❶ 合規創造價值:新經濟領域(擬)上市企業的若干合規要點分析
走出去智庫觀察
近來,滴滴被查引發了人們對上市企業跨境數據合規的的熱議。今年上半年,國內互聯網企業扎堆奔赴美股,但因跨境數據安全問題引發的系列影響,使這些企業不得不重新審視相關合規問題。
走出去智庫(CGGT)特約法律專家、中倫律師事務所顧問賈申認為,從近期監管趨勢來看,跨境數據傳輸是新經濟企業上市應特別關注的合規點。根據《網路安全法》和《數據安全法》規定,包括公共通信、信息服務、金融業和其他重要行業、領域的關鍵信息基礎設施的運營者,應將境內運營期間收集和生成的個人信息和重要數據儲存在境內,如需向境外傳輸,則應按相關規定進行安全性評估。
新經濟領域(擬)上市企業如何做好跨境數據合規?今天,走出去智庫(CGGT)刊發中倫律師事務所蔣蕙匡、賈申、李夢涵、於佳永、羅儀涵的文章,供關注跨境數據合規的讀者參考。
要 點
CGGT,CHINA GOING GLOBAL THINKTANK
1、對於赴境外上市的公司而言,VIE架構是一種常見的公司架構,建議企業在搭建VIE架構和實際運營業務過程中,充分考慮業務類型和交易結構,系統、人員、設備設置,以及資金和數據流向,輔以完備的內部規章、協議、信息披露制度和授權安排,以充分遵循數據合規要求。
2、新經濟領域的企業還應特別關注數據合規與反壟斷合規的交叉領域。《平台經濟指南》明確提及了經營者利用數據或演算法排除、限制競爭的多種行為模式。
3、行業性監管政策的變化頻繁,特別是在關系國計民生的重要領域,相關部門已明確透出強力監管的信號。以教育和交通行業為例,相關領域的平台企業應當密切關注行業性監管政策之下的合規要求。
正 文
CGGT,CHINA GOING GLOBAL THINKTANK
作者簡介
蔣蕙匡 律師
北京辦公室 合夥人
業務領域: 反壟斷和競爭法, 跨境投資並購, 合規和反腐敗
特色行業類別: 能源與自然資源, 通訊與技術, 健康 與生命科學
賈申
北京辦公室 顧問
業務領域: 反壟斷和競爭法, 貿易合規和救濟, 訴訟仲裁
李夢涵
北京辦公室 合規與政府監管部
於佳永
北京辦公室 合規與政府監管部
羅儀涵
北京辦公室 合規與政府監管部
2021年7月6日,中共中央辦公廳、國務院辦公廳發布《關於依法從嚴打擊證券違法活動的意見》(「《意見》」),其中「完善數據安全、跨境數據流動、涉密信息管理等相關法律法規」,「切實採取措施做好中概股公司風險及突發情況應對」等意見,清晰指示了當前資本市場的又一個重要合規方向,充分體現了我國對上市公司監管的決心與力度。近期,中國網路安全審查辦公室(「網信辦」)接連對數家赴美上市的平台企業開展網路安全審查,並於2021年7月10日發布了《網路安全審查辦法(修訂草案徵求意見稿)》,引發了公眾和業界對中國跨境數據安全監管和中概股公司跨境證券監管政策的強烈關注和廣泛討論。(相關解讀: 激活網路安全審查制度 築牢數據安全防火牆——《網路安全審查辦法(修訂草案徵求意見稿)》評析 )2021年7月30日,美國證券交易委員會(SEC)主席Gary Gensler發表聲明稱,SEC將修改有關涉及中國企業境外上市的信息披露規則,增加特定的信息披露要求(包括說明VIE公司與發行人之間的財務關系、赴美上市是否獲得政府批准等),以更好地保護投資人的利益。
近年,各行業領域涉及境內外上市企業的司法、行政執法案件層出不窮,相關企業上市招股書中針對政府監管的風險提示說明和清單漸長,中概股合規問題同時引起了中美兩國監管的高度重視,提高合規水平和完善合規制度對於(擬)上市企業的重要性愈加凸顯。在此背景下,本文結合既往經驗和觀察,將從 網路安全與數據合規、反壟斷、反不正當競爭、行業性監管政策 等方面,分析互聯網平台等新經濟領域(擬)上市企業的合規要點,以期為相關企業的合規建設和合規應對提供參考。
合規點一:網路安全與數據合規
我國已出台的《網路安全法》《數據安全法》及即將出台的《個人信息保護法》構成了網路安全及數據安全合規領域的「三駕馬車」。新經濟領域的上市公司和擬上市公司通常掌握大量的各維度數據,應特別關注網路安全與數據合規的相關要求。
