数据合规丨《数据安全法》快实施了,企业平台应当重视哪些数据合规问题?
编辑导读:随着科技和互联网的发展,越来越多的企业重视数据的作用,未来大数据的应用会越来越广。与此同时,数据带来的隐私泄露、杀熟等情况屡屡发生。《数据安全法》将于2021年9月1日起施行,将会给数据安全产业带来怎样的改变?本文作者对此进行了分析,与你分享。
《数据安全法》将于2021年9月1日起施行,这是我国第一部有关数据安全的专门法,该法律成为国家大数据战略中至关重要的法制基础,成为数据安全保障和数字经济发展领域的重要基石。
正如360集团创始人、董事长周鸿祎在第九届互联网安全大会上表示,大数据是核心,而《数据安全法》的推出则给很多人敲响警钟,让企业以及个人意识到大数据安全重要性。
2021年可以说是数据安全产业的元年。
一、互联网平台最近的应对动作有哪些?
1. 京东、淘宝“数据断供”了!
具体体现就是,京东、抖音、淘宝纷纷更新订单信息加密通知及系统升级改造方案,对生态链路的消费者敏感个人信息采取脱敏、加密措施,不再向商家、服务商提供明文的消费者敏感个人信息,这种突然的举动引起行业广泛关注。
“数据断供”带来什么影响呢?
- 头部企业掌握越来越多的精准数据,头部平台越来越大,话语权越来越大,影响数据的“互联互通”,形成垄断;
- 下游企业没有精准数据,就失去了很多业务可能和机会,也可能导致下游企业因为没有足够精准数据而不能科学决策;
- 从好的方面,更好地保护用户的个人信息,防止信息泄漏,让数据留存在安全的地方。
2. 神州数码发布自主研发的TDMP数据脱敏系统
神州数码集团自主研发推出的专业数据脱敏产品TDMP,为企业的数据隐私保护提供高安全性、高可用性、高稳定性、高效率的专业数据安全方案。
目前该产品已在包括平安集团、平安银行、平安人寿、陆金所、交通银行、安徽农信、吉林农信、湖南农信、宁波银行、众邦银行、中融信托、宏信证券等多个银行、保险、证券行业头部客户的实际应用场景中落地,为其数据安全持续保驾护航。
此外,近期,神州数码TDMP数据脱敏系统独家中标中国农业银行总行商用数据脱敏管理工具项目,这是该系统成功拓展的首个国有银行总行数据脱敏项目标杆案例。(作者:蔡淑敏 来源: 国际金融报)
……
其他类似的动态还有很多,不在此处一一列举。
二、中国数据法律制度与体系
数据是21世纪的石油和钻石。
所谓数据,“是指对客观事件进行记录并可以鉴别的符号,是对客观事物的性质、状态以及相互关系等进行记载的物理符号或这些物理符号的组合。它是可识别的、抽象的符号。”
日前,中纪委网站刊发的文章显示,当前大数据正在成为信息时代的核心战略资源,对国家治理能力、经济运行机制、社会生活方式产生深刻影响。与此同时,各项技术应用背后的数据安全风险也日益凸显。近年来,有关数据泄露、数据窃听、数据滥用等安全事件屡见不鲜,保护数据资产已引起各国高度重视。
梳理我国数据法律制度的历史如下:
1、2016年11月发布《网络安全法》
2、2017年5月《个人信息和重要数据出境安全评估办法(征求意见稿)》、国家标准《数据出境安全评估指南(征求意见稿)》
3、2017年12月发布《个人信息安全规范》(2019年修订)
4、2019年5月《数据安全管理办法(征求意见稿)》
5、2019年8月《儿童个人信息网络保护规定》
6、2020年5月出台《民法典》,人格权编专门规定个人信息和隐私权
7、2020年7月《数据安全法(草案)》(2021年4月发布二审稿)
8、2020年10月《个人信息保护法(草案)》(2021年4月发布二审稿)
9、2021年6月《数据安全法》
10、2021年8月《个人信息保护法》三审(通过?)
我国已形成以《网络安全法》《数据安全法》《个人信息保护法》为主体的数据治理体系,尤其是2020年4月,数据被国家认定为继土地、劳动力、资本、技术之后的“第五生产要素”,并在企业数字化转型中发挥重要作用。
三、数据合规体系建设的建议
1. 优化组织管理,构建数据标准体系
企业的数据治理不是数据部门或哪个部门的事情,而是整个组织从上到下的“大事”!
