由七部委入驻滴滴看数据安全 --中安威士专家团数据安全法解读系列之七

发布时间:2021-08-11

上期回顾

中安威士专家团在上期解读中全面对比、分析了网络安全法和数据安全法在法律地位、范围、重要性、侧重点、依赖关系、处罚力度等十多个关键方面,得出网络安全法和数据安全法是互补的关系,我国大网络空间安全从此进入了双法时代。数据安全有关企业既要按照双法要求,不断提高网络安全能力也要将工作重点尽快转到数据安全能力建设上来,更好服务于数字经济发展,服务国计民生。

本期摘要

7月16日七部委联合入驻滴滴进行安全审查,立即成为热点事件。中安威士专家团通过回顾、分析这次事件,以最大力度强调了数据安全的重要性、急迫性与形势严峻性,阐明了数据安全对国际竞争、国家安全、企业发展和个人的影响,提出了各相关方的科学应对方案,希望各方借助滴滴事件,在数据安全法即将正式施行之际,立即行动起来,大力推动数据安全能力建设工作,一定能够在国家安全、企业发展和个人安全等领域开创出数据发展和数据安全双赢的大好局面。

据网信办网站信息,网络安全审查办公室有关负责同志表示,按照网络安全审查工作安排,7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司,开展网络安全审查。

从网信办7月4日通知应用商店下架“滴滴出行”APP要求整改存在的问题、切实保障广大用户个人信息安全,到本次七部委入驻滴滴进行联合审查,数据安全与国家安全、产业发展和个人信息保护越来越受到社会各界广泛关注,数据安全成为焦点的热门话题。

作为数据安全专业顶级厂商,中安威士(北京)科技有限公司的专家团就此事件对我国数据安全的重要性、急迫性、形势严峻性以及相关方如何进行科学应对进行了深入分析并提出了建议,以利各方获得业务发展和数据安全的双红利。

七部委联合入驻滴滴后,人们不禁要问:

★我国数据安全到底有怎样的重要性、急迫性和形势严峻性?

★为什么是滴滴?还有多少个滴滴?

★数据安全法已经发布并即将施行的情况下,数据安全如何做?

❅监管部门应该如何在促进数据安全和数字经济发展中平衡?不断解剖麻雀,获得足够认识,总结经验,推广、推进?

❅数据处理者如何抓住机遇、应对挑战?配合监管,主动、积极、创造性地开展数据安全工作,建立数据安全治理体系,采用有效技术。

❅数据安全企业如何发展?东风已到,万事俱备否?没有条件就要创造条件,要抓紧上,就是要有这个雄心。

❅个人如何进行敏感信息保护?

为回答这些问题,需要对整个事件进行回顾,并对国内外形势进行综合分析研判,以便得出科学合理的结论,为我国数字经济发展、数据安全发展提供助力合力。

# 滴滴事件回顾 #

7月2日19:19网安办发布公告对滴滴启动网络安全审查,并停止“滴滴出行”新用户注册,原因为“防范国家数据安全风险,维护国家安全”。

7月4日19:40网信办发布通报下架“滴滴出行”App。

7月9日22:00网信办发布通报下架滴滴旗下25款App。

7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司,开展网络安全审查。

1.我国数据安全的重要性、急迫性和形势的严峻性

数字经济已经成为国家战略,5G、大数据、云计算、物联网等新技术、新业态及新安全保障能力在内的全行业优势抢夺是保障国家安全、社会发展和国计民生的核心力量。在国际对抗、国家竞争日趋激烈的大背景、大趋势下,各方就上述方面展开了激烈争夺。包括网络安全和数据安全在内的大网络空间安全既是数字经济的关键支撑,又是最活跃的对抗主战场,自然成为这场争夺的关键之战。为打赢这场战争,国家在极短时间内相继发布了网络安全法和数据安全法,为保障网络空间新主权与新安全提供了强大的法律武器,双法联动必将为大网络空间安全带来翻天覆地的改变。

七部委入驻滴滴进行网络安全联合审查,应该只是刚刚开始,系列措施将全面重塑整个行业。从此之后,数据业务发展和数据安全必将走向双赢的正确轨道,那些只顾私利、不顾国家安全和国计民生的发展道路和商业模式将很快走向终结,和谐共赢的新局面将会得到飞速发展,命运共同体建设会大踏步前进。

为什么是滴滴?一是因为滴滴拥有了太多的国家重要数据和个人敏感信息,并且很可能没有对数据进行妥善保护。其次滴滴们已经不是我国未来解决“卡脖子”问题、填补科技空白、具有核心竞争力和支柱性产业特性的发展方向,不用投鼠忌器。