從近期監管趨勢來看,跨境數據傳輸是企業上市應特別關注的合規點。根據《網路安全法》和《數據安全法》規定,包括公共通信、信息服務、金融業和其他重要行業、領域的關鍵信息基礎設施的運營者,應將境內運營期間收集和生成的個人信息和重要數據儲存在境內,如需向境外傳輸,則應按相關規定進行安全性評估。但是,對於如何進行此類安全評估,目前尚未出台正式的法規或指南。這可能對擁有多個數據中心、可能需要在不同國家地區之間傳輸某些個人數據的互聯網公司造成影響,相關企業應密切關注這一領域的立法與執法動態。此外,《數據安全法》已明確提出要建立數據分級分類保護制度和國家核心數據管理制度:一方面,對於關系國家安全、國民經濟命脈、重要民生、重大公共利益的國家核心數據實行更加嚴格的管理制度;另一方面,相關地區和部門將進一步制定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。未來更詳細的數據分級制度出台後,企業應依法依規做好數據分類工作,並嚴格採取相應的數據管理和保護措施。
在個人信息保護方面,無論相關企業是境外上市或是境內上市,數據合規問題均易引發媒體公眾的高度關注,也會受到監管部門的重點問詢,包括數據來源合法合規問題、數據使用合法合規問題、數據相關的業務經營問題等。
例如,對於掌握大量用戶數據的互聯網平台企業而言,應特別關注數據來源的合規性:
獲取用戶數據信息的來源、獲取途徑、授權方式及協議,授權是否明確且合法有效,收集用戶信息時是否明確告知收集信息的范圍及使用用途;
獲取個人數據是否對用戶有明確提示、收集的數據是否限制在必要范圍內、是否僅概括性提示收集用戶信息、是否超出用戶授權范圍使用數據、或存在未經其他平台的授權直接收取數據的行為;
通過APP以《用戶協議》、《隱私政策》等協議約定獲得用戶授權過程中,收集個人用戶信息、向個人用戶推送廣告等有無明確告知用戶收集、使用信息的目的、方式和范圍。
合規點二:反壟斷合規
反壟斷合規作為熱點領域,對於企業上市前後合規建設的重要性正逐漸凸顯。今年以來,關於國內互聯網巨頭的各類反壟斷處罰決定或傳聞對於企業股價及市場均造成了一定的影響。例如,2021年4月10日,國家市場監督管理總局(「總局」)對某電商平台濫用市場支配地位「二選一」的壟斷行為做出行政處罰決定,對其處以2019年度中國境內銷售額4%的罰款,共計182.28億元,成為迄今中國反壟斷執法機關開出的最高額罰單。(相關解讀:從史上最高罰單看企業反壟斷合規的重要性)同時,總局向該平台發出行政指導書,並於此後要求34家互聯網平台企業做出《依法合規經營承諾》。一系列執法和行政指導舉措均體現了企業在反壟斷領域全面合規的重要性。
我們建議,新經濟領域的平台企業(包括採取/擬採取VIE架構在境外上市的企業)應特別關注經營者集中反壟斷申報的合規要求。國務院反壟斷委員會發布的《關於平台經濟領域的反壟斷指南》(「《平台經濟指南》」)第十八條規定,「涉及協議控制架構的經營者集中,屬於經營者集中反壟斷審查范圍」,明確了VIE架構的企業開展經營者集中時,如營業額標准達標應觸發反壟斷申報義務。2020年以來,總局已陸續查處公布了超過40起涉及VIE架構的未依法申報經營者集中的行政處罰案件,眾多國內知名互聯網公司均有相關案例。特別值得關注的是,近期在平台經濟領域的經營者集中審查和未依法申報審查方面,已出現了禁止集中交易和要求經營者針對應報未報交易採取必要措施恢復市場競爭狀態的決定:
2021年7月10日,總局發布了禁止兩 游戲 直播平台合並的反壟斷審查決定,並詳細說明了認定此項集中具有排除、限制競爭效果的理由。該案是我國平台經濟領域禁止經營者集中第一案,也是第一起僅涉國內企業的禁止經營者集中案件。
2021年7月24日,總局對某互聯網平台違法實施經營者集中案作出行政處罰決定,要求相關經營者採取必要措施恢復市場競爭狀態,包括責令該平台採取解除獨家版權等措施,降低市場進入壁壘,重塑相關市場競爭秩序。
此外,我們建議,新經濟領域的企業還應特別關注數據合規與反壟斷合規的交叉領域。《平台經濟指南》明確提及了經營者利用數據或演算法排除、限制競爭的多種行為模式。(相關解讀:平台經濟領域反壟斷正當時?——相關指南意見稿亮點解讀)如:
壟斷協議與演算法共謀:如經營者通過數據、演算法、平台規則或者其他方式實質上達成協調一致的行為;
濫用市場支配地位限定交易:經營者通過平台規則、數據、演算法、技術等方面的實際設置限制或者障礙的方式限定交易;
濫用市場支配地位實施差別待遇:基於大數據和演算法,根據交易相對人的支付能力、消費偏好、使用習慣等,實行差異性交易價格或者其他交易條件;
此外,平台經營者掌握的數據情況對於認定經營者市場支配地位具有重要意義,《平台經濟指南》明確提及,判斷相關平台是否構成其他經營者進入相關市場的「必需設施」時,需要綜合考慮該平台佔有數據的情況和其他情況。
