查看原文
其他

滴滴被罚80.26亿元,你怎么看?

管窥蠡测 安在 2022-10-30


2022年7月21日,根据网络安全审查结论及发现的问题和线索,国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查后发现,滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。因此,国家互联网信息办公室对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。


7月24日,安在组织了名为《滴滴被罚80.26亿元,你怎么看?》的主题直播,邀请了各方专家,围绕滴滴被罚事件,共同探讨关于此次被罚事件背后的故事,本次直播邀请的专家分别是段和段律师事务所主管合伙人刘春泉、红途科技CEO刘新凯、某跨国企业CSO赵锐,直播由企业网络安全专家联盟秘书长、安在新媒体合伙人张威主持。



(从左到右、自上而下分别为张威、刘新凯、赵锐、刘春泉)


滴滴被处80.26亿元罚款,为什么这么多钱?


刘春泉指出,此次处罚从新闻报道来看,是根据《个人信息保护法》的规定,并且采取了最重的罚款方式,即罚款金额为上一年营业额的5%,因此才有八十多亿这个数字。


对于此次罚款,众人或会有些许疑问,比如调查启动时,个人信息保护法还没有生效,因此根据分析可能存在两种情况。第一种情况,此相关违法行为被确定为持续到了《个人信息保护法》生效之后。第二种情况,若根据《网络安全法》第64条规定,违法者得罚款违法所得的一倍到十倍,根据滴滴上一年度营业额1800亿左右来计算,哪怕确定其中部分金额是违法所得,数额也太大了,因此刘春泉以为,国家可能出于对企业的爱护,选择了以《个人信息保护法》为主要依据。



滴滴本身下设了个人信息保护委员会、数据安全委员会等组织,为什么还会出现这次违规问题?


问至拥有各种安全委员会的滴滴为何还会违规时,赵锐表示,企业通常会想获取更多的客户数据,为自己的营销、经营做分析,提升自己的利润率,降低自己相应的业务风险。


另一方面,滴滴安全委员会里所组成的人员或许也是问题之一。比如公司若非常重视数据安全,那相对应的就会让CEO、COO、CFO等都参与进来,包括法务部的负责人、风控合规的负责人都可以纳入其中,相反,若公司在这些安全委员会里只包括了CIO、CSO,或者一些开发、数据团队的负责人,那委员会的效率就会比较弱。


某种角度而言,滴滴虽然成立的安全委员会,但委员会的治理层级不高,无法影响到决策层或者提示的风险对决策的影响力较小,这也是企业安全管理中常见的问题。



滴滴董事长程维、总裁柳青各被判处人民币100万元罚款,之后会不会有进一步的刑事责任?


刘春泉以为,企业安全部分的负责人具有很高的职业风险,因此他希望大家要有这方面的意识。


至于滴滴企业的高层还会不会负刑事责任,刘春泉表示,由于此次滴滴所犯罪状非常严重,违法数目都是以万、亿为单位的,所以滴滴公司的安全团队,企业相关的采集信息的业务部门负责人等,可能都有刑事风险。


但当下的经济形势并不是特别好,国家可能更多的出于爱护企业,因此国家在处罚时通常会采取“通过合规不起诉”的方式,等于说保留了进一步的刑事处罚。可以这么理解,滴滴公司涉及到了万人的生计问题,比如诸多司机等,从国家的角度,更希望企业通过整改合规来追究国际所给予的法律上的教训。


因此,若滴滴不去复议、诉讼,积极履行处罚的话,后续可能不会再被追究过多的责任,包括对高层们的处罚。



处罚认定了滴滴的16项违法事实,这些违法事实的认定对未来其他企业的合规有什么影响?


滴滴这次处罚有16项违法事实,被归纳出八个主要方面,这些对未来企业会有什么影响?


