专家评论

由RSAC2020创新沙盒大赛冠军看中国数据隐私保护市场

编辑/作者:李木然 2020-03-10 我要评论

美国时间2月24日,在RSAC2020会议首日,有着全球网络安全风向标之称的RSAC 2020创新沙盒冠军授予美国初创企业Securiti.ai公司,该公司由于在隐私保护与合规领域的创新与进...

  美国时间2月24日,在RSAC2020会议首日,有着“全球网络安全风向标”之称的RSAC 2020创新沙盒冠军授予美国初创企业Securiti.ai公司,该公司由于“在隐私保护与合规领域的创新与进展”摘得桂冠,融资总额高达8100万美元,是十强名单中融资额最高的初创企业。Securiti.ai基于PrivacyOps的概念,完成了对欧盟GDPR、美国加州CCPA及巴西LGPD三项隐私合规法规的适配,核心能力体现在个人数据关联报告的生成、可视化管理跨国企业的个人数据以及发生数据泄露后及时通知受影响的数据主体等三方面。

  随着SECURITI.ai夺冠,数据隐私领域的市场关注度猛增。每年RSA沙盒大赛对于国内安全企业都有指向性的影响,对我国而言,无论从立法层面,还是从技术层面、社会反响层面,会对国内的数据隐私保护市场产生何种影响呢?

  一、国际上数据隐私保护属于强合规要求

  国际上与数据隐私保护有关的规范主要是欧盟通用数据保护条例(GDPR)、加州消费者隐私法(CCPA)、巴西通用数据保护法(LGPD)等强隐私法规。近年来数据泄露事件的报道时常见诸报道,2018年3月,剑桥分析公司被曝出通过“获得用户同意”的方式,造成8700万Facebook用户个人数据泄露,在美国引起震动。可以说,数据隐私安全的话题是近年来全球最炙手可热的热点之一。

  2018年5月,被称为“史上最严”的欧盟通用数据保护条例(GDPR)正式生效,GDPR包括11个章节、99项条款,强化了对公民隐私权的保护,明确了企业获取、修改、删除个人信息的权利,引入了严厉的惩罚机制,罚款最高可达2000万欧元或企业全球年营业额的4%。GDPR重点着眼于数据的敏感度(例如特殊类型、特殊人群、大规模数据等)、数据安全失控危险度(例如数据传输交互、跨境、大规模泄露),并关注员工数据、数据合理保存期限、加密货币的数据安全等问题,正在从发生事件的被动执法向预防型的主动执法转变。

  据GDPR一周年报告,2019年,31家监管机构处理案件超过20万起,采取了罚款、违规警告、开展审查、限期纠正、命令删除数据、限制传输等多项措施。例如,2019年1月,谷歌因在法国违反GDPR遭当局罚款5000万欧元;2019年7月,英国信息专员办公室(ICO)对英国航空公司 2018 年客户数据遭泄露事件开出 1.83 亿英镑巨额罚单,对万豪集团开出9920万英镑罚单(因其下属的喜达屋酒店3.39亿用户信息泄露事件)。截止2019年9月底,总共有82个机构或者个人受到了GDPR 的处罚。

  2018年6月,美国加利福尼亚州通过了消费者隐私保护法案(CCPA),并已于2020年1月1日起正式实施。CCPA被称为“精简版的GDPR”,对个人信息的定义更加广泛,强调个人对隐私的控制权,设定了较严格的处罚措施,赋予了消费者个人获得赔偿的权利。CCPA的主要条款如下。

  CCPA在一定程度上体现了美国建立个人信息保护统一标准的趋势。2019年2月,美国政府问责局(GAO)提交了一份关于互联网隐私保护的独立报告,建议美国国会制定美国首部联邦级互联网数据隐私立法,以加强对消费者的保护。2020年1月16日,美国国家标准与技术研究院(NIST)发布了《隐私框架V1.0-通过企业风险管理改善隐私的工具》,提出了隐私风险管理的思路,通过识别、治理、内控、交流、保护这5个隐私框架板块,管理数据处理中产生的隐私风险。2020年2月13日,在华盛顿举行隐私辩论会,纽约州参议员Kirsten Gillibrand提出制定《数据保护法》,并设立联邦数据保护局(DPA)。