在當前監管形勢下,反壟斷合規的重要性已無需贅言,相關企業應持續關注反壟斷領域的監管動態,不斷提升自身的反壟斷合規水平。
合規點三:反不正當競爭合規
反不正當競爭合規是另一合規熱點。互聯網時代,信息傳播的高頻性縮短了時間差,競爭對手舉報、消費者投訴舉報、職業打假人的投訴舉報、相關部門的強力監管等都會給企業帶來相當大的壓力,企業若無妥善的預案與風險管理,不僅可能面臨當下的經營困境,也會給未來的上市之路帶來巨大阻礙。以某陌生交友APP上市遇阻為例,其原本計劃於6月24日上市,卻於近日宣布暫停美股IPO流程,市場普遍認為,緊急暫停IPO或與其此前深陷與某競品APP的不正當競爭案件不無關系。
互聯網領域不正當競爭行為主要包括兩大類:一類是傳統不正當競爭行為在互聯網領域的延伸,例如利用互聯網實施混淆仿冒、虛假宣傳、商業詆毀等不正當競爭行為,另一類屬於互聯網領域特有的,利用技術手段實施的不正當競爭行為。例如典型的不正當競爭行為「虛假宣傳」,對其相關的規定散見於《廣告法》、《互聯網廣告管理暫行辦法》、《反不正當競爭法》及相關法規和規范性文件中。在日常運營及籌備上市的過程中,企業往往對如何保證宣傳的真實性,規避「虛假宣傳」的可能范圍缺乏專業的認知,存在一些不完全引用、片面宣傳、歧義性語言而遭受處罰的情況。此時企業應當需要藉助專業團隊,對風險進行預估,同時結合不同地域執法人員執法偏向、發布區域、覆蓋人群等諸多因素進行預判。
自2020年起,眾多互聯網公司均陷入監管部門的反不正當競爭調查。2021年2月8日,總局發布針對某品牌特賣平台的行政處罰決定,認定該平台擾亂公平競爭市場秩序,處以300萬元罰款。這一案例充分說明,互聯網商業模式的迭代和發展已催生更多不同類型的不正當競爭行為,數據的採集和應用方式的多樣化也使得競爭行為更加隱蔽和復雜。隨著執法態勢的日趨嚴格,互聯網行業經營者更應當採取合理、恰當的合規思路去進行合規體系的構建。
合規點四:行業性監管政策變化與合規
今年以來,行業性監管政策的變化頻繁,特別是在關系國計民生的重要領域,相關部門已明確透出強力監管的信號。以教育和交通行業為例,相關領域的平台企業應當密切關注行業性監管政策之下的合規要求。
近期,交通領域的企業受到監管部門的密切關注。2021年7月30日,交通運輸新業態協同監管部際聯席會議召開2021年第二次全體會議,審議《關於加強交通運輸新業態從業人員權益保障工作的意見》,並提出要優化監管框架,加快實現事前事中事後全鏈條監管,特別加強反壟斷監管和反不正當競爭,依法查處網約車和貨運平台壟斷、排除和限制競爭、擾亂市場秩序、侵害司機合法權益等違法行為。此外,前述網信辦對某出行服務平台發起的網路安全審查也充分說明,交通運輸企業(特別是互聯網新經濟平台企業)應特別關注行業性監管政策的重點。交通行業的特殊性之一在於,相關互聯網平台企業在經營過程中必然會掌握大量貨運、城市交通、用戶及司機的相關數據,應特別關注數據安全相關的合規要求。例如,交通運輸行業的大量數據可能被納入重要數據目錄,而《數據安全法》對於重要數據的處理活動已明確提出若干數據安全保護義務,包括:
重要數據的處理者應當明確數據安全負責人和管理機構;
重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估,並向有關主管部門報送風險評估報告;
對影響或者可能影響國家安全的數據處理活動進行網路安全審查;
關鍵信息基礎設施的運營者在我國境內運營中收集和產生的重要數據的出境安全管理應遵守相關法律法規的規定。
同樣,教育行業也屬於民生領域的重點監管行業。今年以來,各大在線教育平台均面臨著總局、教育部等多個部門的強力監管:
5月初,總局組織地方市場監管部門組建專案組,對15家校外培訓機構進行重點檢查後發現其分別存在虛假宣傳或價格欺詐違法行為,對其分別予以頂格罰款,合計已超過3600萬元。
6月15日,教育部公布《關於成立校外教育培訓監管司的通知》,宣布成立校外教育培訓監管司,將承擔面向中小學生(含幼兒園兒童)的校外教育培訓管理、黨建指導與政策擬定。
近日,中共中央辦公廳、國務院辦公廳印發了《關於進一步減輕義務教育階段學生作業負擔和校外培訓負擔的意見》,對於教育行業的互聯網平台公司提出了更高的合規要求。
