何延哲:个人信息保护合规挑战和机遇

摘要:本文以“个人信息保护合规的挑战和机遇”为主题介绍了我国个人信息保护相关法律法规、政策标准、监管要求,分析了GDPR的核心要求以及与我国个人信息保护相关要求的异同,并站在当前监管环境下,给出了数据安全监管的总体思路,尤其是在个人信息保护合规角度,归纳总结了企业应该注意的关键要素以及未来的合规工作方向。

何延哲

何延哲    中国电子技术标准化研究院信息安全研究中心审查部总监,国家标准《个人信息安全规范》主要起草人之一

个人信息保护近年确实是非常热的一个话题,为什么会这么热呢?是我们国家的政策,《网络安全法》出台之后整个一年过程中都是热点问题。我们看到的一些热点事情,比如Facebook事件,GDPR实施,支付宝帐单,大数据杀熟等热点事件。现在媒体非常关注,有的企业在这方面稍微有一点漏洞,媒体第二天就会把它炒成热点事件。同时,民众的个人信息保护的意识从去年到今年有非常大的提升。总之,个人信息保护现在已经成为网络安全领域非常重要的一部分,这是网络安全和空间安全重点组成还是稍微有点不足,更新保护已经占到非常大的一块。

趋势

现在说的非常多,都说从IT时代到DT时代。IT时代的个人信息保护和DT时代的个人信息保护有什么区别?

原来我们用QQ聊天,发邮件,使用个人信息实际是在标识我们每个人,让我们知道这个人是谁,就像我们身份证、手机号都是为了标识某个人。但到了DT时代,个人信息的作用远远不足,我们可以通过对个人活动的轨迹做一些画像,进行分析,达到千人千面和精准分析的目的。这带来的变化是什么呢?原来个人信息是起到提高效率的作用,现在的个人信息实际是所谓的智能。智能对个人精准画像确实做到了方便智能,但同时精准画像如果被恶意使用,对个人的影响也会影响应用,是致命的。

我们对国家关键信息基础设施能不能画像,对一个社会群体,社会现实能不能画像,我认为,这个原理是一样的。我们的数据安全在所谓的DT时代要有更加全面的认识。我们谈数字安全谈的大多数都是传统的数据安全,如果把它再放到个人信息保护里看,数据安全还有一些个人权利保障,比如过度收集和完整性、保密性、可用性有关系吗?都没有太直接的关系,我们自己能注销这个权利,可携带这种权利和这个有关系吗?都没有关系。所以,我们在数据安全市场上,再加一层就是数据安全保障。

再把它放到重要数据,习主席讲话提到的关键数据资源保护,这又是在传统数据安全方面多了一些处理的限制,有些数据不是随随变变就能处理的,比如国家有一些地理资源,人口健康等信息,“互联网+”之后是不是也有原始数据,进行分析,也得到传统意义上的敏感信息,这是有可能的,所以,我们要在这些上加强处理和限制,这和保密性、可用性是不一样的。

前两年我们讲数据安全,很多人没有把大数据安全和数据安全讲清楚,通过今年发生的事情推断,如果从三个层面综合来看大数据安全基本框架就已经形成,这是我国监管方面提出的框架。

对个人信息保护的理解。

我个人认为,个人信息保护的特征,因人而起——入门易。这不是芯片、算法,这是很专业的问题,个人信息保护,每一位老百姓都可以说两句,很简单,谁都可以说,这没保护好,我被骚扰,这就很可怕。当所有人都在谈这件事情的时候很难达成共识。

因时而变——深入繁,比如个人信息的权属,法律上讨论了很久也许多定论,真的有那么复杂吗?

因人而异——实用难。是不是有一个技术、模式、政策能防止黑产、根除黑产,这几乎是不可能的,看到手机的弹窗,点一下“同意”这件事儿,就这一个事儿能不能解决这个问题,或者这个到底有多难解决。一个措施根本上解决不了这个问题,我们或没有看到哪个技术特别适用,把各种信息问题做非常好的解决。这需要探讨。个人信息保护真有这么难吗?是我们夸大了还是上纲上线?