  2018年8月14日,巴西总统米歇尔·特梅尔签署《通用数据保护法》(LGPD),并将于2020年2月15日正式生效。LGPD是一项综合性法律,制定了关于个人数据收集、使用、处理和存储的详细规则,适用于数字及物理环境中处理的所有个人数据,覆盖巴西所有的经营行业,影响全部私营及公共实体。随着LGPD的出台,巴西对个人数据保护的要求显著增强,可以预见,受管辖的企业需要为此投入大量的合规成本;印度也颁布了《2018个人数据保护法(草案)》,越来越多的国家正在提出对数据隐私的强监管要求。

  二、我国的数据隐私保护工作正在快速推进

  我国的数据隐私保护工作呈现快速推进的态势。2019年全国两会后,“加强大数据时代个人信息保护”成为全国政协重点系列提案之一。目前,我国关于个人信息保护的相关法规散见于《民法总则》、《网络安全法》、《电子商务法》和《消费者权益保护法》等相关立法文件中,据不完全统计,我国目前大概有40部法律、30余部法规,以及近200部规章和司法解释涉及个人信息保护,但是我国尚未出台一部专门的《个人信息保护法》。

  2019年1月,中央网信办、工信部、公安部、市场监管总局等四部委联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,决定2019年1月至12月开展App违法违规收集使用个人信息专项治理,并成立了App专项治理工作组。2019年3月,市场监管总局和中央网信办发布关于开展APP安全认证公告,鼓励App运营者自愿通过App安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的App。2019年12月30日,网信办网站发布“关于印发《App违法违规收集使用个人信息行为认定方法》的通知”。四部委发布的主要隐私保护专项治理公告、文件、标准规范如下。

  《GB/T 35273信息安全技术 个人信息安全规范》(简称《规范》)于2018年5月正式实施,并于2020年3月6日发布了新版。《规范》对个人信息收集,保存,使用,主体权利,委托处理、共享、转让、公开披露,事件处置,组织管理等7方面提出了要求,共42条、214项检测点。《规范》是进行APP安全认证的主要参考标准,APP安全认证的检查项也是基于《规范》制定的,要求针对每一项进行评估检查,给出详细的评估结果说明,并需提供相关证明材料。

  要求类要求子类要求项子项

  个人信息的收集5.1收集个人信息的合法性33

  5.2 收集个人信息的最小必要33

  5.3多项业务功能的自主选择66

  5.4收集个人信息时的授权同意57

  5.5 个人信息保护政策613

  5.6征得授权同意的例外1111

  个人信息的存储6.1个人信息保存时间最小化22

  6.2 去标识化处理11

  6.3 个人敏感信息的传输和存储35

  6.4个人信息控制者停止运营33

  个人信息的使用7.1个人信息访问控制措施55

  7.2个人信息的展示限制11

  7.3个人信息使用的目的限制22

  7.4 用户画像的使用限制35

  *7.5个性化展示的使用45

  *7.6基于不同业务目所收集的个人信息汇聚融合22

  7.7 信息系统自动决策机制的使用33

  个人信息主体的权利8.1 个人信息查询33

  8.2个人信息更正11

  8.3 个人信息删除33

  8.4个人信息主体撤回授权同意22

  8.5 个人信息主体注销账户66

  8.6 个人信息主体获取个人信息副本22

  8.7 响应个人信息主体的请求613

  8.8 投诉管理11

  个人信息的委托处理、共享、转让、公开披露9.1 委托处理611

  9.2个人信息共享、转让99

  9.3 收购、兼并、重组、破产时的个人信息转让33

  9.4个人信息公开披露77

  9.5共享、转让、公开披露个人信息时事先征得授权同意的例外77

  9.6共同个人信息控制者22

  *9.7第三方接入管理89

  *9.8个人信息跨境传输11

  个人信息安全事件处置10.1个人信息安全事件应急处置和报告47

  10.2安全事件告知26

  组织的个人信息安全管理要求11.1 明确责任部门与人员516

  11.2 个人信息安全工程11

  11.3 个人信息处理活动记录33

  11.4 开展个人信息安全影响评估611

  11.5 数据安全能力11

  11.6人员管理与培训66

  11.7 安全审计66

  小计 164 214

  《App违法违规收集使用个人信息行为认定方法》(简称《认定办法》)提出了6方面、31项违法违规收集使用个人信息的情形,于2019年5月份发布征求意见稿、11月28日形成正式稿、12月30日正式印发,明确了App违法违规收集使用个人信息的检测操作规则,为App运营者自查自纠提供了指引、也为App的检查评估和处置通报提供了参考。

