何延哲:個人信息保護合規挑戰和機遇
責編:gltian |2018-06-20 13:36:45摘要:本文以“個人信息保護合規的挑戰和機遇”為主題介紹了我國個人信息保護相關法律法規、政策標準、監管要求,分析了GDPR的核心要求以及與我國個人信息保護相關要求的異同,并站在當前監管環境下,給出了數據安全監管的總體思路,尤其是在個人信息保護合規角度,歸納總結了企業應該注意的關鍵要素以及未來的合規工作方向。
何延哲 ? ?中國電子技術標準化研究院信息安全研究中心審查部總監,國家標準《個人信息安全規范》主要起草人之一
個人信息保護近年確實是非常熱的一個話題,為什么會這么熱呢?是我們國家的政策,《網絡安全法》出臺之后整個一年過程中都是熱點問題。我們看到的一些熱點事情,比如Facebook事件,GDPR實施,支付寶帳單,大數據殺熟等熱點事件。現在媒體非常關注,有的企業在這方面稍微有一點漏洞,媒體第二天就會把它炒成熱點事件。同時,民眾的個人信息保護的意識從去年到今年有非常大的提升。總之,個人信息保護現在已經成為網絡安全領域非常重要的一部分,這是網絡安全和空間安全重點組成還是稍微有點不足,更新保護已經占到非常大的一塊。
趨勢
現在說的非常多,都說從IT時代到DT時代。IT時代的個人信息保護和DT時代的個人信息保護有什么區別?
原來我們用QQ聊天,發郵件,使用個人信息實際是在標識我們每個人,讓我們知道這個人是誰,就像我們身份證、手機號都是為了標識某個人。但到了DT時代,個人信息的作用遠遠不足,我們可以通過對個人活動的軌跡做一些畫像,進行分析,達到千人千面和精準分析的目的。這帶來的變化是什么呢?原來個人信息是起到提高效率的作用,現在的個人信息實際是所謂的智能。智能對個人精準畫像確實做到了方便智能,但同時精準畫像如果被惡意使用,對個人的影響也會影響應用,是致命的。
我們對國家關鍵信息基礎設施能不能畫像,對一個社會群體,社會現實能不能畫像,我認為,這個原理是一樣的。我們的數據安全在所謂的DT時代要有更加全面的認識。我們談數字安全談的大多數都是傳統的數據安全,如果把它再放到個人信息保護里看,數據安全還有一些個人權利保障,比如過度收集和完整性、保密性、可用性有關系嗎?都沒有太直接的關系,我們自己能注銷這個權利,可攜帶這種權利和這個有關系嗎?都沒有關系。所以,我們在數據安全市場上,再加一層就是數據安全保障。
再把它放到重要數據,習主席講話提到的關鍵數據資源保護,這又是在傳統數據安全方面多了一些處理的限制,有些數據不是隨隨變變就能處理的,比如國家有一些地理資源,人口健康等信息,“互聯網+”之后是不是也有原始數據,進行分析,也得到傳統意義上的敏感信息,這是有可能的,所以,我們要在這些上加強處理和限制,這和保密性、可用性是不一樣的。
前兩年我們講數據安全,很多人沒有把大數據安全和數據安全講清楚,通過今年發生的事情推斷,如果從三個層面綜合來看大數據安全基本框架就已經形成,這是我國監管方面提出的框架。
對個人信息保護的理解。
我個人認為,個人信息保護的特征,因人而起——入門易。這不是芯片、算法,這是很專業的問題,個人信息保護,每一位老百姓都可以說兩句,很簡單,誰都可以說,這沒保護好,我被騷擾,這就很可怕。當所有人都在談這件事情的時候很難達成共識。
因時而變——深入繁,比如個人信息的權屬,法律上討論了很久也許多定論,真的有那么復雜嗎?
因人而異——實用難。是不是有一個技術、模式、政策能防止黑產、根除黑產,這幾乎是不可能的,看到手機的彈窗,點一下“同意”這件事兒,就這一個事兒能不能解決這個問題,或者這個到底有多難解決。一個措施根本上解決不了這個問題,我們或沒有看到哪個技術特別適用,把各種信息問題做非常好的解決。這需要探討。個人信息保護真有這么難嗎?是我們夸大了還是上綱上線?
