在大数据时代背景下,AI和大数据技术给我们的生活带来了巨大的便利和效率;然而在此过程中,数据滥用、数据窃取、隐私泄露以及“大数据杀熟”等数据安全问题呈徒增和爆发趋势。

在这样背景下,全球各个国家纷纷颁布相关法规,对数据安全与隐私保护相关问题进行严格的规范与引导。如欧盟保护个人数据的《General Data Protection Regulation》 (简称 《GDPR》);美国的 《California Consumer Privacy Act》(简称 《CCPA》);中国实施的《中华人民共和国网络安全法》(通常简称《网安法》)。

法规作为数据安全治理和建设的顶层指导,研究这些法规,一方面有助于更好地理解安全场景与需求,进而有利于将安全技术实际的落地与应用;另一方面提前研究,通过积极开展数据安全治理与防护,可以提前规避企业由于数据不合规带来的法律风险和处罚。如最近一年中有两个典型的案例:Google旗下的子公司Alphabet,在欧洲因个人数据的处理违反欧盟GDPR法规,被罚5000万欧元;Facebook泄露门事件——8700万用户信息泄露,面临美国50亿美元的天价罚单(相当于公司一年利润收入的20%多)。这两个事件足以说明数据安全建设对于一个企业来说,多么重要且迫切。

数据安全问题广受社会各界关注:包括学术界,研究隐私保护的数据发布/挖掘等关键技术一直是近年来的热点方向;工业界上,寻找具体的可落地的数据安全解决方案是企业重要的战略方向。笔者也是该领域从业者的其中一员,通过分析和研究各种企业应用场景与需求,认为现阶段的数据安全问题不完全等同于传统以”加密“为手段的数据安全问题,应结合当下大数据环境下/背景下进行分析和讨论:大数据背景下数据安全与数据利用不可割裂,数据的最终目标是应该是更安全地使用和开发。

因此可将该主题称为“大数据时代下的数据安全”。笔者将该主题分成三篇文章分别进行介绍:法律法规篇、技术场景篇、实践体系篇,本文是这个系列中的第一篇:法律法规篇。未来的几天,我们将陆续发表其他两篇(若读者想提前阅读,可点击下方的阅读原文,即可链接到绿盟博客的《大数据时代下的数据安全》完整版本)。除整理和介绍外,笔者了一些不成熟的思考和解读,希望能起到抛砖引玉的作用,与各位专家或数据安全爱好者共同探讨与分享有趣的话题。

一、国外相关法规

研究国外法规,可以对比且了解全球立法和执行趋势。另一方面,国外的法规对国内的企业在该外国境内的数据处理以及数据的跨境传输,同样有法律影响和效力。本文以欧盟的《通用数据保护条例》和美国的《加州隐私保护法》的法律框架为例,给出几个点的简单分析与介绍。

1.欧盟《通用数据保护条例》

欧盟于2018年5月25日正式实施了《通用数据保护条例》 (《General Data Protection Regulation》,简称《GDPR》)[1],是一项保护欧盟公民个人隐私和数据的法律,其适用范围包括欧盟成员国境内企业的个人数据、也包括欧盟境外企业处理欧盟公民的个人数据。

图1 欧盟个人数据保护法规《GDPR》

《GDPR》由11章99个条款组成,是一项的“大而全”的个人数据保护框架,因此非常值得深入研究。由于篇幅所限,这里仅列3点进行分析:

① “个人数据”的定义?

GDPR:第四条,“个人数据”是关于一个已识别或者可能识别的自然人(即数据主体)的任何信息。一个可能识别的自然人是能够直接或间接识别的人,尤其是借助标识符例如该自然人的姓名、身份证号码、位置数据、在线标识符,或者自然人的一个或多个特定因素的组合,比如物理、心理、遗传、精神、经济、文化属性或社会身份等。

解读:“个人数据”是隐私保护相关法律重要基础。GDPR采用宽泛的“个人数据”定义,尽可能包含所有可能的、与自然人相关的“个人数据”,这些数据都受到GDPR的监管和保护。

详细地说,其定义的“个人数据”包括两类:一类是“已识别”,比如包括“详细住址”和“姓名”的信息是可以唯一识别(或者定位)到具体的“自然人”;另一类是“可能识别”,在GDPR的前言26段进一步解释说,“可能识别”是在合理和可能的条件下(比如成本和时间)进行。它包括两个子类别:一个标识符,典型的是身份证号、手机号等,它并不能直接识别到“自然人”,但若可以掌握额外的数据库、比如身份证/手机号映射“详细住址”和“姓名”,它是可能被识别的。另一个是“自然人”其他碎片化属性的组合(一个或者多个以上),比如性别、邮编、身高、体重、从事职业,这些属性的数据可以经过各种组合,如在某一个班级场景中,性别和身高有可能识别到唯一的“自然人”。

