。
綜合考慮國內2019年出臺的一系列數據隱私保護文件和標準、監管機構頻頻通報所體現出的決心、以及《數據安全法》和《個人信息保護法》的呼之欲出,一旦企事業單位出現重大數據涉密事件,或由於數據隱私問題被通報、被約談、APP被下架、甚至帶來違法違規的後果,相關責任人將被問責,相關業務也將遭受難以承受的損失。
2019年曾出現因違反數據隱私要求導致IPO上市被否的例子,發審委提出的問題中就包含 “通過自主收集及第三方途徑獲取用戶數據及標籤,並利用數據進行商業化變現”。
可以說,各行各業對數據隱私的保護需求已經變得日益急迫。以奇安信在2020年春節後推出的App隱私免費檢測公益活動為例,短短兩週時間,共收到來自121個單位的App隱私保護免費檢測需求,申請單位包括了與疫情防疫有關的單位,以及來自銀行、證券、保險、互聯網、央企等各大行業的檢測需求。
針對部分檢測結果的統計發現,不完全符合《App違法違規收集使用個人信息行為認定辦法》六方面要求的佔比,分別高達42.98%、91%、82.11%、78%、60%、88.6%,統計樣本中每個APP的不合規點平均為11個,不合規現象比較普遍。
涉及到數據隱私相關的企業,應儘快落實數據隱私保護的相關工作,符合強監管要求,同時加強自身業務應用系統的安全性。建議重點從以下幾方面開展相關工作:
一是企業在開展數據隱私安全合規的自評估工作過程中,首先應清楚瞭解相關監管政策的要求,其次應具備較強的技術核查能力,並續與多個監管機構進行良好的溝通協調。
數據隱私相關的標準內容比較複雜、需評估的檢查項多,且涉及技術和法律的交叉領域。所有這些都讓數據隱私安全工作的落地面臨不小的挑戰。應堅定決心,利用短暫的窗口期儘快開展數據隱私保護工作,避免出現數據洩露違規事件、避免被通報。
二是數據隱私保護除了滿足相關合規要求之外,還應關注相關應用系統的漏洞問題。
據統計,約 70% 的 APP 都存在高危漏洞,應重視對應用系統安全漏洞的檢測,對客戶端程序、組件、安全策略、敏感數據、客戶端運行環境、業務邏輯安全、中間件安全、Web服務器端進行安全檢測,發移動應用系統中存在的漏洞,切實提高應用系統自身的安全性。
三是將隱私保護工作前移,從移動應用的全生命週期考慮數據隱私保護要求。
從移動應用的設計、開發環節即納入對隱私保護的要求,並明確數據保護的相關責任主體,提前做好設計,才能避免被動應對,避免被通報後卻無法及時進行整改。移動應用商店也應加強在APP上架前的數據安全審核與管理。
四是重視數據隱私保護中的相關法律風險,尤其是合規所需的隱私政策、用戶協議、數據共享及第三方授權協議等內容。
切莫把數據隱私的管理要求、技術指標、法律風險三者割裂開來,只有綜合考慮這些因素,才有可能形成完整的數據隱私保護閉環方案。
閱讀更多 奇安信 的文章
