国际风云 | 数据安全与个人隐私保护

2021-02-02 10:57:30 浏览数 (1)

2021年,隐私和安全的数字时代已全面到来,数据安全和隐私保护甚至成为全球企业所面临的“头等大事”:

  • 在欧洲,史上最严数据安全法 GDPR 开出了多个刷新记录的大额罚单;
  • 全球包括东南亚、南美洲、非洲在内的多国陆续颁布了自己的隐私法案;
  • 跨国科技巨头不断加码数据安全投入,成立专门的数据安全和隐私保护团队;
  • 我们的王毅外长提出了《全球数据安全倡议》,呼吁各国深化合作,共商应对数据安全风险之策,共谋全球数字治理之道。

但另一方面,数据安全也成为国际间相互攻讦的政治武器,披上了意识形态的外衣。印度以“国家安全和隐私保护”为由下架了59款中国应用,美国“净网”计划直指中国公司,Tiktok 险些被封禁。特朗普在离任的前几天还签署了一项行政命令,禁止与包括支付宝、微信支付在内的8款中国应用程序交易,认为这些程序会窃取个人信息,并且被用来“追踪联邦雇员和承包商的位置、以及建立个人信息档案”。

下面,我们就具体看一下数据安全的国际大事件以及风险形势。内容包括:


1、中国企业面临的「跨境隐私合规」压力

1)从 Tiktok 事件说起

2020年7月的最后一天,时任美国总统特朗普突然对媒体宣布要对字节跳动旗下的APP Tiktok 进行封杀,一周后的8月6日,正式签署行政命令,勒令字节跳动在45天内出售Tiktok,否则将被封禁。

特朗普在行政令中称Tiktok “自动从其用户那里捕获了大量信息......例如位置数据以及浏览和搜索历史记录,此数据收集不仅威胁到了美国公民的财产与信息安全,而且可能被用于勒索与间谍活动。”

此后,字节跳动集团与美国政府陷入了漫长自救和持续打压状态。这边厢,字节跳动集团一方面不断声明美国用户数据只在美国储存;另一方面聘用大量政治说客、起诉特朗普政府违宪。那边厢,美国法院和商务部不断暂缓、叫停和宽限禁令的情况下,特朗普政府仍在尝试新的行政封杀令和推翻法院的“宽免”裁决。

就在1月5日,特朗普下达了一项新的行政命令,禁止与支付宝、微信支付、QQ钱包、WPS Office等8款中国应用软件进行交易,理由是这些信息可能被用来“追踪联邦雇员和承包商的位置、以及建立个人信息档案”。

2)美国“净网”计划

就在 TikTok 事件持续发酵的同时,美国启动了“净网”计划,意在从运营商、应用商店、应用、云、到电缆五个方面全面切断与中国的合作关系,理由是“防止对美国人民的隐私和数据的侵入”。

(时任美国国务卿蓬佩奥在Twitter上介绍净网计划)

在“净网”计划的记者发布会上,时任美国国务卿蓬佩奥直接点名中国七家科技公司,包括华为、中国移动、百度、阿里巴巴等在中国极具影响力的企业。

美国政府对 Tiktok 的一系列操作的背后,既有国家和数据安全考虑,亦有科技巨头之间的博弈背景,也有老头子自己对政治利益的保护。

3)科技博弈

近年来中国经济的崛起,以及在互联网、5G等领域的飞速发展,挤压了美国科技巨头的利益空间。

眼红于Tiktok成为美国月度下载量最高的应用,Facebook先后推出了两款非常相似的产品 Lasso 和 Instagram Reels。在两款产品中,用户都可以拍摄15秒的小视频,可以进行简单的编辑,并且作品会通过算法来进行用户推荐。然而,这两款产品最终都无法与Tiktok相抗衡,Lasso甚至很快淡出了市场。

除了抄袭和模仿,Facebook创始人扎克伯格多次在公开场合点名Tiktok干预美国言论自由,并且允许特朗普在facebook和Instagram(Facebook收购)上投放针对Tiktok的不利广告。

而特朗普政府发起的“净网行动”,更是借着“5G网络传输中的数据安全”为名义,从运营商、应用程序、应用商店、云服务、光纤电缆五个领域全面清理中国企业,并怂恿了30多个国家一起孤立打压中国5G技术的发展,为美国的5G发展清洁道路。