挑战。

1、今年以来,GDPR实施,2000万欧元的罚款,全球4%的营业额和2000万欧元之间孰轻孰重,这个违规的代价有多大。

2、全球化的挑战,这不光是违规处罚的问题,你要进行全球化经营,要做两个版本,国内版和国际版,这对你的业务有多大的变革和影响,有些功能可能在美国不能用了。

3、业务变革。今年上半年百度李彦宏先生说到“个人信息保护”一句话带来的影响,这就涉及到所有的公民个人信息保护带来的挑战,不可谓说不困难。

机遇。

如果个人信息保护做好,是不是能够赢得业务的发展空间,竞争对手做得不好,范围就小。我们可以这么理解。

合规就是竞争力,对个人信息保护当然就是竞争力。

合规即业务,个人信息保护做得好,可以帮助合作伙伴生态业务提升,做大业务。

最后可以换取平稳的外部环境。

现在大公司特别担心移动的影响,股票的影响,如果出现一些问题,Facebook这个事情就在眼前,用个人信息保护获取自己发展的平稳环境是非常重要的。我们真的要克服这种挑战,抓住这些机遇还是需要有一套保护的现状。

现状。

国内和国外的对比。

国内网络安全法有个要求,还有相应的法规规章出台,GDPR是很多人没有提及的事儿,欧盟做个人信息保护不是从今年做GDPR,而是几十年前就开始做了,只不过GDPR实施之后,原来的变成废纸了。我们和欧盟专家交流时,他们说你们很奇怪,我们以前认为应该做的时候你们不重视,现在开始重视了,还不是冲着罚款嘛。可见罚款也很重要,可以让我们重视这个问题。GDPR是一部单行法覆盖整个欧盟,事实上他是想GDPR所有欧盟体系内的国家,用一部法规来促进,因为各个国家之间保护的水平是一致的。所以,它流通起来更加方便。GDPR也覆盖了公权力部门,所有企业、各行各业数据的要求都能覆盖。它是基于Risk-based Approach风险的,大企业、小企业做GDPR都是200多页的文档那么长,难道所有人都一样的,小企业的压力是不是非常大,他希望基于数据,自己选择适当的措施做数据保护。欧盟认为,这种方式适合创新和技术中立的。能不能达到这样的效果,我们还有待观察。

GDPR关注点。

前段时间对于GDPR的关注,我对GDPR的要点进行了梳理。

适用范围,GDPR究竟会产生多大的效果。首先,GDPR有可能会管辖到非欧盟企业,或者其他国家运营的企业,欧盟境内设有分支机构没得说,你会被他管。如果在欧盟境内不设分支机构他也能管到,只要对欧盟境内数据主体进行所谓的监禁,也就是说对他进行处理,比如社交平台有个英文版或法文版、德文版,给欧盟的用户进行注册,即便你企业是在中国也受GDPR的管辖。

我们有个做设备的厂商,他把设备软件嵌入到一款别的产品里,但这款产品正好卖到欧盟,做这个产品的供应商自己也有可能纳入到监管范围。大家总觉得自己被管住似的,实际从理论原则上来讲,欧盟是希望达到这样的效果,毕竟谁也划清不了这个界限,所以,他用兜底式条款来把这个影响范围扩大。是不是执法的时候都会执法,在非欧盟境内的企业家怎么执法有待观察,如果他管起来之后,你要进入欧盟这几个亿所谓高质量消费群体市场会变得困难。

GDPR强调合法性事由,不再是以领域为基础的,他列出6种情况,这和现在国内法律里强调的统计数据的差别。

数据保护关联概念,强调一些数据保护方案,应该设立一个数据相关的保护官员。

数据主体,这是他们提出的,大家比较关心的问题,因为很多的权利很难实现,包括美国的巨头也很头疼怎么实现。《网络安全法》实际强调公正,但公正具体的内容还是有点不一样。访问知情这实际也是有的,它还是非常全面的权利,但有些权利实施起来非常困难,最后对欧盟数据化团队提出一个机制,并不单单提出是个安全评估,它提出来比较多,各种方式你可以做个选择。

