深圳找刑事合规律师咨询电话,数据合规怎么做

时间:2023-01-15 06:12:53来源:法律常识

公司数据合规到底难在哪

资料图。图/unsplash

中国国家互联网应急中心发布的数据显示,2021年10月,网站安全方面,中国境内被篡改网站数量为9532个,较9月增长近3成;境内被植入后门的网站数量为2932个,较9月增长2.4%。按网站类型统计,被植入后门数量最多的是.COM域名类网站。按地区分布统计,被植入后门的网站数量排名前三位的分别是北京市、广东省和浙江省。

问题可能远不止于此。10月,木马或僵尸网络恶意活动情况方面,中国境内近442万个IP地址对应的主机被木马或僵尸程序控制,与9月相比增长4成。按地区分布感染数量排名前三位的分别是广东省、江苏省和河南省。

数据安全问题仍在不断发生。

11月8日,美国一款应用程序Robinhood有关负责人表示,一名入侵者上周(11月3日)进入了该公司的系统,盗窃了数百万用户的个人信息。包括大约500万用户的电子邮件地址外泄,另外200万用户的全名外泄。入侵者还获取了超过300个用户更广泛的个人信息。

Robinhood经过调查后在其官网宣称,“我们仍然认为该列表不包含社会安全号码、银行账号或借记卡号码,并且没有因事件给任何客户造成经济损失。”

个人信息作为数据安全的重要表现,Robinhood的这次个人信息泄露事件只是数据安全问题的一个缩影。因为不仅公司、机构内部存在泄露风险,外部攻击也是数据安全问题的重要威胁。

针对潜存的数据安全问题,我国先后颁布实施了相关法律。11月1日,《中华人民共和国个人信息保护法》正式实施。全国人大常委会法工委经济法室副主任杨合庆解读称,个人信息保护法确立了个人信息处理应遵循的基本原则,构建了以“告知-同意”为核心的处理规则,规范个人信息处理行为,为个人信息的利用提供了公开、透明、可预期的法律环境。

其实,面对无处不在的网络数据安全风险,我国近年来先后颁布出台了相关的法律法规。比如今年9月1日,《中华人民共和国数据安全法》正式实施。4年前,《网络安全法》已开始实施。

作为重要的风险源头,那些掌握着大量数据的互联网公司、快递公司、金融科技公司等面对实施的新法是否准备好了?做好风险防范可能面对什么挑战?

“缺乏数据安全意识”

王岩飞是北京市京师(深圳)律师事务所联合创始人、数据合规研究院执行院长。他接触的客户有头部的平台企业,也有中小规模的互联网企业,以及一些实体企业。

王岩飞告诉新京智库,他们最近接了一家制造业上市公司的新项目,这家公司涉及的个人信息数据量非常少,主要是内部员工的信息,但这家公司提出一定要做好个人信息保护的合规工作,“他们的合规意识很强,但有一点过于担心了”。

实际上,有很多企业,包括一些巨头的数据合规意识还很淡薄。这些企业的商业模式运转了这么多年,他们粗放式的数据运营和信息使用模式一时半会也难以改变。“老板、高管和公司员工对于个人信息保护的法律认知还没有到这个程度,这可能与执法还没有跟上有关”,王岩飞说。

以快递行业为例,2018年5月1日起实施的《快递暂行条例》第34条规定,经营快递业务的企业应当建立快递运单及电子数据管理制度,妥善保管用户信息等电子数据,定期销毁快递运单,采取有效技术手段保证用户信息安全。

新京智库观察发现,有一些快递公司已将寄、收双方手机号的中间四位数字隐去,但有一些快递公司的快递单仍然显示详细的寄、收双方的手机号码。

第34条还规定,经营快递业务的企业及其从业人员不得出售、泄露或者非法提供快递服务过程中知悉的用户信息。发生或者可能发生用户信息泄露的,经营快递业务的企业应当立即采取补救措施,并向所在地邮政管理部门报告。

新京智库梳理发现,仍有一些快递公司的用户信息在被贩卖。2021年11月7日《南方都市报》报道,该报记者通过一款即时通讯软件联系了多位买家,其中一名叫“橘子”的人报价,实时面单超过1000张每张价格3.5元,精品面单每张4元;而历史面单只收车载、童装童鞋、化妆品类的,每张1.5元。

另一名叫“悟空”的卖家声称,他手里有几十万历史快递面单,货源是一家物流“云仓”;为了证明自己的实力,他还给记者发了一份文档,里面按照化妆品、母婴、服装等进行分门别类,其中包括上百位消费者的姓名、所购商品、家庭住址和电话号码等隐私信息,甚至还有商品的价格。

中国政法大学传播法研究中心副主任朱巍对新京智库表示,《个人信息保护法》施行前,加密、去标识化的隐私面单还可以视为行业内的倡导,但随着该法的生效,加密、去标识化等安全技术措施已经成为快递平台必须履行的法定义务,因此隐私面单功能就必须强制推行。

