智能安防

欧盟新规,带头对数据滥用说“不”

CPS中安网 2022-05-31

摘要 互联网似乎一改“开放、分享”的初衷,因为逐利和竞争而变得封闭、垄断。个人信息于隐私应该得到更大力度的保护。

    【CPS中安网 cps.com.cn】 科技从来都是一把“双刃剑”,坚持“技术向善”应当是数字时代科技企业所追求的价值观念。

然而现状却是,智能手机的应用程序只能通过移动操作系统自带的APP市场安装;刚在浏览器搜过任何品牌或关键词,搜索引擎就会在后续页面上展示相关广告信息。

现在的互联网似乎一改“开放、分享”的初衷,因为逐利和竞争而变得封闭、垄断。除了利用个人信息、兴趣进行精准推送、服务改良,企业对于个人信息和隐私的利用正在变得没有边界。

日前,一则关于企业通过软件对有离职倾向的员工进行分析的新闻震惊公众。

网传信息显示,涉事企业通过一套名为“行为感知系统”的软件来查看员工详细的离职倾向行为:包括某鞠姓员工访问求职网站23次,投递简历9次等上网行为,及含关键词的聊天记录254条。这让该套行为感知系统开发和提供方——深信服被推至了舆论聚光灯下。

图片

图片来源:深信服官网

01.构成侵权,但无监管

针对此类事件,网络上有网络安全行业从业者介绍,企业运用此类“上网行为管理”软件,是担心企业数据外泄,用以震慑员工。同时也直言,此类软件会侵犯到员工个人隐私。

有律师表示,用人单位出于管理目的,在员工知情的情况下,可以有限度地使用该种管理软件,若侵入员工的私人领域,则属于侵权行为。离职倾向分析可能涉嫌侵犯了员工的两项权利:隐私权和个人信息权。

员工的求职意向在职业场景中属于员工不愿外部所知悉的私密信息,根据民法典的规定宜根据隐私权进行保护。

同类性质的事件其实已经屡见不鲜,大众对信息泄露已经越来越愤慨和不安。

企业针对隐私信息的应用是否应当受到监管?而在此类技术已广泛应用的现状下,又应当如何规范技术的使用?

02.欧盟新规《数字市场法案》出台

在隐私保护方面,欧盟一直走在国际前列,此前就出台了高处罚力度的GDPR(《通用数据保护条例》),并且监管力度还在进一步加强。

近日,欧洲议会、欧洲理事会和欧盟委员会就《数字市场法案》(DMA)达成一致,旨在限制谷歌、苹果、亚马逊、脸书等科技巨头。

该项法案适用于市值超过650亿欧元(715亿美元)的公司,并将首次针对大型互联网平台在欧洲市场的竞争模式做出详细规定。

例如,迫使谷歌允许用户在新的智能手机上选择其它电子邮件提供商,迫使苹果向其他服务开放App Store等。

《数字市场法案》意在针对对谷歌、苹果、Facebook、亚马逊和微软等互联网和软硬件巨头过去20年建立起的庞大数字帝国进行制约。

同时法案立法者也希望通过这部法案撬开被科技巨头把持的市场,让本地竞争对手也有发展的机会。

此外,监管者的权限也会因此扩大——将拥有更广泛的调查权,最多可以对违规企业处以全球营业额10%的罚款,甚至可以迫使反复违规的企业分拆。

目前,微软已放宽其云计算服务的商业条款,以平息竞争对手的投诉并避免欧盟的反垄断调查。

03.互联网时代下半场的机遇和挑战

目前我国也正在逐步加强隐私保护和个人信息处理合法合规的监管力度,加速相关法律法规出台。

2021年9月1日我国正式施行《中华人民共和国数据安全法》,2021年11月1日起正式施行《中华人民共和国个人信息保护法》;“数安法”和“个保法”生效实施后,国家网信办还发布了《网络数据安全管理条例(征求意见稿)》,在罚款等条款上进行具体的规定。

目前国内市场仍处在互联网发展的下半场,互联网的红利还在继续。但是市场重心由C端转向B端和G端,更需要稳健的数据保护策略,目前我国针对网络数据安全法律法规建设主要聚焦五大方面:

04.建立数据分类分级保护制度

个人、组织的敏感信息十分重要,需要重点保护,同时全球化大背景下国家安全、公共利益相关数据的重要程度和影响更大,更需要实行严格保护。

这要求企业对数据资产进行盘点划分,理清个人、组织、企业,甚至国家级数据分布比例,从而制定不同等级的数据安全策略,也为精细化数据保护打下基础。

05.数据“出海”,跨境监管

数据处理者向境外提供在中华人民共和国境内收集和产生的数据,出境数据中包含重要数据、关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息应当通过国家网信部门组织的数据出境安全评估。

图片来源:网络

4月16日,最高检发布了一则依法惩治危害国家安全犯罪典型案例。一婚纱摄影师通过微信聊天结识境外人员,为对方提供涉军港军舰照片384张,收取报酬4万余元。

经鉴定,涉案照片涉及绝密级秘密3项,机密级秘密2项。最终,该摄影师因犯为境外刺探、非法提供国家秘密罪被判处有期徒刑十四年,剥夺政治权利五年,并处没收个人财产人民币四万元。

06.大数据杀熟、生物特征身份认证等问题

2021年7月2日,国家市场监督管理总局公布的《价格违法行为行政处罚规定(修订征求意见稿)》对大数据杀熟给出了具体定义,同时其行为特征也被明确。

随后,11月1日,《个人信息保护法》正式实施,并明确规定个人信息处理者利用个人信息进行自动化决策,应当保证决策的透明度和结果公平、公正,不得对个人在交易价格等交易条件上实行不合理的差别待遇。

针对目前大热的指纹、人脸等生物识别方式,新出台的《网络数据安全管理条例(征求意见稿)》也特别提出,数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。

07.明确重要数据处理者责任

我国《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律具有关于数据安全管理的规定,但有法律界人士表示,以上法律在罚款等条款上没有具体的规定。

而欧洲的GDPR(《通用数据保护条例》),处罚力度非常高:每次违反条例最高处罚金额为该公司年度营业额的 4%,或者 2000 万欧元,二者取其高——处罚力度足够引起公司重视。

目前我国有关个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等方面具备细化规定,对于数字平台经营的合规合法、责任和处罚的明确工作仍需继续健全。

2021年下半年,国家网信办连续发布了对“滴滴出行”“运满满”“货车帮”“BOSS直聘”实施网络安全评估的公告。

评估期间,以上APP均已停止新用户注册。多家互联网企业接受网络安全评估,让数据安全成为关注焦点,也侧面印证了国家对数据安保的处理力度和决心。

互联网时代下半场,数据、隐私依然是一个严肃话题,可喜之处在于它正在成为备受重视的话题。

技术的使命是发挥其作用,在违法违规构成上,只是一种手段或者工具;如何利用技术和规避不良社会影响,只能依靠更健全透明的法律法规去督导和监管。

更乐观地讲,数据和隐私保护备受关注,也证明了其潜在市场价值是巨大的;在后续相关法规的要求和市场化的需求双重驱动下,数据安保方向的产品与方案也有希望成为“AIoT+安防”的下一个市场热点。

责任编辑:lxy