  目前正在制定的数据隐私保护相关标准还包括:《互联网信息服务安全通用要求》,规定了具有开放性、交互性、动员力等特征的互联网信息服务,从信息的生成、处理、发布、传播、存储、销毁等角度,应满足的安全要求,并划分了安全等级;《移动互联网应用程序(App)收集个人信息基本规范》,提出了App收集个人信息的基本要求,规定了地图导航、网络约车、即时通讯、网络社区等30种常用服务类型APP可收集的最小必要信息;《个人信息告知同意指南》,对网络环境中个人信息处理告知的内容、结构及征得个人信息主体同意收集、使用、对外提供个人信息的方式提出要求,明确了告知同意或的适用情形、基本原则、同意的模式选择等方面的内容;以及《数据安全管理办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》等多项标准和要求。

  此外,金融等多个行业也在加大对行业隐私数据的治理工作。2019年10月,央行向部分银行下发了《个人金融信息(数据)保护试行办法》初稿,待征求意见结束后将正式对外发布,《办法》加大了对违规采集、使用个人征信信息的惩处力度,将提高对个人金融信息的有效监管,强化个人金融信息保护主管部门的监管职能,明确对金融机构进行个人金融信息的监管标准。2020年2月13日,央行发布《个人金融信息保护技术规范》(JR/T 0171—2020),将个人金融信息由高到低分为C3、C2、C1三个类别,C3主要为各类账户密码,C2主要为账户、身份证信息、短信口令、KYC信息、住址等,C1主要为开户时间、支付标记信息等,规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期各环节的安全防护要求,尤其在信息收集方面,要求“不应委托或授权无金融业相关资质的机构收集C3、C2类别信息”,明确要求无资质的机构不得收集KYC等信息,直指非持牌机构对个人金融信息的收集行为。

  三、监管机构治理数据隐私侵权行为动作频频

  国内的个人隐私泄露事件近年来一直层出不穷。在近期新冠肺炎疫情联防联控中,出于疫情防控的需要,很多地区对于存在武汉旅游、居住和接触史的人员进行了排查和信息统计。这本无可厚非,但有些地区在信息收集后,却没有做好保密工作,导致人员名单在社交平台被大肆传播,个别被公开信息的人员还收到了陌生人电话、微信等方式的骚扰,造成隐私泄露。中消协在2018年8月发布的《APP个人信息泄露情况调查报告》显示,多款APP涉嫌过度收集个人信息,85.2%的人遇到过个人信息泄露情况。另据统计,针对39款常见网购、旅游、生活类常用手机APP分析发现,超6成APP申请了过多敏感权限,造成敏感信息泄露。

  监管机构对个人信息保护领域的执法动作频频,多批次通报违规收集个人隐私数据的APP,未按要求完成整改的APP将被依法下架。2019年“3·15”晚会曝光手机APP泄露个人隐私信息,导致诈骗或骚扰电话频发,3月16日工信部要求严厉查处“3·15”晚会曝光的信息通信领域违规行为,并要求同类APP进行检测,对类似问题予以整改;2019年5月,网信办公布了百款常用App申请收集个人信息权限情况;公安部组织开展“净网2019”专项行动,至2019年12月已依法查处违法违规采集个人信息的APP共683款;工信部在侵害用户权益专项整治行动中先后测试了两批APP,通报了存在问题的56款APP并要求限期整改。2019年监管机构针对个人信息违规行为的部分通报情况如下。

  国家主管部门越来越重视数据隐私安全,监管机构对个人信息保护领域的执法态度坚决,力度不断加大,后续的检查会越来越严格、通报力度会越来越大。数据隐私保护相关的法律也已走上快车道,2018年9月7日,在十三届全国人大常委会公布的立法规划中,《数据安全法》位于第一类项目,属于条件比较成熟、任期内拟提请审议的法律草案;2019年3月4日,十三届全国人大二次会议新闻发布会发言人表示,全国人大常委会已将制定《个人信息保护法》列入本届立法规划,相关部门正在抓紧研究和起草,争取早日出台。《数据安全法》和《个人信息保护法》出台后,将从法律层面进一步强化对数据隐私保护的要求。

  四、企业应尽快落地数据隐私保护相关工作

  从数据隐私保护的市场端容量看,据信通院发布的《移动应用(App)数据安全与个人信息保护白皮书(2019)》统计,2019年App已超越网站成为提供互联网服务的主角,我国本土市场上的App在架数量已超过500万款,首次超越了网站数量,传统桌面互联网应用服务向移动互联网全面迁移,App已实现生活场景全覆盖,形成了围绕个人需求的完整消费闭环。

