宋代名臣包拯,在开封府任职时改革诉讼制度。按照开封府旧制,告状者需要将状纸交给守门府吏,由府吏转呈、通知,而包拯大开正门,使告状的人能够到跟前陈述是非,办事小吏因此不敢欺瞒。包拯平生整治吏治、选贤举能、为民请命,被誉为“包青天”,其断案故事更是一直流传至今。在当今时代背景下,有这样一类特殊领域也需要好好“断案”。
2021年,随着《数据安全法》及多个数据安全相关政策、条例相继发布,数据作为第五大生产要素已经成为经济社会发展的核心驱动力,与此同时数据安全风险与日俱增。隐私保护成为政企组织关注的焦点,一方面,《数据安全法》对App等非法采集、滥用用户数据进一步约束,强化对公众隐私保护,而另一方面,因为隐私泄露引发的数据安全事件屡见不鲜。
值此《数据安全法》施行一周年之际,奇安信数据安全专家赵帅化身“隐私保护名侦探”,剖析典型案例、解读法律法规,并给出专业的“破案妙招”。
01
推特被罚10亿、某出行巨头被罚80亿
隐私保护亟待重视
2021年5月,据多家媒体报道,美国司法部与美国联邦交易委员会(FTC)宣布已就Twitter侵犯用户隐私一案与推特(Twitter)公司完成和解,将要求推特支付1.5亿美元(约合人民币10.1亿元)的罚款。2022年7月21日,据“网信中国”消息,国家互联网信息办公室依据《网络安全法》、《数据安全法》、《个人信息保护法》、《行政处罚法》等法律法规,对国内某出行巨头人民币80.26亿元罚款。
除了巨额罚款之外,由于忽视隐私保护,有很多APP被工信部通报和下架,给企业经营和声誉造成严重影响。根据工信部的数据,截至2022年6月,我国连续组织开展APP侵害用户权益专项整治,累计通报、下架违法违规APP近3000款。
无论是推特因数据滥用、泄露被罚,还是国内出行巨头数据泄露事件,都体现了国内外对隐私保护的重视,以及相关法律和条令的惩罚执行力度。尤其是国内,在《数据安全法》、《个人信息保护法》等法律推动之下,隐私合规已经成为包括社交媒体在内的企业经营必选项。以后者为例,“名侦探”赵帅针对该案例进行分析,发现问题主要集中在两点,其一是重业务而轻合规,过度索权频繁发生;其二是缺乏专业的第三方合规检测机构。
赵帅表示,该出行巨头主要违法行为涉及多个App,涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形。此外,企业自身合规意识不强,且缺乏专业的第三方合规检测机构,管理机制和技术手段均存在短板。
而《数据安全法》等相关法律法规的出台及实施,给隐私安全带来了更多保障。例如,内容中提到“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。”有了相关法律法规,企业在处理公民的个人数据时应充分满足相关法规中的要求。
上述的大额处罚案例中,其违法收集、过度收集、未明示目的等违法处理个人信息行为,与《数据安全法》、《个人信息保护法》等所要求的合法、必要、正当、诚信原则相违背,未按照相关法律法规规定和监管部门要求,履行网络安全、数据安全、个人信息保护义务,给国家网络安全、数据安全带来严重的风险隐患。违规处理个人数据的行为可能覆盖数据收集、使用、共享等多个环节,在手机App、IoT设备、网站、小程序、SDK等数据收集端以及对应的后台服务器上都可能存在合规风险和安全风险。
02
隐私合规应治理先行,
通过专业机构有效降低风险
在过去的各行业发展过程中,先发展后治理的现象普遍存在,所以出现了违规收集、数据滥用、数据泄漏等严重侵害用户权益的现象。随着近几年监管单位的联合治理推进,《数据安全法》等法律法规的实施,许多违法违规乱象已明显好转。赵帅认为,企业的发展模式也需要随着监管政策的变化进行转变,由原来的先发展后治理,转变为治理先行。从落地实施层面来看,企业在隐私合规落地过程中可能面临如下挑战。
一是没有相关经验,不知道怎么做,整体的合规意识以及合规制度是缺失的;
二是没有相关人员,不知道谁该去做,缺少有专业资质及相关能力的合规人员;