这个定义表明GDPR保护的数据主体范围非常之广泛和庞大,不但包括容易枚举的个人数据,姓名、身份证号、地址等。也包括一些模糊拓展的边界,例如网络的属性cookie,IP地址码, Mac地址码,以及生物识别数据,指纹、虹膜等这些某些特殊的场景下,仍然可能关联或者定位到唯一的“自然人”[2]。

这个场景让人联想到一些企业正在使用的“大数据画像/千人千面技术”。采集用户静态属性(如年龄和性别)和行为信息(比如浏览、点击和收藏等),当收集的用户信息(特征)足够多,足以将这个人唯一“区分”出来。那么这些静态或者动态将成为个人数据,理应是GDPR监管的范畴。宽泛的定义,可以最大限度保护好“自然人”的隐私,规避一些“擦边球”的场景。但企业如何识别在复杂的业务环境中去识别这些数据、如何更好地处理和保护这些数据。这些无疑给企业的合规策略、流程、以及技术的实施带来巨大的挑战,同时意味着在企业需要在数据安全建设上投入更多的经费和支持。

② 用户如何行使GDPR赋予的“被遗忘权”?

GDPR: GDPR赋予了用户(数据主体)知情权、访问权、修正权、删除权(被遗忘权)、限制处理权(反对权)、可携带权、拒绝权等7项基本权利,其中删除权是一项引人注目的用户“特权”之一。即在第十七条中,在个人数据已不再是数据控制者和处理者的收集和处理目的等6种情况下,赋予了用户删除权。

解读:官网提供有两个有趣的例子[3]。

Example 1:假如你加入了一个社交网站,但过了一段时间,你决定要离开这个社交网站。那么你可以行使“被遗忘权”,即要求公司删除属于你的个人数据。

Example 2:当你用你的名字使用搜索引擎搜索时,出现一个很久以前,与你有关的的债务偿还协议,但现在已无关紧要。对于一个普通人,他有权利要求删除这些网络信息。用户除了以上的权利,数据主体还拥有知情权、访问权、修正权、限制处理权(反对权)、可携带权、拒绝权等基本权利。但笔者认为,“被遗忘权”是GDPR赋予用户非常大的一项权利。我们每个人平均一年要注册10多个网站/APP,但很多网站/APP是低频访问或者后续一直不用的状态。但用户的个人数据却被互联网公司收集和存储和处理,用户感觉到“个人数据扩散不可控”。如实说,笔者对一些公司网站的“注册”有种恐惧感,例如个人数据被贩卖第三方从而收到骚扰电话或广告邮件的轰炸、另外一些“小网站”被黑客攻击造成数据泄露的概率也更高。若这些网站/APP提供一键删除注册信息的功能(举例好像题跑偏了,那就假如我国后续的立法也赋予了用户类似的权利),作为用户,肯定乐于行使该项权利。

图2产品功能的畅想:一键删除低频访问的APP/网站的“注册信息”

③ GDPR如何惩罚违规的企业?

GDPR: 第83条给出犯规罚款的最高值。即可被处以最高2亿欧元的行政罚款,或对企业以最高占上一财政年度全球总营业额4%的行政罚款,取两者最高值。

解读:这是欧盟境内企业或者与欧盟的数据相关的境外企业最关心的。GDPR给的惩罚力度相比其他国家、地区非常严厉。从2018年5月执行的一年以来,GDPR开出多个罚单。其中,Google处罚5000万是最大一张罚单。预测在不久将来,欧盟各个国家将开出更多的罚单。这条法规是迫使相关企业投入更多资金,部署数据安全产品,马上行动,进行数据安全治理与建设直接源动力。

2.美国《加州消费者隐私法》

美国已有多个州先在数据安全与隐私保护进行了立法,其中最著名的要数2018年6月加州通过《加州消费者隐私法案》( 《California Consumer Privacy Act》, 简称《CCPA》)[4]。该法案被称为美国“最严厉和最全面的个人隐私保护法案”,将于2020年1月1日生效。

① “个人信息”的定义?