在行業重壓之下,在線教育平台和各校外培訓機構更應做好業務許可備案、機構備案審查、合規宣傳,在師資合格、信息安全、收費監管等方面充分遵守法律法規的相關要求。
此外,《首次公開發行股票並上市管理辦法》(2020修正)第十八條要求申報期內發行人不得存在重大違法行為。原則上,凡被相關行政機關給予一定金額以上行政處罰的行為,都可能被視為重大違法行為(即「最近36個月內違反工商、稅收、土地、環保、海關以及其他法律、行政法規,受到行政處罰,且情節嚴重」),除非處罰實施機關認定該行為不屬於重大違法行為並依法做出合理說明。因此,企業和中介機構還應審慎把握「重大違法行為」的審核尺度,例如,對於平台企業而言,網路安全與數據合規、反壟斷、反不正當競爭等方面的重大行政處罰,並未被完全排除在「重大違法行為」的范疇之外,這也啟示,相關企業在啟動上市計劃之前應充分重視各方面的合規建設和體系完善。
如前所述,《意見》特別強調對證券違法犯罪案件「堅持零容忍要求」,這呼應了2019年修訂的《證券法》及2020年出台的《刑法修正案(十一)》,體現全面推行注冊制改革下的強監管趨勢。《意見》第二十條還著重強調,加強中概股監管,要求切實採取措施做好中概股公司風險及突發情況應對,推進相關監管制度體系建設。相關企業應重視監管政策的動態變化,無論是境內上市還是境外上市,互聯網平台等新經濟領域(擬)上市企業都應強化合規建設與違規風險防範,以合規創造價值。
注釋:
[1] 參見:中共中央辦公廳 國務院辦公廳印發《關於依法從嚴打擊證券違法活動的意見》,訪問地址:https://www.spp.gov.cn/zdgz/202107/t20210706_523196.shtml。
[2] 參見:《網路安全審查辦公室關於對「滴滴出行」啟動網路安全審查的公告》,訪問地址:http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm;《網路安全審查辦公室關於對「運滿滿」「貨車幫」「BOSS直聘」啟動網路安全審查的公告》,訪問地址:http://www.cac.gov.cn/2021-07/05/c_1627071328950274.htm
[3] 參見:Statement on Investor Protection Related to Recent Developments in China,訪問地址:https://www.sec.gov/news/public-statement/gensler-2021-07-30
[4] 參見《網路安全法》第三十七條及《數據安全法》第三十一條。
[5] 參見《數據安全法》第二十一條。
[6] 參見:《市場監管總局依法對某電商平台在中國境內網路零售平台服務市場實施"二選一"壟斷行為作出行政處罰》,訪問地址:http://www.samr.gov.cn/xw/zj/202104/t20210410_327702.html。
[7] 參見:《市場監管總局依法禁止A公司與B有限公司合並》,訪問地址:http://www.samr.gov.cn/xw/zj/202107/t20210710_332525.html。
[8] 參見:《市場監管總局依法對某控股有限公司作出責令解除網路音樂獨家版權等處罰》,訪問地址:http://www.samr.gov.cn/xw/zj/202107/t20210724_333016.html。
[9] 根據上海市高級人民法院官網信息,U公司訴S公司其他不正當競爭糾紛在2021年4月21日立案,U公司要求賠償2693萬元,並向法院申請了財產保全。5月11日,S公司向美國證券交易委員會提交招股書,申請在納斯達克上市,5月21日,法院凍結S公司2693萬元,並在月底確定案件開庭時間為6月29日。
[10] 《反不正當競爭法》新增了「互聯網專條」(第十二條),要求經營者不得利用技術手段,通過影響用戶選擇或者其他方式,實施下列妨礙、破壞其他經營者合法提供的網路產品或者服務正常運行的行為:(一)未經其他經營者同意,在其合法提供的網路產品或者服務中,插入鏈接、強制進行目標跳轉;(二)誤導、欺騙、強迫用戶修改、關閉、卸載其他經營者合法提供的網路產品或者服務;(三)惡意對其他經營者合法提供的網路產品或者服務實施不兼容;(四)其他妨礙、破壞其他經營者合法提供的網路產品或者服務正常運行的行為。