4)特朗普往事

如果特朗普说“没人比我更懂数据安全的重要性”,我真的信,不是因为他是“懂王”,而是因为在当年的“剑桥分析事件”中,他就是通过对大量民众的政治倾向数据的分析和操纵,才顺利坐上总统的宝座,又称“Facebook数据门”。

(“剑桥分析”事件)

  • 2015年,剑桥大学一位教授开发了一款心理学应用,通过Facebook的接口收集使用者的个人心理学数据、以及通讯录好友信息;
  • 该应用通过35万使用者收集到了5000万Facebook的个人信息;
  • 随后数据被转卖给了一家叫“剑桥分析”的公司;
  • 这家公司通过对数据中的个人爱好等心理学因素进行分析,构建心理学模型,预测政治立场;
  • 分析结论被用于帮助特朗普团队进行定向政治宣传,投放政治广告,影响大选。

最终的结果大家都知道,特朗普登上了总统的宝座,这件丑闻也在2018年被曝光,随后剑桥分析公司破产,扎克伯格接受国会询问,并启动了多项整治措施。

所以,也许真的没人比特朗普更加明白数据安全的重要性了......

5)印度的封杀

1月26日的新闻,大家都看到了,印度宣布以“数据安全和隐私、非法获取信息”为由,永久禁止59款中国APP,包含Tiktok、Wechat(微信)、Weibo(微博)、Baidu map(百度地图)等。

与美国不太一样的是,印度似乎全民对中国APP都带有敌意。2020年5月,一款印度APP “Remove China APPs” 火爆网络,这款APP可以一键删除手机上的中国应用。

(图来源网络,侵删)

但很快,谷歌应用市场删除了这款应用,为此,印度网友还骂谷歌“是中国的宠物狗”......

2020年6月,印度政府出手了,宣布临时封禁59款中国APP,并要求这些公司解释对遵守隐私和安全要求的立场,半年后的1月26日,不顾多方质疑,印度政府正式宣布“永久下架”这59款中国应用。

2、全球隐私保护形势

前面这些针对中国公司的打压,虽然说是以“隐私保护”为名义参杂了大量的政治意图,但也确实给中国公司的出海道路上带来了巨大的隐私合规的压力,各巨头不敢在这方面出一点问题。

其实,不仅中国,全球其他国家的企业也面临越来越大的隐私合规压力。

1)GDPR 持续开出巨额罚单

欧洲的GDPR(General Data Protection Regulation,《通用数据保护条例》)被称为史上最严数据安全法,自2018年生效后,欧盟对全球很多科技巨头都开出了巨额罚单,下表是目前落实的金额最大的5个罚款:

我们来逐一看看这些罚款:

  • 谷歌在法国被罚5000万欧元,为目前GDPR落实的最大罚单,但1年后谷歌刷了新自己的记录! 2019年初,GDPR刚生效不久,谷歌就因“向用户定向发送广告时缺乏透明度、信息不足,且未获得用户有效许可”被法国政府罚了这笔目前还是最高记录保持者的5千万欧元(约4亿人民币)罚款。 但这并不是谷歌最后一次被罚,就在2020年12月,谷歌再一次刷新自己的记录,因“未经事先征得适当同意就使用网络Cookie跟踪用户活动”又被法国政府开出了1亿欧元的罚款!但所幸这次给了3个月的时间来整改,具体落实的金额,还要看整改的情况。
  • 再也不能随意监控员工!H&M集团因收集员工个人数据,被罚3000多万欧元 2020年10月,德国汉堡数据保护局以“过度收集员工信息、非法监控员工隐私的行为”为由,对跨国快消品巨头H&M处以约3525万欧元(约2.8亿元人民币)的罚款,为欧盟GDPR史上第二大单。 中国企业可能对于员工的隐私保护不是那么在意,但对于有跨境业务的就要特别小心了!如果企业在欧盟有分支机构、有欧盟的员工,同样会收到GDPR的管辖,而且罚款的金额不是看你在欧洲的业务量大小来定的,而是看你全球营业额!后面要说的万豪2千万罚款就是这么跪的......
  • 欧洲对电信骚扰进行整治!意大利电信运营商被罚款2780万欧元 2020年1月,意大利数据保护机构Garante向电信运营商TIM开出2780万欧元的罚单,理由是缺乏有效同意的数字营销,比如电话、短信营销等。 其实,这一单罚款针对的就是我们经常说的电信骚扰。我们平时接到的很多骚扰电话、垃圾短信,有些还能精准知道我们最近的活动,比如去了哪里消费、使用哪些APP等,一部分的泄露源就来自短信/电话的泄露、流量被劫持等。上几个新闻给大家看看: 个人信息泄露,电信运营商成为矛头所向,都是“内鬼”的错?(https://www.sohu.com/a/377582354_442599) 电信公司如何平衡消费者隐私和定向广告(https://zhuanlan.zhihu.com/p/149175548) 为了提升用户体验,以及降低诈骗短信等带来的风险,铁路部门对消息通知方式进行了调整这些情况将不再发送短信通知(https://mp.weixin.qq.com/s/-0n_2pKlQy6Yj9INGxk4Ug)
  • 42万用户泄露!1.83亿英镑罚款!终因疫情被免去了近90% 2019年9月,英国ICO(Information Commissioner"s Office,信息专员办公室)决定对英国航空开出1.83亿英镑(约15.8亿人民币)的罚单。原因是因为英国航空的官网因被攻击而泄露了42万用户的姓名、住址、账号密码、信用卡信息和订单信息。 随后英国航空以疫情造成的经济影响等原因进行上诉辩护,最终在2020年10月,英国ICO将罚金改为2千万英镑(约1.7亿人民币)。否则1.83亿英镑将妥妥成为的史上最高罚款。
  • 万豪旗下喜达屋住房数据泄露,罚款万豪全球营业额3%!也因疫情被免大部分 2019年,与英航一同被ICO开出罚单的,还有万豪集团,原因是其旗下的喜达屋酒店遭到黑客攻击,导致全球3.39亿住房数据被窃取,其中,有3000万条记录和欧洲经济区的31个国家居民有关,700万条与英国居民有关。 GDPR对一个企业的罚款,是按照这个企业(上一年度)的全球营业额来的,所以ICO初始开出了9900万英镑(约8.7亿人民币)的天价罚款,占其全球营业额的3%,后来也因疫情等原因只落实了2000万英镑(约1.8亿人民币)。 喜达屋发生数据泄露是在2014年,但万豪收购喜达屋是在2016年,可以说万豪这笔不仅罚的一脸懵X,也很委屈。

如今GDPR已实施了2年多的时间,截止1月26日,已经开出了510张共2.85亿欧元(约22.36亿)的落地罚单,最大罚单谷歌的5000万欧元,最小罚单48欧元,罚款范围从科技巨头、运营商、政党、到医院甚至个人,比如德国有一个Youtube的用户,因为上传的东西暴露了他人隐私,被罚了200欧元。

(GDPR罚款统计,截止1月26日)

(德国某YouTube用户的罚单详情)

2)全球多地陆续颁布隐私法案

除了欧洲的GDPR,其他比较有代表性的就是美国的《加州消费者隐私法案》(CCPA),被称为全美最严厉隐私保护法,于2018年6月颁布,2020年1月1日生效,CCPA的一个特点是设立了“改正期”制度,总检察长发出不合规通知之后,如果企业在30天内做出了整改,则将不予进行罚金诉讼。

此外,全球很多国家都有了自己的隐私保护法案,下图是安永整理的全球隐私法案地图,可以看到,南非、智利、泰国、菲律宾这些国家也都陆续颁布了相关法律。

(图片来自安永,侵删)

中国对隐私保护的力度也越来越大,近年来多项规范、指南、标准不断发布,去年还发布了《数据安全法(草案)》和《个人信息保护法(草案)》,目前正在征求意见中,预计今年正式法案将会发布,在下一集中将会重点解读。

3、科技巨头纷纷加码数据安全投入

在这样的隐私合规压力下,跨国巨头们纷纷加码数据安全和隐私保护的投入,从制度、法务、合规、技术、产品全链路上锻造自己的隐私保护能力。

1)Tiktok的努力

处在风口浪尖中的 Tiktok 和字节跳动集团多次宣布会扩大数据安全和隐私保护团队。

今年8月,Tiktok宣布斥资4.2亿欧元(约33亿人民币)在爱尔兰建立首个欧洲数据中心,用于存储欧洲用户的数据。

细心点你会发现,目前有很多科技巨头的欧洲总部都设在爱尔兰,如Twitter、Google、APPLE等,除了税率很低,爱尔兰整体的营商环境都非常好,甚至包括监管。根据GDPR的规定,“主营业场所”的政府为该企业在欧洲的主要监管机构,所以,你懂的......

