数据安全立法现状与合规性盘点

引言

大数据时代,数据得到越来越多的重视。大数据和人工智能的深度融合深刻而广泛地影响了包括政 府、金融、运营商、电力和互联网的各行各业,数据价值的流通与释放进一步促进经济和生产力的发展。 2020 年 3 月,我国中共中央、国务院对外发布《关于构建更加完善的要素市场化配置体制机制的意见》, 将数据定义为新型的生产要素,被正式纳入到国家所定义的要素市场化配置中,数据的国家战略资源地 位被正式确立。然而,大数据带来的机遇伴随着空前的安全挑战:近年来,大规模的数据泄露事件频频 发生、“大数据杀熟”、数据歧视、个人信息非法采集和隐私窃取等安全问题愈发严,且这些问题对 公民以及社会造成了不可忽视的负面影响与危害。

为了应对挑战,全球掀起数据安全与隐私的立法热潮,法规监管力度不断强化。欧盟于 2018 年实 施《通用数据保护条例》(GDPR),美国于 2020 年实施《加州消费者隐私法案》(CCPA),日本于 2020 年 6 月通过修订版《个人信息保护法》。我国在 2020 年 7 月和 10 月陆续公开发布两部重量级的 法规草案:《数据安全法(草案)》和《个人信息保护法(草案)》。前者在总体国家安全观指导下, 对数据进行全面的保护;后者对公民隐私和个人信息进行安全保护。

随着全球数据安全法规监管的不断强化,合规性问题不得不纳入企业数据安全建设考虑范围。可以 说,合规性成为了企业数据安全建设与治理的重要驱动力。然而,法规向企业出范围更广和约束更严 的数据安全的相关要求,给传统的数据安全技术和产品带来了前所未有的巨大挑战。在这样的背景下, 本报告名为《拥抱合规,超越合规:数据安全前沿技术研究报告》,旨在通过对企业三类重点数据安全 场景⸺用户隐私数据安全合规、企业内部数据安全治理和企业间数据安全共享与计算进行合规需求的 梳理与分析,分别选取当前业界可以应对的十种前沿数据安全技术进行研究和分析,包括处于学术前沿 的差分隐私(Differential Privacy,DP)、数据匿名(Data Anonymization)、同态加密(Homomorphic Encryption,HE);行业炙手可热的安全多方计算 (Secure Multi-party Computation,MPC)、联邦 学习(Federated Learning, FL),以及从其他领域引入的新技术⸺知识图谱、流程自动化、用户实体 行为分析(User and Entity Behavior Analytics, UEBA)等。通过对这十种前沿技术的研究,一方面希望 寻找到破局安全新场景下的启发与思路,另一方面为企业安全赋能⸺助力其解决数据安全与合规的痛 点与难点。

数据安全立法现状与合规性盘点

近年来,全球掀起数据安全与隐私的立法热潮,对企业出了更高的数据安全合规性要求。本章首先将回顾国内外数据隐私的立法以及执法现状与趋势,然后对已经实施的国内外法规规定的数据安全合规性热点进行解读和剖析。

国内外立法与执法趋势

国外

2018 年 5 月 25 日,欧盟正式实施《通用数据保护条例》(General Data Protection Regulation, GDPR)用以保护欧盟成员国境内企业的个人数据,以及欧盟境外企业处理欧盟公民的个人数据以及公 民享有的各项数据权利 [1]。

受 GDPR的影响,全球其他国家也陆续推出了各自相关的法规:如巴西于 2019 年 7 月通过《通用 数据保护法》(葡萄牙语简称 LGPD)的最终版本,将于 2021 年 5 月生效;印度在 2018 年 12 月公布 修改后的《2019 年个人数据保护法(草案)》(Personal Data Protection Bill, 2019);泰国于 2020年 5 月正式实施《个人数据保护法》(Personal Data Protection Act,PDPA)等 [2]。同样深受 GDPR影 响,美国各个州在数据隐私领域上纷纷重新立法,包括加利福尼亚州(加州),蒙佛特州、夏威夷、马 里兰、马萨诸塞、密西西比和华盛顿等。其中,最具代表的是加州于 2018 年 6 月通过的《加州消费者 隐私保护法》(California Consumer Privacy Act,CCPA)[3]。由于影响涉及大部分知名 IT科技公司, 如惠普、Oracle、Apple、Google 和 Facebook 等,该方案从立法到颁布备受各界人士的关注。2019 年10 月,美国加州州长正式签署 CCPA的最终法案,已于 2020 年 1 月 1 日正式生效。CCPA与 GDPR类 似,同样对企业出更高的数据安全合规性要求,据 IAPP和 OneTrust 调查结果显示,大约仅有 2% 的 受访者认为他们的企业已经完全做好了应对 CCPA 的准备 [4]。