全球角度来看,个人信息报有什么特点。

欧盟  统一独立立法,数据保护委员会,DPA监管。

美国,分散立法,有行业自律规则,美国人在未成年人保护,医疗领域有个人信息保护的规定,但没有统一的规定。想通过诉讼方式推动企业重视这个事儿。

其他国家,日本、澳大利亚、马来西亚、新加坡、加拿大都有个人信息保护相关立法,我们国家消保局也有单独的规定,其他国家更和欧盟有点类似。

中国,在个人信息保护领域目前没有单独的立法,就是个人信息保护法,当然现在也在提案这个法。我们之前很多法律法规之前很多都提到个人信息保护,特别是《网络安全法》有一个章节一大部分提出个人信息保护,实际是提出个人信息保护的要求,法律体现的,并不是说没有。我们希望通过一些引导提升的行动来促进大家把个人信息保护的工作做好。

我国个人信息保护框架,人大2012年有个规定,2015年刑法修正案,去年两高司法解释都对个人信息保护做出了相应的修订。《网络安全法》是重中之重,对个人信息,所有法律里集大成者。2017年国家标准实施,这实际也是对指导个人信息保护提升是非常有帮助的。我国的法规是偏向框架和原则性的,操作实施要落地的话还是需要标准侧的指导,还有待于细则的出台。

最近也有一些特别有意思的事儿,《英国金融时报》说中国意外成为亚洲数据保护领先者,他们提出这样的观点,我也挺意外的,因为很少有外媒这么评价中国的数据保护,它实际指出了我们制订了更为详细的个人信息保护规范,它把个人信息保护落地内容做了详细指导,适用主管、监管部门的一些监督管理评估,包括对一些机构和企业进行实践。

去年有个四部委的评审,发布了个人信息保护倡议书,包括签署仪式,事实上在写这个条款的时候,我们法律法规里并没有讲条款应该写哪些,这就需要指导实践和标准来指导,这也算是适用于主管监管部门的一次印证。

规范出来以后,包括收集、保护个人信息之外,对一些成员的具体要求。我对标准进行补充,尽可能让所有条款都变成最有用的条款,如果有一些不是特别重要的,我们尽可能去简化,来提出个人信息保护的要求。在硬件管理上,我们提出了一些事件处置报告高知以及明确责任部门与人员,安全影响评估,适宜的数据安全能力,防止泄露、毁损和丢失,人员管理与培训,内部安全审计,都是发生持续的更新,以问题为导向来设置相关的要求。今年我们也把标准推广作为年度标准推广宣传的重点工作,能在法律部门、金融、交通、互联网、汽车等等行业已经做过沟通宣贯,大家对这个标准的关注度也是非常高。

数据的合规。

中兴事件可以看出合规这个问题的分量。

看国外最近发生的事,实际它产生这么大的影响力,但原因是非常简单的,他从那儿共享的数据被滥用问题,实际是合规问题。第二是2018RSA大会创新沙盒里拿到了冠军,它的技术是非常简单的,但他提出一个问题,就是合规问题,就因为这个问题它变成第一名,可见国际社会对数据保护的重视。第三,现在已经有一些欧洲团体起诉美国Google、Twitter等公司,现在据说他们要求的法定数额是80亿欧元。最近也发生了,企业和市场之间实际也有一个博弈,比如苹果的Safari阻止了Facebook追踪用户的点赞,在他的浏览功能是以合规的问题遏制竞争对手,但总是站在合规的角度做的这件事情。

国内也不平静,去年的菜鸟顺丰事件,今年的大数据杀熟,滴滴顺风车。滴滴顺风车对个人标签不能删改,这本来就不符合《网络安全法》要求更正个人信息。我们发现,个人信息保护问题不单单是原来个人信息泄露问题,近年来发生的事情都和泄露没有问题,菜鸟和顺丰就是业务合作中的争议,大数据杀熟更许多关系,滴滴顺风车和数据安全也没有太大关系,只是个标签问题。