中国科学院大学网络空间安全学院教授张锐告诉新京智库,其实技术上完全可以做到,只需要在源代码中加入若干行相关程序码而已,而且“真的很简单”。

现实是,“大老板认识不到,这事肯定做不好”,广东工业大学计算机学院特聘教授刘文印告诉新京智库,企业如何在管理过程中加强对公司数据、员工数据、产品用户数据的合法以及综合管理,有时会发现投入大量人力资源可能有些问题也无法解决。

代码里的“猫鼠游戏”

新京智库梳理发现,随着《个人信息保护法》的生效,几乎所有App、网站都更新了“隐私政策”——都有弹出相应弹窗需要用户按下“同意”键。尴尬的是,很多人可能是直接选择“同意”,而不会花时间去阅读这些网站或App的隐私政策到底都是什么内容。

“我也不看。因为你不同意的话他就直接退出,无法‘正常使用’”,上海大邦律师事务所高级合伙人游云庭告诉新京智库,用户看不看是用户的事情,但应用开发运营者必须告知用户权利义务,这是他们的责任。由于商业模式的多样性,这种事情也没法特别简化,现在的模式应该说,是目前情况下可以做到的比较好的方式。

新法实施下,企业该如何做到“无瑕疵”守法还存在类似的技术难题。刘文印表示,我国颁布的《个人信息保护法》被外媒称为“世界上最严格隐私法之一”。在此之前,欧盟《一般资料保护规范》(GDPR)被称为史上最严的隐私法。

《个人信息保护法》规定,收集和处理个人信息应取得个人的充分同意,在23、29、39条中,共5种特殊场景中,要求“取得个人的单独同意”,给用户充分的“知情权”和“决定权”,个人有权要求算法说明具体信息,有权知道两个第三方之间在用“我个人的什么信息,没有我个人授权,他们之间无权使用我的个人信息”。

“很多场景下,获取‘单独同意’是非常困难的”,刘文印表示,是“发邮件,亲手签字,还是要本人认证?这些信息沟通怎么自动解析?精度和效率怎么保证”,这些都是大问题。但是,如果使用已经开发的基于“登录易”的生态系统架构,网站每次都把“单独同意”的请求发到手机登录易App,即,可信用户代理,或个人信息管理终端,用户点击“同意”后,就带着目的地网站的账号密码去调用部署在目的地的API(应用程序接口),目的地网站收到后,验证账号密码“对”就表示确实是用户本人“同意”,很容易自动完成。

刘文印表示,如果“拒绝”,甚至可以自动投诉到监管机构。如果在登录易中设置自动授权“同意”的条件,自动检查信息请求是否满足,就可以自动授权,提高效率,同时留下“单次通知知情-单次同意”的日志记录,作为证据。

然而,“很多企业还不知道如何才能自动合规,实现上述规则,尤其是单独‘同意’的规则在实践中如何落地”,刘文印表示,因为这是一个全新规则,比普通的“同意”更难获得,需要有单独的通知,让用户知情,并明确授权“同意”,不能一开始在用户协议或隐私政策一次性打钩就算永久“同意”,“授权”了。

因为数量上加上技术上客观存在的难题,游云庭介绍,多数情况下,互联网公司会做“踩线”的事,比如在产品设计时就把它设计成一个容易混淆,方便他们在接受审查时有退路的架构,处理成一个看似合规合理的模式。

为什么这么做?游云庭表示,因为这涉及一个监管部门的审计能力问题。因为目前我们的监管机构缺乏相应的审计能力,即如何判定互联网公司的某个设计是否违法,或者一旦发生数据安全违法事件,如何判定违法还需要查看相应的产品设计方案及程序源代码。

“如果要加强执法的话,其实要提升相应的数据审计能力,这个成本由谁来承担”,游云庭表示,如果由平台公司承担,那就变成了一个“猫鼠游戏”,把“老鼠”都抓光了,“猫”也就不用活了。

数据出境到底怎么出

一个可能更为棘手的问题是,涉外企业的数据出境问题该如何解决?