刘春泉说,首先记者公布的八个方面、16项违法事来自于执法部门对滴滴公司进行的取证,实际就是将法律法规和滴滴公司里一些具体的产品、软件设计、流程设计结合起来,然后做的认定,结果数万条、数亿条数据都是违法的。


而从风险控制的角度来说,安全圈的从业人员得从此次事件中吸取教训,即将“主动防御”提早到最初,在产品设计进行数据收集时,我们就得讲究法律法规,相关信息收还是不收,收多少,怎么收,这是企业需要重点讨论的。


此外,刘春泉还提出了重要的一点,他规劝企业不要以为找律师写了一个非常长、非常复杂的协议就能蒙混过关。个人信息收集的协议再怎么长,也只是在客观上起到了告知的作用,就好比滴滴事件这八个方面是怎么总结出来的,国家就是将从滴滴数据库里收来的信息进行分析,然后得出哪些信息是过度收集、哪些是敏感的。



互联网企业收集用户数据是常态吗?为什么他们一定要收集这些数据?


张威提出,现在企业尤其是互联网企业为什么一定要收集数据呢?是否存在一定不能告诉用户收集这些数据的原因?


赵锐回应,不管是正常的企业,还是非法诈骗的机构,他们首先要得到的是用户相关的数据,比如最起码的联系方式、一些个人的基本信息,其目的是为了方便沟通。


对于企业来说,特别是甲方,特别是对于c端用户服务的这类企业,他们希望得知用户的个人生活信息、工作信息,一次来分析用户的爱好和习惯,其实就是想在竞争激烈的市场里找到先机。


拿滴滴距离,在所报道里现实,他过度收集了用户相册中的截图信息1196.39万条、剪贴板的信息83.23亿条、乘客人脸信息1.07亿条、年龄阶段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条,包括公司打车的地址信息、客户的评价、14.29万条司机的学历、司机的身份证号等。


从这些数据中可以得知,滴滴一方面想对所有的乘客、司机进行画像的绘制和分析,其目的比如以后在网约车上放些饮料、早餐,甚至推销手机充值、充电宝等,他是想为自己未来的服务做好充分的储备。其次,未来如果需要拉投资或者给客户提供服务,就可以随时提供出非常完整的产业链,滴滴的整个生态里有各种用户的信息。



数据的所有者该如何区分?


张威又提出,到底该怎么区分数据的所有者,企业和用户关于数据拥有的边界到底该怎么定义?


刘新凯解释,他把数据拆成三类,第一类是企业经营数据;第二类是个人数据;第三类是重要数据。其中,企业经营数据是企业经营过程中所产生的,比如研发的图纸、产品的配方、财务、人资、客户数据等。


个人数据拆成两部分,第一个是外部用户的数据,即在整个经营过程中收集到的和个人信息强相关的内容。第二个是内部员工的个人数据。


而重要数据,根据信息安全技术重要数据识别指南(征求意见稿),其明确规定了相关以电子方式存在的数据,当它遭到篡改、破坏、泄露,或者是违法获取和非法利用时,可能会危害国家安全或者相关的公共利益。


对于此三类数据,容易有争议或者误会的点在于,企业通常认为经营数据归其所有,只和企业的经营有关,而其实很多重要数据和经营数据是重合的,这些重合的经营数据会影响到国家以及公众的利益。所以得出结论,个人信息的边界由于《个保法》其实比较全面,但重要数据和经营数据的边界还需各企业谨慎为好。


刘春泉补充,首先《网络安全法》规定了关于关键信息基础设施的概念,因此作为企业肯定得先识别自己是否属于关键信息基础设施,有一套专门的制度对其进行规范,企业需要落实。其次,企业得落实等保制度。除此之外,在知识产权法里也有关于信息的保护法律,其中之一叫做商业秘密。


由这种种数据引申出,很多企业想确立自己的信息财产权,那在企业财产权和个人信息保护两者权利之间,它存在冲突。而刘春泉认为,当此二者权利发生冲突时,企业的财产权要让位于个人信息权。


可以这么理解,法律存在的意义是为了调整人与人之间的社会关系,所以两条法律之间万一有相悖的地方,刘春泉表示企业财产权的优先级要低于个人信息保护法,这比较符合社会公众的常识。




企业的数据安全保护难不难?难在哪里?