挑戰。
1、今年以來,GDPR實施,2000萬歐元的罰款,全球4%的營業額和2000萬歐元之間孰輕孰重,這個違規的代價有多大。
2、全球化的挑戰,這不光是違規處罰的問題,你要進行全球化經營,要做兩個版本,國內版和國際版,這對你的業務有多大的變革和影響,有些功能可能在美國不能用了。
3、業務變革。今年上半年百度李彥宏先生說到“個人信息保護”一句話帶來的影響,這就涉及到所有的公民個人信息保護帶來的挑戰,不可謂說不困難。
機遇。
如果個人信息保護做好,是不是能夠贏得業務的發展空間,競爭對手做得不好,范圍就小。我們可以這么理解。
合規就是競爭力,對個人信息保護當然就是競爭力。
合規即業務,個人信息保護做得好,可以幫助合作伙伴生態業務提升,做大業務。
最后可以換取平穩的外部環境。
現在大公司特別擔心移動的影響,股票的影響,如果出現一些問題,Facebook這個事情就在眼前,用個人信息保護獲取自己發展的平穩環境是非常重要的。我們真的要克服這種挑戰,抓住這些機遇還是需要有一套保護的現狀。
現狀。
國內和國外的對比。
國內網絡安全法有個要求,還有相應的法規規章出臺,GDPR是很多人沒有提及的事兒,歐盟做個人信息保護不是從今年做GDPR,而是幾十年前就開始做了,只不過GDPR實施之后,原來的變成廢紙了。我們和歐盟專家交流時,他們說你們很奇怪,我們以前認為應該做的時候你們不重視,現在開始重視了,還不是沖著罰款嘛。可見罰款也很重要,可以讓我們重視這個問題。GDPR是一部單行法覆蓋整個歐盟,事實上他是想GDPR所有歐盟體系內的國家,用一部法規來促進,因為各個國家之間保護的水平是一致的。所以,它流通起來更加方便。GDPR也覆蓋了公權力部門,所有企業、各行各業數據的要求都能覆蓋。它是基于Risk-based Approach風險的,大企業、小企業做GDPR都是200多頁的文檔那么長,難道所有人都一樣的,小企業的壓力是不是非常大,他希望基于數據,自己選擇適當的措施做數據保護。歐盟認為,這種方式適合創新和技術中立的。能不能達到這樣的效果,我們還有待觀察。
GDPR關注點。
前段時間對于GDPR的關注,我對GDPR的要點進行了梳理。
適用范圍,GDPR究竟會產生多大的效果。首先,GDPR有可能會管轄到非歐盟企業,或者其他國家運營的企業,歐盟境內設有分支機構沒得說,你會被他管。如果在歐盟境內不設分支機構他也能管到,只要對歐盟境內數據主體進行所謂的監禁,也就是說對他進行處理,比如社交平臺有個英文版或法文版、德文版,給歐盟的用戶進行注冊,即便你企業是在中國也受GDPR的管轄。
我們有個做設備的廠商,他把設備軟件嵌入到一款別的產品里,但這款產品正好賣到歐盟,做這個產品的供應商自己也有可能納入到監管范圍。大家總覺得自己被管住似的,實際從理論原則上來講,歐盟是希望達到這樣的效果,畢竟誰也劃清不了這個界限,所以,他用兜底式條款來把這個影響范圍擴大。是不是執法的時候都會執法,在非歐盟境內的企業家怎么執法有待觀察,如果他管起來之后,你要進入歐盟這幾個億所謂高質量消費群體市場會變得困難。
GDPR強調合法性事由,不再是以領域為基礎的,他列出6種情況,這和現在國內法律里強調的統計數據的差別。
數據保護關聯概念,強調一些數據保護方案,應該設立一個數據相關的保護官員。
數據主體,這是他們提出的,大家比較關心的問題,因為很多的權利很難實現,包括美國的巨頭也很頭疼怎么實現。《網絡安全法》實際強調公正,但公正具體的內容還是有點不一樣。訪問知情這實際也是有的,它還是非常全面的權利,但有些權利實施起來非常困難,最后對歐盟數據化團隊提出一個機制,并不單單提出是個安全評估,它提出來比較多,各種方式你可以做個選擇。
