周一刚发布《发生数据泄露后,什么情况下可以免予处罚》,周五就看到了北京网信办针对快手平台的1.19亿的罚单。
上篇文章的主要内容是:发生数据泄露后,企业如果证明自己已经尽到安全保护义务,是有可能不被重罚的。
而这次快手的处罚,恰好从反面印证了这一点。不同的是,起因不是数据泄露,而是平台出现大规模低俗色情直播内容,原因是被黑。而为什么被黑?并且被黑了之后的应对是监管认定其应该受到处罚的主要原因。
很多做安全、做合规的人看到这类新闻,会有这样的问题:
再大的平台也会出事。
再多的投入也不可能做到零风险。
那是不是只要出了事,就一定会被罚?
如果答案是肯定的,那整个网络安全以及合规体系看起来就像一场注定失败的游戏,这工作还有什么意义呢?
从技术角度看,这次快手事件并不罕见。公开信息显示,平台在短时间内遭遇了大规模“黑灰产”攻击,大量账号被控制,通过自动化手段集中发布违规内容,导致审核体系在短时间内失效。一些直播间的观看人数甚至接近十万,平台最终不得不紧急关闭直播频道。
安全专家也提到,这类攻击已经进入“自动化攻击”阶段,而不少平台的防御体系仍然停留在偏人工、偏规则的模式,一旦遭遇饱和式攻击,就容易出现系统性失效。暂且不论虚实,从攻防角度讲,这更像是一场技术对抗中的失衡,而不是平台主动放任违规内容。任何大型平台,只要有开放的用户生成内容,都不可能完全避免类似事件。换句话说,事故本身,并不等同于主观违法。
那为什么还是会被罚到1.19 亿?仔细看监管通报,用词其实非常克制,也非常典型:
未履行网络安全保护义务
未及时处置系统漏洞等安全风险
未对违法信息立即采取停止传输、消除等措施
这里的重点,不是“你被攻击了”,而是“你本来应该具备的能力,没有做到位”。监管很少因为“平台被黑”本身处罚企业。上次迪奥被上海网信办处罚,除了数据跨境合规问题,说的也是未对收集的个人信息采取加密、去标识化等安全技术措施。如果采取数据加密,即使发生数据泄露,那还有余地而言。
其实监管逻辑一致是基于风险的,等级保护——不同类型的系统应该有不同程度的防护。监管也知道安全风险总是存在,监管真正关心的,从来不是“你有没有出事”,而是:你有没有建立一套合理的系统,让事故不至于演变成灾难?
对比一下两种公司:
一种公司,是典型的“平时看起来一切正常”:
安全制度写在文件里
漏洞修复依赖临时工单
日志留不全
应急预案没人演练
合规团队和技术团队几乎没有交集
只要系统不出事,一切都显得井然有序。但一旦攻击真正到来,整个体系会像多米诺骨牌一样连续倒下。
另一种公司,可能同样会被攻击,也同样可能出现事故:
有持续的漏洞管理机制
有监测系统和异常告警
有明确的应急响应流程
有日志、有取证能力
能证明自己已经采取了合理措施
这类公司也可能出事,但在监管眼中,性质完全不同。两种状态,对应的执法态度,往往也截然不同。
所以,回到那个最初的问题:
最好别出事,出事就一定会被处罚吗?现实的答案可能更复杂一些。但基本原则还是有的:
是的,企业最好不要出事。但在复杂系统中,“零事故”从来都不是一个现实目标。真正有意义的问题是:如果一定会出事,你的系统能不能证明,这不是一场早就注定的失控?当企业能够证明:
风险是被持续管理的
漏洞是被及时修复的
异常是被监测到的
应急是被启动的
损害是被控制住的
监管看到的,就不再只是“事故”,而是一套仍然在运作的安全体系。
立法和执法从来不应该强人所难。
从职业角度来看,这意味着合规工作的价值,恰恰体现在“即使出事,也不至于被一刀切”。你不是在帮公司“避免一切风险”,而是在帮公司:
把风险控制在一个监管可接受的范围内
把事故从“系统性失控”变成“可解释的个别事件”
把可能的重罚,变成整改或轻罚
声明:本文来自数据合规与治理,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