越来越多的企业意识到,保护数据安全其实很难,那到底什么地方是最难管理的?


刘新凯为此例举了五个方面。第一个是企业的整体认知,即当企业面临诱惑时,该怎么控制住自己的欲望,同时对法律和监管保持足够的敬畏。


第二是在组织上没有足够的保障。当下很多公司在组织和管理上是不到位的,他们根本就没有一个公司集团级的安全部门,或者是一个虚拟的组织对安全合规事情进行整体的牵头和负责。


第三点是关于业务和技术角度的一个变化,即IT系统怎么样才能深入到数据本身,比如对于数据真实运行的这些状态,包括它实际的类型和用途,包括在过程中的风险,要有全局的掌控能力。这样的转变非常难,但一旦完成转变,后台的数据安全就会更加的完整。


第四点是缺乏一个好的平台来帮助用户实现数据安全的目标。可能需要十年左右才能搭建出一个特别好的技术能力和底盘平台,来满足不同行业企业客户的需求。


第五点是持续的运营很难。因为整体的风险层出不穷,安全需要真正的持续投入,从以前的安全预警和攻防演练转到数据隐私的运营上,其中有大量的工作要做。


而作为甲方的安全人员,赵锐认为,从整个公司运营的角度来看,如果没有做好数据安全的保护,那对公司持续运营的影响是很大的。赵锐提出,不同的业务部门对数据安全的认知是有差异的,因此企业需要对他们进行安全意识上的升级,比如曾经对企业而言比较重要的数据在于是否能带来盈利,那当滴滴事件爆发后,合法合规的数据、合法合规收集数据的过程将变得一样重要。



数据已经成为新的生产要素,数据安全保护和企业数字化转型有没有冲突?应该如何处理这对关系?


张威问,数字化转型过程中安全应该在什么位置上?


赵锐认为,首先安全要保障公司业务的整体稳定,同时要为企业未来的发展做好相应的安全储备。在这样的情况下,一方面要梳理公司目前安全相关的现状,其次是要选择适合的合作伙伴,双方对于安全的认识要一致。


从企业的运营角度来说,安全部分该考虑如何更好的、更安全的、更合规的在风险最低或者说尽量合适的情况下,花一定的安全成本,让企业的业务在合法合规、风险又小的情况下运营,这是安全从业人员要去做好的。


同时安全红线要定好,安全人员关键时刻要站出来,要让管理层和其他对应的业务部门的负责人知道,业务运营的前提是必须得保证安全,否则罚款、进监狱、吊销营业执照就是后果。



企业中的人脸识别信息应该怎么管?


单位用了人脸识别的门禁,该怎么合规?


刘新凯认为,只是作为门禁并不能算违规,因为人脸识别的门禁是提高了很多AI落地应用的一种具体场景,但未经授权的情况下,大量的收集人脸数据,包括对其真实的用途可能会成为问题。


而刘春泉觉得,技术和法律是互相影响的,有时候技术的迭代会影响法律的判断。因此安全上的合规将来确实会演变为“法律人做法律的事,技术人做技术的事,硬件厂商做硬件的事”。而在当下,技术解决不了的事就只能按照现在的法律去进行。


赵锐对此提到,他所在公司会给用户提供一系列的选择,可以是门禁卡,也可以用二维码、人脸识别等,在给大家选择的同时公司也会和员工、客户签署隐私协议。


这次事件对安全行业未来会有什么影响?