1)滴滴采集、传输、存储、使用着巨量的国家重要数据。据滴滴公司赴美上市的《招股说明书》:"截至2021年3月31日的十二个月,我们在中国拥有3.77亿年活跃用户和1300万年活跃驾驶员"、"我们平均每天促进2500万笔中国移动交易",多年积累起来难以想象的天文数字数据

2)滴滴数据采集和数据分析中含有大量国家机密信息。值得大家注意的是,这次自然资源部也参加入驻审查了!自然资源部直属机构国家地理信息测绘局,是国家测绘地理信息及安全管理的主要机构。《基础地理信息公开表示内容的规定》中明确规定:快速路、高架路、引道、街道和内部道路的铺设材料、最大纵坡、最小曲率半径不可公开。高精地图的精度很高,以高德地图为例,可以达到10厘米以内。这些数据,完全可以用于军事打击、精确斩首行动[7][13]。而能测绘"最大纵坡、最小曲率半径" 数据的只有申请到"全国高精地图测绘牌照"的单位,滴滴是其中一家。据公开资料,滴滴董事会里竟然有一位出身于美国西点军校的前美国陆军军官担任独立董事,在入职滴滴之前在高盛工作过,而高盛资本对中国企业的渗透之深也是难以想象的,此人还在苹果公司担任过监督职责(包括硬件、软件和服务领域)。根据现代董事会制度,独立董事享有如下"知情权":“凡须经董事会决策的事项,上市公司必须按法定的时间提前通知独立董事并同时提供足够的资料,独立董事认为资料不充分的,可以要求补充”。从 2016年6月30日起担任滴滴独立董事已经5年多了,他到底从滴滴拿走了多少敏感资料呢?没人知道。所以本次入驻审查是绝对必要的、绝对不能暂缓的,否则也不会大周五的立即入驻,国家工作人员也是人,他们不需要周末休息吗?那是因为责任重于泰山!说起休息,国家部委工作人员如何休息,都已经被记录在滴滴数据库中多年了!早2015年滴滴媒体研究院就可以用大数据对高温天部委加班情况进行用户行为分析画像,并形成调查报告[14],把各个部委的用车数据、车辆目的地都查了个底朝天,并得出结论:“加班最狠——国土资源部“、”24小时无休——公安部“、“最耐高温——公安部、国土资源部、教育部”、“最低调——中央纪委监察部、工信部”、“最规律——交通运输部”。有些工作内容敏感的单位,在地图没有标记,却在滴滴的大数据中显示每到上下班高峰都有人打车,如果这些数据落入对手、竞争者手中,细思恐极……

3)滴滴赴美上市必须提交相关信息。滴滴属于VIE架构公司,在跨境上市之前能通过国内的法律法规来屏蔽国外投资机构获取相关数据,但赴美上市后需要遵从美国法律,其长臂管辖原则及数据披露要求,将直接带来重要数据跨境流动,会带来核心数据泄露巨大风险。如果竞争者得到这些数据并通过这些地理、交通、用户数据勾画精确的情报,会为我国国家安全带来不可估量的损失。国外经常发生的高级指挥官被精确斩首、军工企业被网络病毒瘫痪、关键基础设施被勒索停顿等严重事件也会在我国重演,并且不断重演、持续重演[7][8][9]。

4)滴滴不是第一家,也不是最后一家。我国有很多著名的美国上市公司,尤其是到美国上市的互联网企业,都面临同样的法律窘境,在数据出境管理问题上存在较大的疏漏,数据安全风险越来越大,数据出境成为了最高的风险点,成为了国家和民众不得不共同关注的焦点问题。国家对滴滴等海外上市企业进行数据出境的联合审查不但非常必要,还应该及时及时再及时,督促各有关企业尽快提出全面科学的解决方案、弥补数据出境漏洞,制定全面规范的数据出境规则,及时提交网络安全和数据安全审查报告,向监管部门及时提交重要数据清单,确保我国数据安全、保障国家安全和国家发展权。

5)滴滴们时时滥用个人敏感信息。随着互联网、数字经济的进一步发展,涉及民生的业务数据越来越多,企业收集了海量用户的各种信息,其中也不乏关键敏感数据,但有些企业在这些敏感数据的保护力度上相对薄弱,并经常出现数据滥用,如“大数据杀熟”[11]、“困在系统里”[12]、“无限信息流焦虑”、“消费主义焦虑”、“偶像-饭圈焦虑”、“流量焦虑“、“游戏焦虑”、“教培焦虑”等问题,严重恶化了整个社会生态,带来很坏的消极影响。高强度的审查和监管可以快速遏制这些不良发展势头,避免升级为社会化全局性、灾难性问题,为国家的长期和谐发展提供良好、干净的网络空间环境。

出了这么大的问题,各相关方下一步应该怎么应对这种局面?