CCPA:“个人信息”系指直接或间接地识别、关系到、描述、能够相关联或可合理地连结到特定消费者或家庭的信息。

解读:CCPA称为“个人信息”,其实和“个人数据”是同一个概念。受GDPR的影响,CCPA同样采用了类似宽泛的定义。根据定义,罗列了出11种个人信息类别,包括姓名、驾照等信息,也有互联网IP标识符、标识符。有特点的是,把反映消费者偏好、特征、心理倾向、偏好、倾向、行为、态度、智力、能力和资质的画像也列入了个人信息范畴。比GDPR更加广泛的“个人信息”范畴给企业个人敏感数据的梳理、治理带来了巨大的工作量和挑战。

② 用户如何行使CCPA赋予的“访问权”?

CCPA: 在CCPA的1798.100中,企业从可验证消费者处收到要求访问个人信息的请求后,应立即采取措施向消费者免费披露和提供本节所要求的个人信息。个人信息的提供可通过信件或电子方式,如果以电子方式提供,信息应以便携方式提供并且在技术可行限度内采用易于使用的形式。

解读:CCPA也赋予了消费者知情权、访问权、删除权、限制处理权和拒绝权等权利。CCPA访问权的特色在于回复的“及时性”、反馈的“便携式”——邮件发送等形式,这比GDPR赋予的“访问权”更加具体。当用户需要查看或确认采集信息,无疑这条法规提供了极大的便利。但反过来说,给企业造成了一定负担。

③ CCPA如何惩罚违规的企业?

CCPA: 在1798.155中,对于法规企业,每次违规行为可能要承担高达7,500美元的民事罚款。另外在1798.145中,对于违规企业,为每个消费者每次事件赔偿不少于100美元且不超过750美元的赔偿金,以数额较大者为准。

解读:罚款最有特色的地方,考虑到消费者的损失且量化为影响的消费者数量,将赔偿每一个消费者100-750元的赔偿金,这与GDPR的罚款机制不同。若一个企业违规涉及的消费者信息有100w条,那么它至少要承担1亿美元的罚款。

二、国内相关法规

我国在数据安全与个人信息上目前涉及的法规有《中华人民共和国刑法》(以下简称《刑法》)、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《若干问题的解释》)、《中华人民共和国网络安全法》、《电信和互联网用户个人信息保护规定》。下面以《中华人民共和国网络安全法》和处在征求意见稿阶段的《数据安全管理办法》为例,进行简要的分析和介绍。

1.《中华人民共和国网络安全法》

我国于2017年6月1日正式实施《中华人民共和国网络安全法》(通常简称《网安法》)[5]。《网安法》是我国首部全面规范网络空间安全管理方面问题的基础性法律,包含的内容十分丰富,一共包括7章79条,包含网络运行安全、关键信息基础设施的运行安全、网络信息安全等内容。值得关注的是,《网安法》在数据(包括个人信息)安全与保护上也有诸多规定,例如第四十至四十五条。

① 数据安全与数据利用技术发展的关系?

原文:第十八条,国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放,推动技术创新和经济社会发展。

解读:这条法规表明我国对数据持开放和发展态度,并没有一味强调数据安全保护,而是强调数据最终目的是利用与开放,同步发展数据安全保护与利用技术,有利于社技术创新和社会发展。

②“个人信息”的定义?

原文:是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

解读:以“识别”为核心,包括直接识别的如身份证号、姓名等,间接识别,如性别属性,由于结合出生年月、地址识别的个人身份,因此也是个人信息。相比GDPR和CCPA来说,我国罗列的个人信息范畴不大,并不包括由个人关联的信息,比如用户的行为/习惯、购买的IoT设备等识别性不高的信息,这对于国内企业治理是一件好事,缩小了“个人信息”的范围,降低敏感信息分类分级的成本。

然而,在颁布的《信息安全技术个人信息安全规范》推荐标准中,重新拓展了个人信息的范畴,给出个人信息判定,不仅包括“识别”,还包括“关联”,从个人到信息。这条规定饱受一定的争议,因为“自然人”每时每刻都在生产各种各样的“个人信息”,比如在公共电脑或设备上操作留下的日志,某一个人在纸上写了一个字,这些都成为了个人信息。若按照推荐标准,对个人信息/敏感数据进行梳理和分类,那么无疑让企业将陷入“无穷无尽”的困境。建议同时也期待后续的《数据安全管理办法》、《个人信息保护法》以及出台的相关标准,对“个人信息”定义作进一步清晰和明确的界定,便于企业落地实施与合规。

③“个人信息”开放/共享的出路在哪?