[11] 參見:市場監管總局發布對某品牌特賣公司不正當競爭案行政處罰決定書,訪問地址:http://gkml.samr.gov.cn/nsjg/jjjzj/202102/t20210210_326097.html。其不正當競爭行為包括:開發並使用巡檢系統以獲取同時在本公司和其他公司上架銷售的品牌經營者信息,利用供應商平台系統、智能化組網引擎、運營中台等提供的技術手段,通過影響用戶選擇,及限流、屏蔽、商品下架等方式,減少品牌經營者的消費注意、流量和交易機會,限製品牌經營者的銷售渠道,妨礙、破壞了品牌經營者及其他經營者合法提供的網路產品和服務正常運行。
[12] 參見:《交通運輸新業態協同監管部際聯席會議召開2021年第二次全體會議》,訪問地址:https://www.mot.gov.cn/jiaotongyaowen/202107/t20210730_3613683.html。
[13] 參見:《市場監管總局就強化校外培訓機構市場監管有關情況舉行專題新聞發布會》,訪問地址:http://www.samr.gov.cn/xw/xwfbt/202106/t20210601_330032.html。
[14] 參見:《教育部辦公廳關於成立校外教育培訓監管司的通知》,訪問地址:http://www.moe.gov.cn/srcsite/A04/s7051/202106/t20210615_538134.html。
[15] 參見:中共中央辦公廳 國務院辦公廳印發《關於進一步減輕義務教育階段學生作業負擔和校外培訓負擔的意見》,訪問地址:http://www.moe.gov.cn/jyb_xxgk/moe_1777/moe_1778/202107/t20210724_546576.html。
來源: 中倫視界
❷ 如何保障政務雲數據合規管理
2016年7月,中共中央辦公廳、國務院辦公廳印發《國家信息化發展戰略綱要》,明確提出要「深化電子政務,推進國家治理現代化」。隨著大量電子公文、檔案、報表和圖片等數據不斷增多,非結構化數據成為政府大數據非常重要的組成部分。面對這些數量大、類型多、存儲散的文檔、圖片、報表等數據,政務雲該如何做到海量非結構化數據安全存儲的同時,又能合規管理是政府信息化建設的一個重大挑戰,也是政務雲必須解決的問題。
愛數AnyShare文檔雲獲得國家涉密資質認可,符合國家電子安全信息等級保護的合規性要求,助力政府行業構建一個合規的政務雲管理系統,實現海量非結構化數據的統一存儲、高效管理。AnyShare文檔雲基於海量文件存儲平台之上,提供了基於文件同步共享的文檔管理體系,整個文檔管理體系以合規性為核心思想,產品已經通過國家保密局涉密文檔管理的測評,符合涉密相關的安全法規。整個文檔合規性,分為兩端三個維度:
愛數AnyShare文檔雲在電子文檔合規管理的大環境下,事前審核,事中管控,事後審計,支持分層授權管理,細粒度許可權管控,全方位保障涉密數據的安全。
實行三員管理的權責分離機制:在一些政府單位,管理員許可權太大,管理不規范,可以隨意查看涉密部門的資料,無法保障數據的安全。AnyShare文檔雲基於統一的私有雲存儲,細分系統、安全、日誌審計等管理許可權,確保三個管理角色相互制約與平衡,充分保障電子文件的安全。
密級許可權管理體系:AnyShare文檔雲通過對用戶、文件和系統設置不同的密級,保障文檔數據可以安全的被分享給具有相應密級許可權的人,避免高密級的文件資料被隨意訪問導致的信息泄露。
非法內容管控:AnyShare文檔雲對於群組共享的數據,如果發現有非法數據或者敏感數據可以對此內容進行舉報,在發現或者收到舉報時,對非法數據刪除、隔離,停止相關人共享的行為,敏感信息搜索與清理。
3.存儲系統合規
愛數AnyShare文檔雲能夠對政府單位的文檔、圖片、報表等非結構化數據,提供海量的文件存儲區域,通過標準的CIFS、NFS、Samba協議,無縫的打通政府單位內各個業務系統,實現海量非結構化數據的統一存儲、統一管理。同時,當大量業務系統的附件存放於傳統存儲伺服器上時,會帶來缺乏有效監督和業務文件存儲不合規的問題,愛數AnyShare文檔雲可以輕松應對這樣的難題。並且基於分布式對象存儲機制,支持WORM特性,在固化區歸檔存儲的數據,應用層和系統層均無法修改,確保電子檔案數據無法被刪除、篡改。
同時,愛數AnyShare文檔雲還能夠在提供海量數據存儲的基礎上,提供多種數據處理服務。如,全文檢索服務,通過AnyShare能夠按照文件名稱、文件內容、訪問者許可權等多種條件進行全文檢索。
4.文檔安全合規分析