整个企业,尤其是从管理层到基层员工都要深谙数据的重要性和日常工作中遇到数据的处理原则,否则将会面临处罚。
杭州魔蝎大数据风控入刑第一案
魔蝎公司主要与各网络贷款公司、小型银行进行合作,为网络贷款公司、银行提供需要贷款的用户的个人信息及多维度信用数据,方式是魔蝎公司将其开发的前端插件嵌入上述网贷平台APP中,在网贷平台用户使用网贷平台的APP借款时,贷款用户需要在魔蝎公司提供的前端插件上,输入其通讯运营商、社保、公积金、淘宝、京东、学信网、征信中心等网站的账号、密码,经过贷款用户授权后,魔蝎公司的爬虫程序代替贷款用户登录上述网站,进入其个人账户,利用各类爬虫技术,爬取(复制)上述企、事业单位网站上贷款用户本人账户内的通话记录、社保、公积金等各类数据,并按与用户的约定提供给网贷平台用于判断用户的资信情况,并从网贷平台获取每笔0.1元至0.3元不等的费用。
最终法院认定是,构成侵犯公民个人信息,公司及责任人员均获刑,均判了缓刑,公司被判处罚金人民币三千万元,同时没收违法所得三千万元。
从该案例中就看出,数据相关的犯罪不仅相关责任人要担责,公司也要会承担刑事责任,特别是公司负责人在数据治理中的管理不当等失职行为。
2. 完善数据分级分类管理体系
数据本身具有一定的复杂性,数据可能是个人信息,也是企业的数据资产,同样也关乎到国家安全。
不同数据的重要性是不同的,比如有些信息不是个人信息,而是国家秘密、国家情报或是核心重要数据等,这些数据跟一般的个人信息处理原则就明显需要不一样。
我们的个人数据,比如网约车平台收集的我们个人信息、银行收集的存户个人信息、小区人脸识别收集的个人信息,这些信息在没有脱敏处理,符合相应规则的前提下是不能外传的,更不能提供给他人使用。
比如,中国建设银行一分行外包人员将客户个人信息倒卖给贷款公司,获利3.6万元后被“判三缓三”。
圆通快递公司的内鬼与外部犯罪分子相互勾结,向犯罪分子泄露用户个人信息数量超过40万条,不法获利120余万元。
另外,针对人脸识别数据的最新要求,详见之前发布的文章:
3. 强化科技赋能,加强安全管控
数据管控离不开技术,或者说互联网平台的治理是缺不了技术的深耕的。
这里面的技术主要如:算力、算法、存储、人工智能等多维度方法。
这里面尤其提一下:隐私计算。
隐私计算几乎是当下数据互联互通的唯一技术解,具有巨大的商业价值和应用前景。隐私计算是面向隐私信息全周期保护的技术,通过对明文数据的加密,可以实现数据的“可用不可见”。同时,隐私计算技术可以结合人工智能,利用加密参数训练和分析模型、充分挖掘数据价值。
随着《数据安全法》的出台,整个隐私计算行业不仅更加权责分明和规范,同样也迎来资源和市场需求的增长和机遇。
在安全管控方面,企业在跟数据打交道的时候,需要遵循“用户授权、最小够用、全程防护”的原则,利用各种技术力量,各岗位尤其是重点岗位的专业度和安全意识,并配合做好审计工作。
在《数据安全法》正式实施生效之际,我们应当加紧学习,我们在享受数据红利的同时,数据安全保护这根弦须臾不能放松。
参考资料:
1、蔡淑敏,《数据安全法》施行在即 神州数码发布自主研发TDMP数据脱敏系统,国际金融报,2021年08月12日;
2、中央纪委国家监委网站,新视野 | 大数据时代的信息安全,2021-08-03;
3、温泉、刘翌,《数据安全法》9月实施:隐私计算面临的机遇与挑战,零壹财经,2021年08月12日。
有关数据安全合规的内容今天就分享到这里,整个体系很复杂也很重要,我将会在后续文章中给你继续分享,尽请关注!
作者:唐树源老师,法学名师,经济师,职业讲师,专注网络法治和数据法律的研究和教学,给全国大型央企国企、政府部门等企事业单位授课百余场。公众号:唐老师发布
本文由 @唐树源老师丨网络数据 原创发布于人人都是产品经理,未经作者许可,禁止转载。
题图来自 Pexels ,基于CC0协议。
- 目前还没评论,等你发挥!