在执法方面,欧盟相较其他国家,已经进入全面执法阶段⸺典型的趋势是多数成员国已经陆 续开出违反 GDPR的罚单。其中,英国执法力度最大,由于数据泄露事件,英国 ICO(Information Commissioner’s Office)2019 年于 7 月分别对英国航空公司和万豪国际集团分别开出 1.83 亿英镑和 9900 万英镑的的巨额罚单。此外,Google 罚款事件也备受关注⸺作为一家大型国际互联网公司,Google 却陆续被欧盟的两个国家罚款:2019 年 1 月被法国处罚 5000 万欧元,原因是执法方认为 Google 的隐私条款未充分体现 GDPR公开透明和清晰原则;2020 年 3 月被瑞典处罚 700 万欧元,原因 是 Google 未充分履行 GDPR赋予用户的数据“遗忘权”。GDPR执法的严苛程度,从以上的事件可见一斑。

国内

我国于 2017 年 6 月 1 日正式实施《中华人民共和国网络安全法》(简称《网络安全法》)[5]。它 是我国首部较为全面规范网络空间安全管理方面问题的基础性法律,不仅包括网络运行安全、关键信息 基础设施的运行安全,同时给出数据安全与个人信息保护的基本规定。

自 2019 以来,我国数据安全相关立法进程明显加快:根据《网络安全法》,国家互联网信息办公室(网 信办)分别于 2019 年 5 月和 6 月发布了《数据安全管理办法(征求意见稿)》和《个人信息出境安全 评估办法(征求意见稿)》等法规;同年 10 月 1 号我国正式实施《儿童个人信息网络保护规定》,对 儿童个人信息安全进行特殊和更加严格的保护。

2020 年 5 月我国发布《中华人民共和国民法典》,将于 2021 年 1 月 1 日起实施,它被誉为“社 会生活的百科全书”,其中首次在法律中明确具体出“隐私权”的概念,并确立隐私权范围和个人信 息保护一些基本规范。

2020 年 7 月,我国对外发布《中华人民共和国数据安全法(草案)》(简称《数据安全法(草案)》), 确立了数据分级分类保护、数据安全风险评估、应急处置机制和安全审查的重要制度,明确了开展数据 活动必须履行数据安全保护义务等内容。

2020 年 10 月,《中华人民共和国个人信息保护法(草案)》(《个人信息保护法(草案)》)在 人大网公开,该法律赋予必要的域外用效力,以充分保护我国境内公民的权益;并完善和丰富了个人 多项数字权利,包括个人知情权、决定权、查询权、更正权、删除权等权利;在违法违规处罚方面,相 比《网络安全法》,大幅度地加大了惩处的力度。《数据安全法(草案)》和《个人信息保护法(草案)》 作为两部较为综合性的法律,前者更加强调总体国家安全观,对国家利益、公共利益和个人、组织合法 权益方面给予全面保护,后者则更加侧重于对个人信息、隐私等等进行保护。

在标准层面上,我国数据安全多部标准已经发布或者正在制定中,相关的标准体系正逐步趋向完善, 包括《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)、《个人信息安全规范》(GB/ T 35273-2020)、《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019),《信息安全技术 大数据安全管理指南》(GB/T 37973-2019)等。

在相关执法层面,我国监管部门主要聚焦在两个方面:一是针对 APP 个人信息侵权专项治理,近 年来中央网信办、工业和信息化部、公安部、市场监管总局四部门成立专项治理工作组,对三十万余款