全球角度來看,個人信息報有什么特點。
歐盟? 統一獨立立法,數據保護委員會,DPA監管。
美國,分散立法,有行業自律規則,美國人在未成年人保護,醫療領域有個人信息保護的規定,但沒有統一的規定。想通過訴訟方式推動企業重視這個事兒。
其他國家,日本、澳大利亞、馬來西亞、新加坡、加拿大都有個人信息保護相關立法,我們國家消保局也有單獨的規定,其他國家更和歐盟有點類似。
中國,在個人信息保護領域目前沒有單獨的立法,就是個人信息保護法,當然現在也在提案這個法。我們之前很多法律法規之前很多都提到個人信息保護,特別是《網絡安全法》有一個章節一大部分提出個人信息保護,實際是提出個人信息保護的要求,法律體現的,并不是說沒有。我們希望通過一些引導提升的行動來促進大家把個人信息保護的工作做好。
我國個人信息保護框架,人大2012年有個規定,2015年刑法修正案,去年兩高司法解釋都對個人信息保護做出了相應的修訂。《網絡安全法》是重中之重,對個人信息,所有法律里集大成者。2017年國家標準實施,這實際也是對指導個人信息保護提升是非常有幫助的。我國的法規是偏向框架和原則性的,操作實施要落地的話還是需要標準側的指導,還有待于細則的出臺。
最近也有一些特別有意思的事兒,《英國金融時報》說中國意外成為亞洲數據保護領先者,他們提出這樣的觀點,我也挺意外的,因為很少有外媒這么評價中國的數據保護,它實際指出了我們制訂了更為詳細的個人信息保護規范,它把個人信息保護落地內容做了詳細指導,適用主管、監管部門的一些監督管理評估,包括對一些機構和企業進行實踐。
去年有個四部委的評審,發布了個人信息保護倡議書,包括簽署儀式,事實上在寫這個條款的時候,我們法律法規里并沒有講條款應該寫哪些,這就需要指導實踐和標準來指導,這也算是適用于主管監管部門的一次印證。
規范出來以后,包括收集、保護個人信息之外,對一些成員的具體要求。我對標準進行補充,盡可能讓所有條款都變成最有用的條款,如果有一些不是特別重要的,我們盡可能去簡化,來提出個人信息保護的要求。在硬件管理上,我們提出了一些事件處置報告高知以及明確責任部門與人員,安全影響評估,適宜的數據安全能力,防止泄露、毀損和丟失,人員管理與培訓,內部安全審計,都是發生持續的更新,以問題為導向來設置相關的要求。今年我們也把標準推廣作為年度標準推廣宣傳的重點工作,能在法律部門、金融、交通、互聯網、汽車等等行業已經做過溝通宣貫,大家對這個標準的關注度也是非常高。
數據的合規。
中興事件可以看出合規這個問題的分量。
看國外最近發生的事,實際它產生這么大的影響力,但原因是非常簡單的,他從那兒共享的數據被濫用問題,實際是合規問題。第二是2018RSA大會創新沙盒里拿到了冠軍,它的技術是非常簡單的,但他提出一個問題,就是合規問題,就因為這個問題它變成第一名,可見國際社會對數據保護的重視。第三,現在已經有一些歐洲團體起訴美國Google、Twitter等公司,現在據說他們要求的法定數額是80億歐元。最近也發生了,企業和市場之間實際也有一個博弈,比如蘋果的Safari阻止了Facebook追蹤用戶的點贊,在他的瀏覽功能是以合規的問題遏制競爭對手,但總是站在合規的角度做的這件事情。