比如2020年12月15日,Twitter因数据泄露事件,被爱尔兰DPC(数据保护委员会)处罚了仅45万欧元:

2020年12月15日,Twitter因数据泄露事件被处于仅45万欧元的罚款,就是爱尔兰DPC开出的。因为Twitter的欧洲总部在爱尔兰,所以Twitter的数据泄露事件由爱尔兰DPC主导调查,起初给出的罚款额度甚至更低,在征求意见的时候,向其他欧盟数据保护机构均提出了反对意见,如奥地利要求处以至少2500万欧元罚款,德国则要求处以730~2200万欧元的罚款。

除了Tiktok,跨境科技巨头都纷纷加码数据安全相关投入。

1)B/A/T相继成立自己的隐私平台

目前,腾讯、阿里、百度,都成立了自己专门的隐私平台,宣传自己隐私保护能力、产品的合规性、隐私保护价值观等等。

(腾讯隐私保护平台 privacy.qq.com)

(阿里隐私保护平台 privacy.alibabagroup.com)

(百度隐私保护平台 privacy.baidu.com)

2)手机厂商将隐私保护作为产品卖点

海外业务业务量比较大的小米、华为、VIVO等手机厂商,也不断打造自己的隐私品牌,甚至将隐私保护作为产品的亮点进行宣传。

另外,小米2020年的两个百万美金技术大奖,一个给了秒充团队,一个给了MIUI隐私保护团队。

我个人认为隐私保护还是老大哥苹果做的极致,苹果曾经在上海地铁3号线上用连续的巨幅广告牌来宣传自己对“个人信息安全”的保护。2020年12月5日推出的iOS 14.3中,苹果在App Store中新加入了APP的隐私收集信息。

(APP store显示APP的隐私收集情况)

(苹果的 privacy by design 理念)

有人说“苹果最好的产品不是iphone,而是保护隐私”

4、中国发出《全球数据安全倡议》

数据安全已经成为国际社会普遍关心的大问题,一方面,我们关心如何在保障数据安全的前提下,发挥数据要素对其他要素的倍增作用,从而最大化数据的价值;另一方面,我们又要警惕它被某些国家披上意识形态的外衣,当成科技博弈的攻击武器。

在此背景下,国务委员兼外长王毅在2020年9月8日的“抓住数字机遇,共谋合作发展”国际研讨会高级别会议上发表主旨讲话,提出了《全球数据安全倡议》(下称《倡议》)。表达我国在数据安全领域的八点主张,在关键时刻进行纠偏,防止网络空间陷入文明冲突论和冷战思维的陷阱

根据王毅外长的讲话,此次倡议希望能够为制定数字安全国际规则提供一个蓝本,开启一个全球进程。期待各国政府、国际组织及多利益攸关方共同参与。

《倡议》指出要客观理性看待数据安全,即以事实为依据来看待数据安全,而非披上“意识形态的外衣”,积极维护全球信息技术产品和服务的供应链开放、安全、稳定。

附上《倡议》的八点主张:

  1. 客观理性看待数据安全,致力于维护全球供应链开放、安全和稳定。
  2. 反对利用信息技术破坏他国关键基础设施或窃取重要数据。
  3. 采取措施防范和制止侵害个人信息的行为,不得滥用信息技术对他国进行大规模监控,或非法采集他国公民个人信息。
  4. 要求企业尊重当地法律,不得强制要求本国企业将境外产生、获取的数据存储在本国境内。
  5. 尊重他国主权、司法管辖权和对数据的管理权,不得直接向企业或个人调取位于他国的数据。
  6. 应通过司法协助等渠道解决执法跨境数据调取需求。
  7. 信息技术产品和服务供应企业不应在产品和服务中设置后门,非法获取用户数据。
  8. 信息技术企业不得利用用户对产品依赖,谋取不正当利益。

下一集,将会解读我国对数据安全和隐私保护的立法进度、执法情况,接下来的安排是:

国内监管

国内对数据安全和隐私保护的监管布局,以及相关看点和解读。

新兴的威胁

一些新兴的欺诈手法、黑客技术,是如何窃取我们的隐私数据,以及目前广泛应用的技术,如AI人工智能应用、API技术,为什么会带来了新的数据风险。

坚强的后盾

公司和机构,在应对数据安全和隐私保护的时候,有哪些痛点和难点,常用的应对技术又是什么,什么是联邦学习、如何进行隐私增强、如何防止数据外发、防止数据滥用。

持续更新......

我知道我有拖延症,但你每点一次在看,我就不好意思拖延一次

0 人点赞