数据 —— 大数据企业的覆舟之水
虽然大数据企业一直将“个人信息保护”、“用户数据安全”挂在嘴边,但国家网信办通报批评一路往下查阅,栽在个人信息上面的APP却总是前赴后继。其实企业要真正做到实质合规,就要明白网络安全审查和即将到来的数据安全审查查什么:1、对个人权利的侵犯:个人信息意味着自然人最重要的隐私权;2、对国家安全的威胁:国家安全是企业无法忽视却可能不太能摸清的最重要的底线。
既然被审查的APP中3/4都是提供交通物流服务的,那我们就还是以“滴滴”为例,换种方式来看看APP运行的过程中收集到的哪些数据会让企业陷入这两个层面的麻烦。
新用户小A想要注册一个“滴滴”账号,方便上下班出行。
“性别”有些特殊,它是个人信息的一部分,被标成蓝色是因为能用它引出一类与国家安全相关的信息数据:“生物信息”。基因、性状、健康数据、药物数据、临床数据都能被归为生物信息。
这些生物大数据一方面指向如生物工程等尖端科技的发展,是国家重点领域技术发展的基础,另一方面如果被不正当利用还可能指向军事层面的生化及基因武器,因此生物数据是与国家息息相关的关键数据。
“滴滴”类型的企业收集使用不到它们,但医疗类、医美类、运动类大数据企业不可避免会收集到这些生物信息数据。收集到的这些数据不能泄露、不能随意交易处置、必须存储在境内,不能在未经网信部等国家部门进行安全评估的情况下私自出境。
1、地点:重要敏感的地点,国家机关、军事区域、国防科工、党政机关等与它们相关联的位置、人流、车流数据都是重要数据。
2、精度:高精度的地理位置数据,道路位置、路边建筑、路上车辆类型等也都是重要数据。
这些数据与国家安全的关联同样会指向军事层面。而在国家安全之外,道路交通涉及群众基本民生,也是最典型的涉公共利益数据。
这些数据也不能泄露、不能随意交易处置、必须存储在境内,不能在未经网信办等国家部门进行安全评估的情况下私自出境。
当小A到达目的地,开始支付出行费用时,“滴滴”将继续收集以下数据:
而同样,支付信息也能指向影响国家安全的数据。普通的时间、金额及渠道本身并不会存在涉及国家安全的敏感性,但更为深入的,网络支付类互联网企业及各大银行能通过用户交易及用户账户内容等获取到金融数据,就存在影响国家安全的可能性。
金融数据被不当利用可能导致的是金融风险,而经济是国家基础,金融动荡就将直接危及国家安全和国计民生。
这些数据典型的是与业务相关的交易、统计数据,以及经营相关的运营、风险管理、技术管理数据等,而这些数据也不能泄露、不能随意交易处置、必须存储在境内,不能在未经网信办等国家部门进行安全评估的情况下私自出境。
如果说前述都是大数据企业所能接触和收集到的数据本身的敏感性给企业带来的潜在审查风险,那么接下来的审查风险就来自于企业自身规模给企业带来的更高的数据保护义务。
在《网络安全法》中提到了这样一类设施,叫关键信息基础设施,从字面来看,即使是“滴滴”这种已经成为行业头部的大企业,或许也不会能敏锐的意识到作为一家民营企业,它能算得上是“关键信息基础设施”。
而实际上,有这么一个在试行的认定标准。
看着复杂,但其实企业只需要从两个层面衡量自身:
1、规模够不够大。平台也好,网站也好,日访问量大、用户数多或日成交额大,那有可能被定义为“关键信息基础设施”。
2、是否涉及地理、人口及资源数据。一旦涉及这三项数据,都将可能直接被定义为“关键信息基础设施”。
从这两个维度考量,几乎所有的头部互联网企业都可能被认定为关键信息基础设施,而一旦成为关键信息基础设施,企业就需要注意两件事:
1、数据的存储、使用和交易问题。法律已经明确关键信息基础设施的数据储存必须在中国境内,且未经网信办等部门进行安全评估,数据禁止出境。这也意味着泄露、非法交易都是不能允许的。
2、企业采购核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务等,需要通过网信办等部门的国家安全审查。
前者是大量重要数据本身,后者则是可接触到数据内容的直接介质,无论是数据本身的风险还是经由介质威胁数据安全,都是直接会危及国家安全和国计民生的重大事件。
可以预见,在未来的日子里,网络安全审查或许会成为常态。
一方面是因为企业自身确实在数据收集和管理使用的问题上存在不合规之处,而大数据时代手握大量数据的大数据企业一旦出现网络安全问题都将直接造成对个人信息和国家安全的冲击;而另一方面,国家或许也是在以网络安全审查的形式,倒逼大数据企业在国家安全的基础上,承担在国计民生以及个人信息保护层面应尽的社会责任,并摆正大数据产业在维护国家安全、保护个人信息及承担社会责任方面的意识。
总之,无论哪一方面 ,都要求大数据企业企业在网络安全和数据安全层面能拥有更高的敏感性和风险把控能力。