愛數AnyShare文檔雲提供海量大數據日誌分析選件,用於針對文檔管理訪問日誌、終端防泄密安全日誌(第三方防泄密軟體)的統一實時日誌分析,具有三大特色:
服務於管理和運營:提供文檔運營成效分析報表和文檔動態報表;
服務於安全合規和審計:提供文檔全生命周期痕跡分析審查、合規性分析報表;
服務於普通用戶(可選):提供可視化的文檔歷史記錄報告。
電子政務時代,政務雲的興起是挑戰也是機遇。愛數AnyShare文檔雲既滿足政務海量非結構化數據合規管理的需要,又符合億萬級電子文件安全存儲的需求,助力政府打造更加合規、安全的政務雲平台,幫助公眾享受到雲計算技術帶來的優質服務。
------------------------
以上內容轉自公眾號:愛數--提供數據管理基礎設施的雲計算公司
❸ 網路安全合規涉及的監管部門主要哪些
《網路安全法》第八條提出國家網信部門負責統籌協調網路安全工作和相關監督管理工作。電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定,在各自職責范圍內負責網路安全保護和監督管理工作。
2015年6月,第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網路安全法(草案)》。 網路安全法草案於2015年7月6日至2015年8月5日在中國人大網上全文公布,並向社會公開徵求意見。
《中華人民共和國網路安全法》一共分七章七十九條。2017年6月1日,不僅僅是一年一度的兒童節,還是《中華人民共和國網路安全法》正式生效的日子。
從今日起,我國網路安全工作有了基礎性的法律框架,針對網路亦有了更多法律約束,中國信息安全行業進入新的時代。
❹ 數據爬蟲行為如何合規
前言
由於網路數據爬取行為具有高效檢索、批量復制且成本低廉的特徵,現已成為許多企業獲取數據資源的方式。也正因如此,一旦爬取的數據設計他人權益時,企業將面臨諸多法律風險。本文將從數據爬取行為的相關概述、數據爬取相關立法規定,結合數據爬取行為近期典型案例,探討數據爬取行為的合規要點。
一、數據爬取行為概述
數據爬取行為是指利用網路爬蟲或者類似方式,根據所設定的關鍵詞、取樣對象等規則,自動地抓取萬維網信息的程序或者腳本,並對抓取結果進行大規模復制的行為。
使用爬蟲爬取數據的過程當中,能否把握合法邊界是關系企業生死存亡的問題。近些年大數據、人工智慧的廣泛使用,對各種數據的剛性需求,使數據行業遊走在「灰色邊緣」。面對網路數據安全的「強監管」態勢,做好數據合規、數據風控刻不容緩。當前我國並沒有相關法律法規對數據爬取行為進行專門規制,而是根據爬取數據的不同「質量」,主要通過《中華人民共和國著作權法》(以下簡稱「《著作權法》)、《中華人民共和國反不正當競爭法》(以下簡稱「《反不正當競爭法》」)、《中華人民共和國刑法》(以下簡稱「《刑法」》)等現有法律法規進行規制。
二、數據爬取相關法律責任梳理
(一)承擔刑事責任
1、非法侵入計算機信息系統罪
《刑法》第285條第1款規定了「非法侵入計算機信息系統罪」,違反國家規定,侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的,處三年以下有期徒刑或者拘役。
典型案例:李某等非法侵入計算機信息系統罪(2018)川3424刑初169號
本案中,被告人李某使用「爬蟲」軟體,大量爬取全國各地及涼山州公安局交警支隊車管所公告的車牌放號信息,之後使用軟體採用多線程提交、批量刷單、驗證碼自動識別等方式,突破系統安全保護措施,將爬取的車牌號提交至「交通安全服務管理平台」車輛報廢查詢系統,進行對比,並根據反饋情況自動記錄未注冊車牌號,建立全國未注冊車牌號資料庫。之後編寫客戶端查詢軟體,由李某通過QQ、淘寶、微信等方式,以300-3000元每月的價格,分省市販賣資料庫查閱許可權。
法院認為,被告人李文某為牟取私利,違法國家規定,侵入國家事務領域的計算機信息系統,被告人的行為均已構成非法侵入計算機信息系統罪。
2、非法獲取計算機信息系統數據罪