对于风险与合规角度,一个企业首先面临的是违规的代价,二是直接的业务损失,三是名誉损失,四是内部企业文化损失,这是企业个人信息保护所面临的风险。让企业评估是不是有这样的风险,个人信息保护究竟应该怎么做,尤其是在新技术、新业务,新业态的时候,法律法规并没有教他怎么做,也不可能马上出台这个规定,他需要评估这样的规定。现在我们正在设计一套个人信息安全影响评估方法,这也可以通过国家标准随时体现。这是国际标准的PRE方法中的一种转化,我们就需要评估个人信息处理对这四个方面的影响,影响个人自主决定权,比如你不能注销,这是一种对个人注册流动权的侵犯;滴滴顺风车的标签,体不能修改也是对个人权利的侵犯,你需要评估对他新业务的影响。大数据杀熟,也会影响差别性待遇,我们需要去评估现在这种业务模式会不会引发差别性待遇;名誉受损或精神压力,事实上这四个只有这一个是传统所谓隐私要考虑的内容,因为滴滴顺风车的压力,很多人说这个信息泄露之后对我个人名誉有影响,这是传统隐私的概念。但是影响自主决定权和以前所谈到的隐私本身没有太大的关系,个人财产受损是一种附带的影响结果。我们通过这几个方面来确定新技术、新业务对个人的影响到底有多大,这是非常值得思考的。

数据合规时代。

现在处于数据时代,有人说数据就是黄金,数据就是石油;也有人说我们的算法就是算历,就是效率,我们云计算中心是数据时代的引擎。合规到底是数据时代的什么?比如一辆车在高速公路上跑,如果油库里有再多的油,包括引擎有多么先进,它都决定不了你能跑多远,决定你跑多远的是你车上装的油箱有多大。这和合规能力是一个道理,如果合规能力比较高,符合这个时代的发展,符合我国法律政策的要求,那就可能跑得更远。当然,可以改装一下,加几个油箱,如果碰法律的红线,你是跑得远跑得快了,但也触犯了相关法律法规的要求。这是个数据的时代,也是数据合规的时代。今年开始,很有可能是所谓数据合规元年的概念。

以合规保障业务可持续发展,合规技术方向里,在数据服务里应该做什么?简单来说是6个关键词,你要知道有哪些数据,从哪儿来的,如果没有做到,后面所有的都站不住脚。

安全风险可控,可能(数据)来源是合法的,但保护得不好,安全风险不可控,那也是徒劳的。

发生了问题,问题有时候是难以避免的,发生问题之后要可追溯到,管理体系是要可以迭代,新技术、新业务发展的体系也是要发展。

可预警,我们需要新的预警技术,来监测你数据流动过程中的风险。我们数据库可能不流动,现在倡导数据流动,这就需要运营,你可以试试,你的合规能力需要能展示,你做得再好别人不知道,监管方也不知道,那对接起来是很不利的,我们需要从这几个方向考虑数据合规问题。

最近几年,大家很关心个人信息保护,仔细问了一圈发现,真正在个人信息保护有所动作的人还比较少,只是在关注和讨论,我们希望看到更多的企业学习借鉴做这件事儿,同时也关心自己周围的这些企业做了没有,都说安全是一个木桶的原理;合规也是一样,如果一个企业掉队,监管、执法对掉队肯定是被处罚的对象,欧盟并没有说一定要做到什么样,也没有给出这条线,他实际就是在观察哪个企业不符合现在大的趋势。这是一个合规的策略。

最后,也希望各个企业真正重视个人信息保护,在个人信息保护上真正有所动作。GDPR之后,国外有一些更新,做出比较好的改善,我们也希望企业能改善个人信息保护,对个人信息进行更多的保障。

上一篇:马斌:筑牢安全防线 安全人才培养体系化的企业实践

下一篇:曾浩洋:第五代移动通信系统(5G)安全概览