王岩飞介绍,他所感受到的是,企业对于数据出境问题还是有很多急需法律普及的盲点。“很多企业暂时不知道怎么做,而且有的是跨国公司”。

作为高校教师,刘文印所在的网络安全圈子也经常遇到来自企业界的类似困惑。因为很多境内外都有业务(或者国内运营,用户主要在境外)的公司就会遇到“数据出境”和“个人信息保护”的双重问题。

涉及这类业务的不仅有外资企业,还有中资企业,比如在境外设有子公司的,或境外只有贸易业务的。以外资企业为例,国家统计局《中国统计年鉴2021》的数据显示,2020年,我国共有外商投资企业户数总计63.54万家,同比增长1.3%。

随着数字经济全球化的推进,数字贸易日益成为区域经贸协定的重要内容,我国数字贸易金额也越来越大。商务部的数据显示,“十三五”时期我国数字贸易额由2015年的2000亿美元增长到2020年的2947.6亿美元(约合人民币2万亿元),增长47.4%,占服务贸易的比重从30.6%增长至44.5%。

“比如,有一家叫‘XX思维’的在线教育App,因为收集了太多个人信息,三天两头收到监管部门的通知整改”,刘文印说,因为该App的不少用户在境外,不仅要符合中国的法律,海外也得合规,包括符合欧盟GDPR的规定。

对于金融企业来说,也有一些问题亟待解决。王岩飞介绍,金融企业不仅要履行反洗钱法律责任,如果某家商业银行是在海外注册的,不仅要做好反洗钱合规工作,基于其归属地的法律,还需要把信息对冲过去,就又涉及数据出境问题在不同法律之间怎么协调处理问题。“我觉得是个难点”。

急需解决的问题不仅于此。游云庭表示,当企业在为数据出境感到困惑时,我们的监管部门力量还无法匹配。即当所有涉及数据出境的企业都要求到监管部门备案时,监管部门能否都及时审批过来?如果不能,那企业数据出境业务怎么开展?

游云庭表示,新法普及确实增加了企业运营成本,而且部分企业也出现了一些恐慌,尤其是做境内外投资的。现在找他们律师咨询或做合规工作的是还有钱的企业,如果本身就是微利经营,手里没有现金流的企业,“它可能就不做了”。

企业做好数据合规面临的挑战

面对新规,企业做好个人信息保护,数据合规又可能面临哪些挑战?

上市公司索信达控股有限公司(下称“索信达”)数据管理领域专家韦海晗告诉新京智库,新监管趋势及行业趋势对数据安全管理提出了更高要求,但像银行业要做好数据安全工作还面临不小的挑战。比如,要求管理内容更丰富,具体体现在非结构化数据纳入管理范畴、客户隐私数据保护成为重点、数据安全分级管理成为必要、海量数据脱敏比较关注、分布式的基础设施灾备、更多相关的法律法规保证等。

同时,对金融公司也提出了更高的管理能力要求。韦海晗介绍,比如对数据安全要求更高,数据泄露影响也更大,面对海量的数据进行全面的安全分级管理。一些新的大数据产品对于数据安全设计存在缺陷,更多依赖于企业自身数据安全管理能力,分布式的灾备和恢复要求也越来越多。

如果管理能力没有相应“升级”可能面对的就是管理成本急剧上升。IBM公司今年7月底发布的《2021年数据泄露成本报告》数据显示,数据泄露的平均成本从上一年度的386万美元上升到424万美元,同比增长近10%。这是近七年来最大的单年成本增长。也是IBM发布该报告17年来的最高成本。

该报告进一步指出,与无关远程工作的数据泄露相比,与远程工作有关的数据泄露事件的平均成本高出107万美元。因远程工作而导致数据泄露的企业百分比为17.5%。此外,与远程工作人员最多为50%的组织相比,远程工作人超过50%的组织识别和遏制数据泄露事件所需的时间要多出58天。

从行业来看,该报告指出,医疗保健行业的数据泄露平均总成本从2020年的713万美元增加到2021年的923万美元,增幅近3成。医疗保健行业的数据泄露成本连续11年位居首位。

“这就要求管理技术也要更先进”,韦海晗说,比如利用大数据技术获取企业不同类型的安全数据,识别潜在的数据安全风险和威胁,非结构化数据的安全保护策略和技术实现方案,分布式的数据加密技术、数据脱敏技术,以及更全面、灵活的数据文件访问技术,基础设施灾备和恢复技术等。

因而,韦海晗认为,数据安全管理的工作是贯穿于整个数据管理体系之中的,关系到整个数据管理体系的搭建。从整个数据管理角度看,数据安全管理工作包括数据安全管理标准、数据安全事故处理、数据安全分级、数据安全审计。

“数据安全分级是数据安全管理体系构建的重点核心,数据分类又是数据安全分级的基础和依据”,韦海晗建议,在系统技术支撑上,可以将数据安全分级管理体系嵌入到类似元数据平台、数据资产管理平台上去做。

而张锐表示,很多平台企业,即便是科技企业在技术上的投入还是太少,他们的系统也没有太先进。很多公司实际上的先进技术研发人员远没有他们所宣称的那么多,“可能是干体力活的居多”。

企业在做好数据合规工作时不仅内部,外部也同样面临挑战。

游云庭表示,在《数据安全法》和《个保法》等新的法律规范生效之下,执法能力不强也在一定程度上限制了企业的发展。比如,有的企业有数据跨境需求,但当他们咨询或者请相关部门予以指导时,相关部门告知“这块暂时不管”,因为这是“优化营商环境”的范畴。

游云庭介绍,这是他在《数据安全法》生效后两三天遇到的真实经历。他认为,这说明相关的监管部门不能说没有准备,而是新法生效后,一下子涌现那么多企业需要办理数据合规的相关业务,他们受理不过来。“他们也不会去接(企业)锅的,万一你(企业)这些数据有问题呢?”