《刑法》第285條第2款規定如下,違反國家規定,侵入前款規定以外的計算機信息系統或者採用其他技術手段,獲取該計算機信息系統中存儲、處理或者傳輸的數據,或者對該計算機信息系統實施非法控制,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。同時,《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用刑事案件應用法律若干問題的解釋》第1條對「情節嚴重」作出了具體的規定:「非法獲取計算機信息系統數據或者非法控制計算機信息系統,具有下列情形之一的,應當認定為刑法第二百八十五條第二款規定的「情節嚴重」:(一)獲取支付結算、證券交易、期貨交易等網路金融服務的身份認證信息十組以上的;(二)獲取第(一)項以外的身份認證信息五百組以上的;(三)非法控制計算機信息系統二十台以上的;(四)違法所得五千元以上或者造成經濟損失一萬元以上的;(五)其他情節嚴重的情形。」
典型案例:李某、王某等非法獲取計算機信息系統數據、非法控制計算機系統案(2021)滬0104刑初148號
本案中,益采公司在未經淘寶(中國)軟體有限公司授權許可的情況下,經李某授意,益采公司部門負責人被告人王某、高某等人分工合作,以使用IP代理、「X-sign」簽名演算法等手段突破、繞過淘寶公司的「反爬蟲」防護機制,再通過數據抓取程序大量非法抓取淘寶公司存儲的各主播在淘寶直播時的開播地址、銷售額、觀看PV、UV等數據。至案發,益采公司整合非法獲取的數據後對外出售牟利,違法所得共計人民幣22萬余元。法院認為被告人李某、王某、高某等人構成非法獲取計算機信息系統數據罪,分別判處有期徒刑二年六個月、一年三個月不等,並處罰金。
法院認為,被告人李文某為牟取私利,違法國家規定,侵入國家事務領域的計算機信息系統,被告人的行為均已構成非法侵入計算機信息系統罪。
3、提供侵入、非法控制計算機信息系統程序、工具罪
《刑法》第285條第3款對該罪規定如下,提供專門用於侵入、非法控制計算機信息系統的程序、工具,或者明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具,情節嚴重的,依照前款的規定處罰。《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用刑事案件應用法律若干問題的解釋》中還列舉了「具有避開或者突破計算機信息系統安全保護措施,未經授權或者超越授權獲取計算機信息系統數據的功能的」等類型的程序、工具。
典型案例:陳輝提供侵入、非法控制計算機信息系統程序、工具罪(2021)粵0115刑初5號
本案中,被告人陳輝為牟取非法利益,在本區編寫爬蟲軟體用於在浙江淘寶網路有限公司旗下的大麥網平台上搶票,並以人民幣1888元到6888元不等的價格向他人出售該軟體,非法獲利人民幣12萬余元。2019年7月11日,被告人陳輝被公安機關抓獲。經鑒定,上述爬蟲軟體具有以非常規的方式構造和發送網路請求,模擬用戶在大麥網平台手動下單和購買商品的功能;具有以非常規手段模擬用戶識別和輸入圖形驗證碼的功能,該功能可繞過大麥網平台的人機識別驗證機制,以非常規方式訪問大麥網平台的資源。
本院認為,被告人陳輝提供專門用於侵入、非法控制計算機信息系統程序、工具,情節特別嚴重,依法應予懲處。
4、 侵犯公民個人信息罪
《刑法》第253條中規定了該罪,違反國家有關規定,向他人出售或者提供公民個人信息,情節嚴重的,處三年以下有期徒刑或者拘役,並處或者單處罰金;情節特別嚴重的,處三年以上七年以下有期徒刑,並處罰金。違反國家有關規定,將在履行職責或者提供服務過程中獲得的公民個人信息,出售或者提供給他人的,依照前款的規定從重處罰。竊取或者以其他方法非法獲取公民個人信息的,依照第一款的規定處罰。
典型案例:杭州魔蠍數據 科技 有限公司、周江翔、袁冬侵犯公民個人信息罪(2020)浙0106刑初437號
本案中,被告人周江翔系魔蠍公司法定代表人、總經理,負責公司整體運營,被告人袁冬系魔蠍公司技術總監,系技術負責人,負責相關程序設計。魔蠍公司主要與各網路貸款公司、小型銀行進行合作,為網路貸款公司、銀行提供需要貸款的用戶的個人信息及多維度信用數據,方式是魔蠍公司將其開發的前端插件嵌入上述網貸平台A**中,在網貸平台用戶使用網貸平台的APP借款時,貸款用戶需要在魔蠍公司提供的前端插件上,輸入其通訊運營商、社保、公積金、淘寶、京東、學信網、徵信中心等網站的賬號、密碼,經過貸款用戶授權後,魔蠍公司的爬蟲程序代替貸款用戶登錄上述網站,進入其個人賬戶,利用各類爬蟲技術,爬取(復制)上述企、事業單位網站上貸款用戶本人賬戶內的通話記錄、社保、公積金等各類數據。