2.监管部门宜加大实践力度、明确相关细则

《数据安全法》将于9月1日起正式施行,各行业监管部门宜尽快推动所辖范围的重要数据的定义、制定相应目录、明确数据分类分级细节,形成数据跨境审核规范并积极试点。建立可操作、易落地的数据安全简单界限,为下级单位解除顾虑。说明这些规则是要持续改进升级的,有了1.0版先紧急使用着,后续快速迭代升级,循环几次,就逐渐完善了,站着不动或者消极对待,很可能引发更大的事件。

在个人信息保护上,监管部门也要为各机构采集、传输、存储、处理、交换、销毁用户信息等行为制定相应的合规性规范,对数据采集的具体操作步骤进行界定。相关企业应基于这些规范要求对本单位的业务需求进行过滤,避免数据滥用,并采用足够强的技术措施和其他必要措施对规范进行落地,实现数据全流程保护。

更为重要的是,上述工作需要坚强、牢固的工作抓手,那就是进一步对焦点事件(流量明星吴某某涉嫌刑事案件、深圳某房理事件、教育培训假师资广告事件等等)单位进行网络安全、数据安全入驻联合审查,并延伸到业务安全审查,十个案例下来,第一手资料就掌握得非常齐全,在此基础上各种规范、细则就有了具体落地的实践基础,按照实践方法论行动,让数据安全法真正落地执行。

3.各相关企业应加快推动数据安全技术应用和研发

滴滴事件主要与法律法规相关,但数据安全法的合规要求需要在技术层面进行落地。本次事件从侧面反映出数据处理者、数据安全从业者在数据安全保护技术的应用和研发上仍有很大的提升空间,首先是要坚决推进包括数据识别、数据审计、数据防火墙、数据加密、数据脱敏和数据安全态势感知等在内的成熟系统的广泛应用部署,同时大力推动具有数据可用且不可见效果的同态加密、多方安全计算,基于区块链的数据安全,基于人工智能的数据流动分析、行为分析等亟需并即将成熟的技术的合力攻关。数据安全技术的研发应关注数据的全时空特性,注重数据安全处于网络安全、业务安全的中间位置,承上启下、继往开来的特点,考虑其相互影响。

数据安全已经成为大网络空间安全的重要组成部分,既要能应对数据安全威胁的挑战,又要能满足国内外监管要求,这都离不开数据安全前沿技术这个落地法宝。

4.各方应创新技术系统部署方案

各相关单位在推动系统应用和开发工作时,应对部署方案进行创新,具体包括分级部署、内外结合、上下贯通、端点落地。分级部署是指覆盖监管机构、被监管单位和有关个人的部署模式。内外结合,是指内部部署数据安全系统,外部购买数据安全服务,这样有利于快速、即时拥有数据安全能力,对泄露出去的数据也能够即时跟踪、溯源;上下贯通,是指监管机构的总体策略和告警等能够及时下达到中层、基层直至个人,基层和个人也能即时上报数据安全事项;端点落地,是指监管机构、被监管企业的策略、规则要落到端点设备和个人上,比如数据脱敏能落在桌面机、手机等终端甚至零部件上,做到不合规的数据“采不了、传不出、存不下、用不了”的效果,实现全程全时无缝安全。

5.人员资质要求和培训

数据安全有关岗位的人员应得到足够培训,可以采用网络化、碎片化、持续化培训,集中考试和日常实践相结合的考核。其中,日常实践包括宣传、检查、报告、告警方面的内容和成绩。

总结    

通过对七部委入驻滴滴事件的综合分析,明确了数据安全的重要性和急迫性,分析了数据安全对国家安全、企业发展和个人安全的影响,提出了各相关方的应对方案。七部委联合入驻滴滴事件为数据安全法的正式施行做了最充分、最强大的动员,希望各方抓住机遇全力推动数据安全建设工作,争取在各自领域获得数据发展和数据安全的双丰收。

中安威士:保护核心数据,捍卫网络安全

来源:原创

上一条:《数据安全法》与《网络安全法》对比 --中安威士专家团数据安全法解读系列之六 下一条:“保护个人信息数据,促进数字经济发展”,《中华人民共和国个人信息保护法》表决通过