  纵观本次RSAC2020会议上Securiti.ai公司获得创新沙盒冠军,得益于其从技术产品层面落实了GDPR、CCPA、LGPD三大国际数据隐私合规要求。获得投资机构青睐的数据隐私安全公司并非只有Securiti.ai一家,2019年多家数据隐私安全公司获得融资,包括:大数据隐私保护服务商Privitar于6月份获4000万美元B轮融资;GDPR合规解决方案公司OneTrust于7月份获得2亿美元的A轮融资;TrustArc于7月份获7000万美元D系列增长投资;Ethyca于7月份融资420万美元,帮助企业以简化GDPR合规性,等等。国内外数据隐私保护市场正处于厚积勃发的时期。

  综合考虑国内2019年出台的一系列数据隐私保护文件和标准、监管机构频频通报所体现出的决心、以及《数据安全法》和《个人信息保护法》的呼之欲出,一旦企事业单位出现重大数据涉密事件,或由于数据隐私问题被通报、被约谈、APP被下架、甚至带来违法违规的后果,相关责任人将被问责,相关业务也将遭受难以承受的损失。2019年曾出现因违反数据隐私要求导致IPO上市被否的例子,发审委提出的问题中就包含 “通过自主收集及第三方途径获取用户数据及标签,并利用数据进行商业化变现”。

  可以说,各行各业对数据隐私的保护需求已经变得日益急迫。以奇安信在2020年春节后推出的App隐私免费检测公益活动为例,短短两周时间,共收到来自121个单位的App隐私保护免费检测需求,申请单位包括了与疫情防疫有关的单位,以及来自银行、证券、保险、互联网、央企等各大行业的检测需求。针对部分检测结果的统计发现,不完全符合《App违法违规收集使用个人信息行为认定办法》六方面要求的占比,分别高达42.98%、91%、82.11%、78%、60%、88.6%,统计样本中每个APP的不合规点平均为11个,不合规现象比较普遍。

  涉及到数据隐私相关的企业,应尽快落实数据隐私保护的相关工作,符合强监管要求,同时加强自身业务应用系统的安全性。建议重点从以下几方面开展相关工作:

  一是企业在开展数据隐私安全合规的自评估工作过程中,首先应清楚了解相关监管政策的要求,其次应具备较强的技术核查能力,并续与多个监管机构进行良好的沟通协调。数据隐私相关的标准内容比较复杂、需评估的检查项多,且涉及技术和法律的交叉领域。所有这些都让数据隐私安全工作的落地面临不小的挑战。应坚定决心,利用短暂的窗口期尽快开展数据隐私保护工作,避免出现数据泄露违规事件、避免被通报。

  二是数据隐私保护除了满足相关合规要求之外,还应关注相关应用系统的漏洞问题。据统计,约 70% 的 APP 都存在高危漏洞,应重视对应用系统安全漏洞的检测,对客户端程序、组件、安全策略、敏感数据、客户端运行环境、业务逻辑安全、中间件安全、Web服务器端进行安全检测,发移动应用系统中存在的漏洞,切实提高应用系统自身的安全性。

  三是将隐私保护工作前移,从移动应用的全生命周期考虑数据隐私保护要求。从移动应用的设计、开发环节即纳入对隐私保护的要求,并明确数据保护的相关责任主体,提前做好设计,才能避免被动应对,避免被通报后却无法及时进行整改。移动应用商店也应加强在APP上架前的数据安全审核与管理。

  四是重视数据隐私保护中的相关法律风险,尤其是合规所需的隐私政策、用户协议、数据共享及第三方授权协议等内容。切莫把数据隐私的管理要求、技术指标、法律风险三者割裂开来,只有综合考虑这些因素,才有可能形成完整的数据隐私保护闭环方案。

文章来源:移动安全网

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。4、对于网友投稿的文章请仔细核对其真实性,如遇要求汇款转账情况,请格外谨慎。

相关文章
  • 郑建华:加密是网络安全核心问题,可抵御全球

    郑建华:加密是网络安全核心问题,可抵御全球

  • 奇安信董事长齐向东:用内生安全框架实现关基

    奇安信董事长齐向东:用内生安全框架实现关基

  • 谈剑烽:我国网络安全投入偏低 安全投入占比应

    谈剑烽:我国网络安全投入偏低 安全投入占比应

  • 奇安信董事长齐向东:网络安全市场规模10年将增

    奇安信董事长齐向东:网络安全市场规模10年将增