问至对所在行业有什么影响时,刘春泉引用了其合伙人王律师的一句话:执法就是最好的体现。


刘春泉认为,如果没有这次的案例,安全人员每次去和企业要钱时,经营者都会认为这是一种成本,但当这个实际处罚的案例出来之后,网络安全的投入就成了一种投资,而不再是成本。而刘新凯表示,现在越来越多的投资方会在乎他所投资的业务有无涉及到数据隐私、合规的风险,能不能长治久安的运行下去,会不会出现某一天被彻底清盘的风险。也就是说,合规安全成了企业经营过程中一个重要考量的点。


其次,对于很多甲方的从业者,这其实是一个巨大的挑战,同时也必然是一个巨大的机会。怎么能够从单纯的攻防技能,然后增加自己对数据、对业务、对公司、对整个市场竞争的了解,产生更多实质性的价值,是甲方从业者必须得学会的技能。


第三,对于厂商而言挑战也很大,如何掌握对全局数据的保护能力,做好相关的支撑,这需要更多新的技术、新的厂商、新的方案。第四,对监管方来说,压力也一定特别大,因为数据本身越来越复杂了。


另一方面,赵锐表示,原来企业对于数据治理的一些根本需求,比如业务报表、监管的数据报送、管理层相应的一些仪表板、精准营销、客户投诉分析、客流分析、企业效益、经营业务趋势的分析等是否合规考虑得较少,那这样的处罚事件出现后,企业会有所改善。


同时对于甲方或者从事安全行业的人员来说,工作肯定没问题,收入相信也会越来越高;对于企业和管理层来说,国内在法律法规上的健全是越来越好的,可以说在数据安全、个人信息安全方面,我们后续也可能实现人类命运共同体。



安全保障上的建议

最后,三位专家对企业未来在合规和安全保障的方向上也提出了相应的建议。


刘春泉提到,任何一项法律正式生效之前,都会留下足够的时间让企业去改,但现实问题是,当企业面临数据所带来的巨大诱惑时,能不能克服欲望去采取真正的合规行动,这很重要。


执法是最好的普法。滴滴事件告诉了我们,作为企业的从事人员也好,法务也罢,不拘是CSO还是CEO,都要从日常的工作中一步步地去采取具体行动。可以是不断重复地打报告,强调事件的安全性,也可以找一些外部的律师进行印证、证实。总而言之,精神确定好了,办法总比困难多。


刘春泉表示,他既是行业的从业者,同时也是这些产品的用户,因此做好相关工作不仅仅是为了赚取利益,更重要的是,作为用户,作为社会群体中的一员,得为自己创造一个更好的环境。


而赵锐一样认为,国家十四五的信息化规划,中国在数字化方面建设数字的基础设施,并通过数字生产力来促进创新,发展数字产业等,这一系列的举措,不管是所用的产品,还是在这过程中系统收集的数据,安全和风险一定是企业首先要考虑的问题。


另一方面,刘新凯表示,他作为安全厂商首先希望甲方的董事长、总经理、CEO这样的高层能真正认识到此次滴滴事件的重要性,得在公司从上至下都达成统一的共识。


第二,在设计业务的模式形态时,要考虑整个合规和数据隐私的要素,让整体业务从一开始就在一个正确的赛道上,不要跑错方向。


做好安全和合规是真正能够帮助企业提高管理能力以及核心竞争力的,当公司成了行业中安全、合规做得特别好的代表时,其业务就能真正给用户带来不同的感知,而这种感觉是真正能转化成竞争力和实际收入的。


第三,安全从业人员在设计时,如何建设更好的管理体系、组织体系,尤其是技术体系,需要在思路上产生变化。和防范攻击不同,数据隐私的治理,合规的治理,在某一静态的切面上,公司所有的数据流转的状态,它实际上是能够尽善尽美的,那如果这件事可以实时跟踪运营,就意味着所有的甲方从业人员多了一次机会,即能够真正百分之百说清楚数据的真实方法。




前次直播回看

安在有新榜,百家说百强|7.8/7.9两场直播预告


第一场:听说好?卖得好?用着好?网安产品怎样才算好?

第二场:网安产品从试用到实用,海水还是火焰?


第三场:宣传、答题、钓鱼,安全意识就能提高?


第四场:红与蓝,攻防与HW



推荐阅读




发布 | 安在新榜 · 2022中国网络安全产品用户调查报告

“凭啥我没上榜?”关于安在新榜最新报告,请看Q&A

安在有新榜,百家说百强|7.8/7.9两场直播预告




齐心抗疫 与你同在 



点【在看】的人最好看


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存