原文:第四十二条规定,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

解读:数据的价值在于流动,在于再次利用与挖掘。这对于“以人为本”的个人信息同样适用,“个人信息”大数据最终目标应该是造福人类、服务社会。但未经过处理的“个人信息”,在数据共享和开放过程中风险不容忽视,被不法分子利用,如通过精确的个人信息进行高级的电信诈骗,造成“徐玉玉案”的悲剧。因此,共享前,进行特殊处理与风险评估,显得十分必要。假如一批个人信息经过处理,已经“无法识别特定个人且不能复原”,那么即使公开,大家也只能获得一些统计和分析信息,无法得到定向到“自然人”,那么该记录里面的实际关联的“自然人”,自然受到利益损失或者威胁。为了达到这个处理的目的,研究和开发相应的技术是必要的。

2.《数据安全管理办法》(征求意见稿)

2019年5月28日国家互联网信息办公室发布《数据安全管理办法》(征求意见稿)[6]。在《网安法》的指导下,该法规对数据安全作进一步做了详细的规定和约束。(由于处于征求意见稿阶段,因此不作深入解读)。它明法规的管理范围是中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动(第二条),数据安全分为个人信息和重要数据安全(第一条)。

征求意见稿中包括数据收集、数据处理使用和数据安全监督管理等内容。数据处理内容中值得关注的是,第二十三条,网络运营者利用用户数据和算法推送新闻信息、商业广告等(以下简称“定向推送”),应当以明显方式标明“定推”字样,为用户提供停止接收定向推送信息的功能;用户选择停止接收定向推送信息时,应当停止推送,并删除已经收集的设备识别码等用户数据和个人信息。这条对当前火热的用户画像技术对这一行为进行了严格的约束,提升了用户的体验和个人数据的安全。

三、小结

在大数据时代,数据安全与隐私问题显得越来越严峻。为了应对挑战,全球掀起了数据安全与个人信息的立法热潮。欧盟的 “大而全”且十分严格的《GDPR》作为一个风向标,或多或少影响了其他国家的立法,特别是美国加州的《CCPA》。国外的法规,特别是处罚力度之大,迫使企业尽快进行数据治理与建设,另一方面也很好地保护了用户的切身利益。我国已经颁发的《网安法》虽然没有给出违反“个人信息”规定的企业相应量化处罚与罚款措施,但在《刑法》和《若干问题解释》有相关规定,如出售个人信息50条可入罪等量刑场景。随着后续一些法规的颁布和实行,如《数据安全管理办法》、《个人信息保护法》以及一些行业法规,以及一些配套的标准的实现,如《个人信息去标识化指南》、《个人信息安全影响评估指南》等等,未来几年中,我国数据安全相关法规-标准建设将趋于体系化和成熟。相应地,法规的处罚机制也将更加清晰与明朗。

图3 国内数据安全相关法规-标准体系

实际上,数据安全相关的立法并不是完全限制住大数据产业的利用与开发;相反,它可以引导大数据相关产业朝向健康、安全且持久的正确方向发展。在各个国家法规中,都可以或多或少找到一些数据利用和开发的出口,包括我国《网安法》同样给出了相应的灵活解释。

为了达到出路,目前存在以下几类可能的关键技术,包括数据脱敏、匿名化、差分隐私和同态加密。因此可将该主题称为“大数据时代下的数据安全”。笔者将该主题分成三篇文章分别进行介绍:法律法规篇、技术场景篇、实践体系篇,本文是这个系列中的第一篇:法律法规篇。除整理和介绍外,笔者了一些不成熟的思考和解读,希望能起到抛砖引玉的作用,与各位专家或数据安全爱好者共同探讨与分享有趣的话题。

参考资料:

[1]《General Data Protection Regulation》, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv: OJ.L_.2016.119.01.0001.01.ENG&toc=OJ:L:2016:119:TOC

[2].https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_en

[3].https://ec.europa.eu/info/law/law-topic/data-protection/reform/rights-citizens/my-rights/can-i-ask-company-delete-my-personal-data_en

[4].《California Consumer Privacy Act》, https://cal-privacy.com/

[5].《中华人民共和国网络安全法》http://xxzx.mca.gov.cn/article/wlaqf2017/wjjd/201705/20170500891068.shtml

[6].《数据安全管理办法》(征求意见稿)http://www.moj.gov.cn/news/content/2019-05/28/zlk_235861.html

声明:本文来自绿盟科技研究通讯,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。