三是没有相关技术,不知道问题在哪,被通报后病急乱投医,到处找问题最后依然被处罚;
四是没有评价标准,不知道做得好不好,对监管政策及相关标准不理解,即使做了大量工作,依然漏洞百出;
五是合规成本过高,需要多个部门通力协作,长期处于高压状态。
综合上述情况,赵帅表示,可以通过第三方专业机构提供量身定制的合规方案,在资源有限的前提下完成合规风险有效降低。他提到:“在过去几年的企业服务过程中,我们根据合规业务的特点,以及企业运营过程中的实际情况,通过产品、服务结合的方式,对客户的研发管理流程、跨部门协作方式、专业人员资质及能力等方面提供优化策略,帮助企业寻找适合自身发展方式的合规方案。”
03
前车之鉴敲响数据安全警钟,
奇安信“名侦探”给出合规建议
国内出行巨头数据泄露这一事件为国内政企组织敲响了警钟,关于“政企组织如何做好隐私合规工作,保障数据安全、网络安全”这一重要命题,奇安信数据安全“名侦探”赵帅从隐私保护角度也给出了几方面专业建议。
首先,企业要满足政府监管要求。目前,网信办、公安部、工信部、市场监管总局以及地方监管、行业监管等都在履行个人信息保护相关监管职责,且相关法规要求、标准等内容紧密出台,企业应根据自身业务属性,识别应满足哪些监管要求,根据相关法规要求内容确定合规基线。
第二,企业应自查自测发现问题并及时整改。根据相关法规要求,个人信息保护合规内容通常会覆盖企业的内部制度流程合规、个人信息收集工具如App等的技术要求合规、隐私政策协议内容合规、数据收集后的安全防护要求、数据对外共享合规等诸多方面内容,企业应定期进行自查,通过调查问卷、访谈、技术检测等方式发现合规风险问题,并及时制定合适的整改方案,协同各个部门进行整改。
此外还应建立个人信息安全事件处置机制,面对可能突发的个人信息安全事件,提前准备合适的处置预案,根据预案在事前定期进行培训和应急演练,在事中记录事件内容,评估事件可能造成的影响,采取必要措施控制事态,消除隐患;及时与监督、管理部门保持沟通,通报或报告个人信息保护和事件处置等情况,在事后对个人信息安全事件进行复盘总结,发现问题原因,提升个人信息保护水平,并根据事件影响对相关人员进行追责。
第三,企业要不断优化合规能力。合规建设是一个持续的过程,合规能力的建设也是一个逐步完善的过程,并不是买了多少产品、投入多少人员就能一下子解决全部合规问题。企业通过定期自查发现合规风险后,应分析问题原因,发现合规短板,对自身的合规制度流程进行完善、人员技术能力进行提升。通过持续有效的个人信息安全影响评估活动,可以发现个人信息保护工作中的风险点,通过对这些风险的跟踪及修复,能够不断提升企业或组织的个人信息保护建设水平。
第四,企业应在遵守国家数据保护、隐私保护法律的前提下促进业务发展。个人信息保护合规建设工作不仅仅是编制隐私政策文件,简单修改公司产品、增加提醒和通知等内容,企业或组织还要将个人信息保护真正融入到日常的业务和产品中,才能让个人信息保护不再流于表面。随着监管执法力度的加强,企业或组织在管理体系建设方面的完备性和有效性验证,需要管理和技术手段并行,并且嵌入到企业或组织系统及业务开展过程中,从根本上建立健全个人信息保护管理体系,为数据价值的发挥助力。
最后,赵帅建议企业专业、可信赖的隐私安全产品。例如,由奇安盘古隐私安全团队推出的奇安信隐私卫士,它能够立足于解决企业的个人信息保护合规风险问题,针对安卓App、iOSApp、小程序、IoT设备进行隐私合规检测与分析,帮助企业对相关业务应用进行全方位的隐私安全合规检测,提前发现合规隐患,避免由此带来的数据泄漏、资产损失、监管处罚等风险,最终帮助政府、研究机构、企业等更好的履行其在个人信息保护方面的责任和义务。
此外,赵帅强调:“以隐私卫士产品为基础,我们围绕着企业内部的合规要求及合规资源,可量身定制隐私安全合规解决方案,帮助企业降本增效,提高合规能力,降低合规风险。”
本文部分图片来源于网络
立即拨打
京公网安备11000002002064号