國內也不平靜,去年的菜鳥順豐事件,今年的大數據殺熟,滴滴順風車。滴滴順風車對個人標簽不能刪改,這本來就不符合《網絡安全法》要求更正個人信息。我們發現,個人信息保護問題不單單是原來個人信息泄露問題,近年來發生的事情都和泄露沒有問題,菜鳥和順豐就是業務合作中的爭議,大數據殺熟更許多關系,滴滴順風車和數據安全也沒有太大關系,只是個標簽問題。
對于風險與合規角度,一個企業首先面臨的是違規的代價,二是直接的業務損失,三是名譽損失,四是內部企業文化損失,這是企業個人信息保護所面臨的風險。讓企業評估是不是有這樣的風險,個人信息保護究竟應該怎么做,尤其是在新技術、新業務,新業態的時候,法律法規并沒有教他怎么做,也不可能馬上出臺這個規定,他需要評估這樣的規定。現在我們正在設計一套個人信息安全影響評估方法,這也可以通過國家標準隨時體現。這是國際標準的PRE方法中的一種轉化,我們就需要評估個人信息處理對這四個方面的影響,影響個人自主決定權,比如你不能注銷,這是一種對個人注冊流動權的侵犯;滴滴順風車的標簽,體不能修改也是對個人權利的侵犯,你需要評估對他新業務的影響。大數據殺熟,也會影響差別性待遇,我們需要去評估現在這種業務模式會不會引發差別性待遇;名譽受損或精神壓力,事實上這四個只有這一個是傳統所謂隱私要考慮的內容,因為滴滴順風車的壓力,很多人說這個信息泄露之后對我個人名譽有影響,這是傳統隱私的概念。但是影響自主決定權和以前所談到的隱私本身沒有太大的關系,個人財產受損是一種附帶的影響結果。我們通過這幾個方面來確定新技術、新業務對個人的影響到底有多大,這是非常值得思考的。
數據合規時代。
現在處于數據時代,有人說數據就是黃金,數據就是石油;也有人說我們的算法就是算歷,就是效率,我們云計算中心是數據時代的引擎。合規到底是數據時代的什么?比如一輛車在高速公路上跑,如果油庫里有再多的油,包括引擎有多么先進,它都決定不了你能跑多遠,決定你跑多遠的是你車上裝的油箱有多大。這和合規能力是一個道理,如果合規能力比較高,符合這個時代的發展,符合我國法律政策的要求,那就可能跑得更遠。當然,可以改裝一下,加幾個油箱,如果碰法律的紅線,你是跑得遠跑得快了,但也觸犯了相關法律法規的要求。這是個數據的時代,也是數據合規的時代。今年開始,很有可能是所謂數據合規元年的概念。
以合規保障業務可持續發展,合規技術方向里,在數據服務里應該做什么?簡單來說是6個關鍵詞,你要知道有哪些數據,從哪兒來的,如果沒有做到,后面所有的都站不住腳。
安全風險可控,可能(數據)來源是合法的,但保護得不好,安全風險不可控,那也是徒勞的。
發生了問題,問題有時候是難以避免的,發生問題之后要可追溯到,管理體系是要可以迭代,新技術、新業務發展的體系也是要發展。
可預警,我們需要新的預警技術,來監測你數據流動過程中的風險。我們數據庫可能不流動,現在倡導數據流動,這就需要運營,你可以試試,你的合規能力需要能展示,你做得再好別人不知道,監管方也不知道,那對接起來是很不利的,我們需要從這幾個方向考慮數據合規問題。
最近幾年,大家很關心個人信息保護,仔細問了一圈發現,真正在個人信息保護有所動作的人還比較少,只是在關注和討論,我們希望看到更多的企業學習借鑒做這件事兒,同時也關心自己周圍的這些企業做了沒有,都說安全是一個木桶的原理;合規也是一樣,如果一個企業掉隊,監管、執法對掉隊肯定是被處罰的對象,歐盟并沒有說一定要做到什么樣,也沒有給出這條線,他實際就是在觀察哪個企業不符合現在大的趨勢。這是一個合規的策略。
最后,也希望各個企業真正重視個人信息保護,在個人信息保護上真正有所動作。GDPR之后,國外有一些更新,做出比較好的改善,我們也希望企業能改善個人信息保護,對個人信息進行更多的保障。