APP 开展个人信息合规性评估与整治,包括未公开收集使用规则、未经用户同意收集使用个人信息和私 自共享给第三方用户信息等,对涉及违规 APP 通过通报、约谈、整改、下架等处罚形式,通报对象不 乏大型公司的 APP [6],通过深度治理与曝光形式,达到改善 APP 的个人信息安全问题。二是针对个人 信息非法交易与黑灰产的整治,公安部在多个城市连续开展“净网 2019”、“净网 2020”专项行动, 对此类案件重拳出击,从源头上进行杜绝,由于个人信息非法交易与泄露导致的定向电信诈骗、短信骚 扰等给用户带来的精神困扰与财产损失。

数据安全合规热点解读

近年来国内外相继出台与实施多部重量级的数据安全法律法规,其对企业在处理数据活动过程中 出更多、更严、更具体的约束和要求。欧盟 GDPR作为一部“大而全”的数据安全法规 [1],在全球相关 的法规非常具代表性,同时对我国拥有欧盟业务的企业有较大的影响,解读和分析具有借鉴意义。;《网 络安全法》作为我国已经实施的首部全面规范网络空间安全的基础性法律 [5],在相关章节条款确立一些 基本数据安全制度与个人信息保护基本规定。本节将以欧盟 GDPR和国内《网络安全法》为代表,从法 规保护的据对象、用户的数据权利、企业的安全义务以及违法违规的处罚四个方面,对国内外数据安全 的合规性进行简要地解读与探讨。

保护的数据对象

GDPR保护的数据对象是欧盟公民的“个人数据”。GDPR将“个人数据”定义为“是关于一个 已识别或者可能识别的自然人(即数据主体)的任何信息”。该定义下的“个人数据”范畴边界十分宽泛, 涵盖信息十分丰富,不仅包括传统意义的姓名、年龄、性别这些基本的个人信息,还包括一些特殊的数 据也被归并为“个人数据”,比如生物识别数据⸺指纹、虹膜、DNA数据等,这些数据在一定条件下 (比如生物数据库对照)具有“可识别性”;宗教信仰,心理和生理特征信息,通过与其他属性信息结合, 例如年龄、性别、地区结合也具有“可识别性”,可以唯一识别和定位特定的自然人;再比如 IP 地址、 MAC地址、Cookie 信息等,这些信息以往被认为是网络设备信息或网络行为信息, GDPR将其定位“个 人数据”,在一定程度有利于网络数据的隐私保护。宽泛的定义可以最大限度保护好自然人的各类隐私数据, 规避一些“擦边球”的场景。但这给企业如何在复杂的业务环境中去识别和发现各类结构化和非结构等各 类个人数据带来巨大的挑战,也意味着在企业需要在数据安全治理与安全建设上投入更多的安全成本。

《网络安全法》 第四章节明确规定保障个人信息安全,保护的重点数据对象是“个人信息”。其 定义是“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。类似 于 GDPR,《网络安全法》的个人信息定义同样以“识别说”为基础,包括单独识别的如身份证号、姓 名等,结合识别比如出生年月信息,由于结合性别、地址等属性信息重新识别的个人身份。相比 GDPR 来说,我国罗列的个人信息范畴并不大,并不包括由个人关联的信息(比如用户的行为 / 习惯、购买的 IoT 设备等识别性不高的信息,这在一定程度缩小了“个人信息”的范围,降低敏感信息分类分级及保 护的成本。然而,在最近发布《个人信息保护法(草案)》 给出的个人信息新定义为“以电子或者其 他方式记录的与已识别或者可识别的自然人有关的各种信息”,与 GDPR的宽泛定义趋向类似,增加“有 关的”修饰词,进一步明确地拓展“个人信息”定义和范畴。因此国内企业应未雨绸缪,在涉及个人信 息安全的数据安全治理方面,需要在个人信息的识别、分类与分级等基础能力投入更多安全建设。

参考资料

绿盟 2020 数据安全前沿技术研究报告

你可能感兴趣的:(人工智能,大数据)