礼德公告 | 如何在移动和云技术场景下管理法律风险
当前,在全球数据合规和治理的大环境下,企业纷纷减少数据足迹,以降低数据风险。与此同时,随着移动技术和云技术的蓬勃发展,移动应用或云服务已经被植入商家的众多业务场景中。移动技术和云技术虽然易于操作和更新,但难以被公司的防火墙监管,因而不可避免地给企业来带数据和网络安全风险。
技术的创新为服务市场打造了新的格局,提供综合服务的大型供应商逐步让位于擅长定制专业化服务的中小型供应商,因为定制的专业化服务更符合公司的需求,易于采用且难以被复制。然而,随着各类定制的专业化第三方应用程序和云服务技术的广泛使用,企业的商业运营数据正在面临着分散化的趋势。礼德律师事务所的科技和数据团队拟从中国、亚太和欧美对移动和云技术数据保护和网络安全合规的视角,探讨企业在使用第三方移动技术和云技术的过程中的合规建议,抛砖引玉。
安全风险
2020年,文件共享供应商Accellion被黑客攻击,涉及约920万个人信息和多家财富500强公司数据。此外,Epiq、Twilio、Kojima和Quest Diagnostics等多家云服务公司曾遭受黑客攻击。
2021年3月,欧洲最大的云基础设施运营商、法国公司OVHcloud运营的四个主要数据中心发生火灾,导致约360 万个网站下线。随着恶意软件即服务(MaaS)工具的兴起,企业的自动化系统更加难以抵御恶意攻击并确保网络安全。有业内人士认为,云技术在2023年将有可能成为一个流行的攻击载体,相关服务和产品带来的安全风险也将成倍增加。
境内外立法和执法动态
为规范企业数据安全和网络安全合规治理,降低移动技术和云技术引发的安全隐患,全球主要国家和地区纷纷针对移动技术和云技术的供应商管理开展立法和执法活动。
美国和欧盟等地区也在近期加强了与第三方供应商相关的立法和执法力度。美国加州等其他各州正在收紧隐私和网络安全法律,并围绕数据保护加强执法。2021年和2022年期间,美国证券交易委员会和商品期货交易委员会对部分金融机构开出了超过20亿美元的罚单,理由是这些金融机构未能妥善管理员工通过机构控制之外的渠道(如WhatsApp和其他社交应用程序)开展业务通信。此后,美国司法部宣布修改企业刑事犯罪执法计划,要求检方评估公司是否针对个人设备和第三方信息的使用实施了有效治理,以确保相关数据得到妥善保存。
欧盟各国数据监管机构对违反《通用数据保护条例》的行为开出了数千至数亿欧元不等的罚款,其中多起案件涉及安全事件和不当数据管理。
新加坡网络提供商MyRepublic于2022年9月因违反《个人数据保护法》被新加坡个人信息监管机构处以60,000新加坡元的罚款。经调查发现,MyRepublic通过其移动门户接受用户的移动服务订单,用户提交的身份文件存储于MyRepublic的云存储设施中。然而,MyRepublic没有采取充分的安全和管理措施,导致数据库的访问密钥泄露,并造成近8万用户的个人数据受到威胁。
我国也有多部法律法规对采购云服务进行监管。《网络安全法》和《关键信息基础设施安全保护条例》均要求关键信息基础设施的运营者优先采购安全可信的网络产品和服务。若采购的产品和服务涉及国家安全,还需通过安全审查。此外,网信办会同多部门出台了《云计算服务安全评估办法》,旨在提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平。2021年8月,国务院发布《法制政府建设实施纲要(2021-2025年)》,要求及时跟进研究数字经济、互联网金融、人工智能、大数据、云计算等相关法律法规。需要注意的是,企业使用云计算服务还可能触发数据跨境传输。企业将数据存储在服务器位于境外的云服务平台,或允许境外机构或个人访问其存于境内云服务平台的数据,将构成数据跨境传输,需履行《个人信息保护法》《数据安全法》《网络安全法》等法律项下的相关要求。若跨境传输的数据涉及重要数据,或处理及传输的个人信息达到一定的门槛,或涉及关键信息基础设施运营者向境外传输个人信息,企业还应向网信办办理数据出境安全评估。
国内监管部门近年的执法动作也非常频繁。以云服务为例,2021年12月,工信部网络安全管理局通报称,中国某知名云服务商发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理,该云服务公司被暂停该工信部网络安全威胁信息共享平台合作单位6个月。暂停期满后,根据其整改情况,研究恢复期上述合作单位。