企业要有国家安全思维

那企业该如何做到合规经营?

中国信息通信研究院互联网法律研究中心主任方禹向新京智库表示,企业首先要强化数据合规意识。《个人信息保护法》所构建的很多规则,在一定程度上是对企业进行“补课”,过去“重发展、轻保护”的经营思路需要做较大调整,而调整的起点就是个人信息保护意识的形成和强化。

“还要持续合规”,方禹说,个人信息保护本身具有动态性,合规也是一项持续性动作,企业确定个人信息保护总体框架后,需要结合技术发展、业务变化等持续开展合规工作,以符合个人信息保护的安全状态。

从技术操作层面而言,刘文印建议,企业需要优先梳理、盘点自己的数据资产。首先要知道自己都有什么(数据),才能有针对性地提出管理和合规的策略。同时,通过合规性检测来确定自身的问题点,然后再制定适当的、有效的治理手段和风险管理方式和目标计划,从而有效执行实现合规化。

“网络安全治理和风险管控每一个步骤都是为了减少安全威胁”,刘文印认为,企业经过有效的梳理后进行集中治理并定期不断循环升级,从而形成一种生态模式。网络安全的链条很长,主要涉及三个要素,即人员、流程和技术。因此,企业在培训和优化流程时,也需要在技术上提高,特别是着重提高可以优化、减少人员犯错流程的技术和能自动执行合规的技术。

对于金融机构而言,索信达的数据治理专家魏强向新京智库表示,需建立个人信息保护的制度体系,明确工作职责,规范工作流程,完善IT系统,设计并实施覆盖个人信息全生命周期的安全保护策略,需要从敏感个人金融信息的收集、传输、存储、使用、删除、销毁等处理的整个过程采取措施进行全生命周期的保护。“比如遵循明确和最小必要原则对个人信息收集进行规范;采用加密等安全措施传输和存储个人敏感信息,避免泄露等”。

王岩飞认为,做好新时代下的数据合规,企业还需树立两种思维。首先是树立国家安全思维,这对很多企业来说都是非常重要的,但是大部分企业都没有。因为平台企业采集的信息,不仅包括用户个人信息,还可能包括天气、地理等数据,只有树立了国家安全思维,才能在数据出境工作中不踩国家安全“红线”。

其次是树立刑事风险的思维。很多企业家可能都会想,如果可以赚10亿元,但只罚3000万元,那他就愿意去冒违法的风险。但是他们忽略了一个问题,就是《刑法》中有好几个涉及个人信息保护、数据安全的罪名。

有些违法行为可能就不只是罚钱了事,“我们去年接手的几起刑事案件,就是金融企业各板块的员工相互导数据,他们完全没有意识,认为这是合理的”,王岩飞说。

北京大学法学院教授薛军向新京智库表示,企业在遵守《个人信息保护法》,包括《数据安全法》的过程中,需要有一定的意识,即促进统一的执法标准的形成,比如一些指导性意见或行业准则的出台。这样才能使得大家在一个“水位线”上,在同等的、合规的标准上来展开竞争,这样才能真正促进行业的健康、良性发展。“特别是在个人信息保护的合规监管力度、标准的拿捏上,是不是能够实现一体的、统一的执法标准”。

方禹建议,从监管角度来说,行政指导就尤为重要。大多数国家和地区都组建了个人信息保护专门机构,其关键作用之一是对个人信息保护进行指导。行政指导的相对柔性,能够与法律的相对刚性实现有机结合,促进个人信息保护复杂性的解决。基于指导经验,将一些成熟的做法、普遍接受的做法固化为监管细则。

记者 | 肖隆平 查志远

编辑 | 查志远

校对 | 张彦君

随便看看
本类推荐
本类排行
热门标签

劳动者 交通事故 北京征地拆迁律师事务所前十名 用人单位 劳动合同 债务人 协议 自诉 土地 房屋 补偿费 案件 债务 打官司 离婚协议书 债权人 公司 找律师可靠吗 北京十大刑事律师事务所排名搜狐 刑事案件 合同 甲方 最低工资标准 交通 车祸 补助费 工资 律师办理建设工程法律业务操作指引二 债权 北京十大房产纠纷律师事务所排名 鉴定 伤残 程序 条件 北京房产纠纷最好的律师事务所 律师自己打官司是不是不用找律师 北京房产纠纷律师事务所排名前十名 拆迁人 期限 兵法