除监管部门处罚外,企业的商业利益也可能因云服务平台发生安全事件而受到严重损害。2020年2月,中国某云服务供应商因程序员恶意删库,导致平台约300万个商家的小程序全部宕机,损失惨重。为此,该供应商准备了1.5亿元人民币赔付拨备金,其中公司承担1亿元,管理层承担5000万元。尽管数据最后得以恢复,但删库事件发生后,该供应商的累计市值蒸发超30亿港元。
企业合规建议
面对市场中数量庞大的供应商,企业的首要任务是如何挑选合适的供应商,例如对供应商的网络安全能力开展尽职调查等。选定服务商后,企业还需要管理员工的访问权限,避免员工不经公司同意使用第三方应用工具。此外,应用程序的功能不断推陈出新,企业需要对新功能进行持续的管理。最重要的是,数据由第三方受委托处理或储存可能成为企业数据治理的盲点。第三方供应商数量越多,数据储存的分散程度越大,给企业数据治理造成的不确定性也更强。为此,企业需制定一套全面的数据和网络安全治理模式,在不妨碍发展企业业务的同时,最大程度减轻移动技术和云技术引发的法律和监管风险。通常情况下,企业可以采取以下具体合规措施:
建立健全内部政策和程序。
企业可制定一套针对云技术供应商的内部管理政策和程序,明确采购第三方产品和服务的流程,使用第三方产品和服务的权限,相关负责人员的职责等。
开展第三方风险评估。
企业需根据自身的业务特点、数据处理方式及采用的技术制定适合的第三方风险管理模式。以《云计算服务安全评估办法》的要求为例,重点评估内容包括:云服务商的征信、经营状况等基本情况;云服务商人员背景及稳定性,特别是能够访问客户数据、能够收集相关元数据的人员;云平台技术、产品和服务供应链安全情况;云服务商安全管理能力及云平台安全防护情况;客户迁移数据的可行性和便捷性;云服务商的业务连续性等。
建立接入第三方程序的流程。
企业可建立一套接入第三方应用程序的流程,防止在不知情的情况下接入隐藏应用程序。该流程可以识别出第三方程序的信息,如程序的功能,以及该程序处理、留存、导出和删除数据的方式,从技术和合规角度对接入的程序进行快速评估。
加强合同管理。
企业需根据有关法律和监管要求与第三方签订书面合同,明确约定双方对数据安全问题各自承担的责任,例如安全保障措施的分工,以避免在发生安全事件时因责任分配和损失赔偿而产生争议。关键信息基础设施运营者应当按照国家有关规定与网络产品和服务提供者签订安全保密协议,明确提供者的技术支持和安全保密义务与责任,并对义务与责任履行情况进行监督。
实行全生命周期监控。
移动技术和云技术的更新频繁对企业而言是一把双刃剑。若第三方未能及时通知功能的更新或组织测试,将给企业带来合规风险。因此,对第三方程序进行定期的审计和监控以确保持续符合公司的合规要求至关重要。
定期开展员工培训。
从部分执法案例中可以看到,公司未能妥善管理员工使用不受控的第三方通信渠道已成为处罚的重点。对员工开展定期培训可以减少员工误用或超范围使用移动技术以及云技术带来的风险。员工培训的内容应涵盖公司内部政策和程序,移动技术和云技术的使用范围,以及相关的法律法规要求。
如果您对此礼德公告有任何问题或想了解更多详情,请联系如下作者或与您经常合作的礼德律师。
本文作者
李晓蓓(Barbara Li)
礼德律师事务所北京办公室
合伙人
直线电话:+86 10 6535 9531
bli@reedsmith.com
Anthony J. Diana
礼德律师事务所纽约办公室
合伙人
直线电话:+1 212 549 0332
adiana@reedsmith.com
Therese Craparo
礼德律师事务所纽约办公室
合伙人
直线电话:+1 212 549 0421
tcraparo@reedsmith.com
熊倩(Sarah Xiong)
礼德律师事务所北京办公室
高级律师
直线电话:+86 10 6535 9533
sxiong@reedsmith.com
周蕴菁(Amaya Zhou)
礼德律师事务所北京办公室
律师
直线电话:+86 10 6535 9538
azhou@reedsmith.com
Kiriaki Tourikis
礼德律师事务所纽约办公室
律师
直线电话:+1 212 549 4258
ktourikis@reedsmith.com
推荐阅读
礼德公告 | 近期国际市场隐私立法和执法动态及中国出海企业如何应对
礼德洞察 | 礼德发布2022年广告技术监管综述
礼德新闻 | 李晓蓓律师荣膺IAPP女性领导隐私顾问委员会委员