法院認為,被告單位杭州魔蠍數據 科技 有限公司以其他方法非法獲取公民個人信息,情節特別嚴重,其行為已構成侵犯公民個人信息罪。被告人周江翔、袁冬分別系對被告單位魔蠍公司侵犯公民個人信息行為直接負責的主管人員和其他直接責任人員,其行為均已構成侵犯公民個人信息罪。
5、侵犯著作權罪
根據《刑法》第217條規定,以營利為目的,有下列侵犯著作權或者與著作權有關的權利的情形之一,違法所得數額較大或者有其他嚴重情節的,處三年以下有期徒刑,並處或者單處罰金;違法所得數額巨大或者有其他特別嚴重情節的,處三年以上十年以下有期徒刑,並處罰金:(一)未經著作權人許可,復制發行、通過信息網路向公眾傳播其文字作品、音樂、美術、視聽作品、計算機軟體及法律、行政法規規定的其他作品的;(二)出版他人享有專有出版權的圖書的;(三)未經錄音錄像製作者許可,復制發行、通過信息網路向公眾傳播其製作的錄音錄像的;(四)未經表演者許可,復制發行錄有其表演的錄音錄像製品,或者通過信息網路向公眾傳播其表演的;(五)製作、出售假冒他人署名的美術作品的;(六)未經著作權人或者與著作權有關的權利人許可,故意避開或者破壞權利人為其作品、錄音錄像製品等採取的保護著作權或者與著作權有關的權利的技術措施的。
典型案例:譚某某等侵犯著作權罪(2020)京0108刑初237號
本案中,被告鼎閱公司自2018年開始,在覃某某等12名被告人負責管理或參與運營下,未經掌閱 科技 股份有限公司、北京幻想縱橫網路技術有限公司等權利公司許可,利用網路爬蟲技術爬取正版電子圖書後,在其推廣運營的「鴻雁傳書」「TXT全本免費小說」等10餘個App中展示,供他人訪問並下載閱讀,並通過廣告收入、付費閱讀等方式進行牟利。根據經公安機關依法提取收集並經勘驗、檢查、鑒定的涉案侵權作品信息數據、賬戶交易明細、鑒定結論、廣告推廣協議等證據,法院查明,涉案作品侵犯掌閱 科技 股份有限公司、北京幻想縱橫網路技術有限公司享有獨家信息網路傳播權的文字作品共計4603部,侵犯中文在線數字出版集團股份有限公司享有獨家信息網路傳播權的文字作品共計469部。
法院認為,鼎閱公司、直接負責的主管人員覃某某等12名被告人以營利為目的,未經著作權人許可,復制發行他人享有著作權的文字作品,情節特別嚴重,其行為均已構成侵犯著作權罪,應予懲處。
(2) 構成不正當競爭
我國《反不正當競爭法》第12條規定:「經營者利用網路從事生產經營活動,應當遵守本法的各項規定。經營者不得利用技術手段,通過影響用戶選擇或者其他方式,實施下列妨礙、破壞其他經營者合法提供的網路產品或者服務正常運行的行為:(一)未經其他經營者同意,在其合法提供的網路產品或者服務中,插入鏈接、強制進行目標跳轉;(二)誤導、欺騙、強迫用戶修改、關閉、卸載其他經營者合法提供的網路產品或者服務;(三)惡意對其他經營者合法提供的網路產品或者服務實施不兼容;(四)其他妨礙、破壞其他經營者合法提供的網路產品或者服務正常運行的行為。
典型案例:深圳市騰訊計算機系統有限公司、騰訊 科技 (深圳)有限公司與被告某新媒體公司不正當競爭糾紛案
本案中,兩原告系微信公眾平台的經營者和管理者,被告某新媒體公司系某網站經營者,利用爬蟲技術抓取微信公眾平台文章等信息內容數據,並通過網站對外提供公眾號信息搜索、導航及排行等數據服務。原告訴稱,被告利用被控侵權產品,突破微信公眾平台的技術措施進行數據抓取,並進行商業化利用,妨礙平台正常運行,構成不正當競爭。被告辯稱,爬取並提供公眾號數據服務的行為不構成不正當競爭,其爬取的文章並非騰訊公司的數據,而是微信公眾號的用戶數據,且其網站獲利較少。
法院認為,被告違背誠實信用原則,擅自使用原告徵得用戶同意、依法匯集且具有商業價值的數據,並足以實質性替代其他經營者提供的部分產品或服務,損害公平競爭的市場秩序,屬於《反不正當競爭法》第十二條第二款第四項所規定的妨礙、破壞其他經營者合法提供的網路產品或者服務正常運行的行為,構成不正當競爭。
(3) 行政責任
我國當前關於爬蟲行為所應承擔的行政責任主要規定在《網路安全法》中,其中涉嫌違反第27條規定的:「任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動;不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路數據等危害網路安全活動的程序、工具;明知他人從事危害網路安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。」,需要承擔一定的行政責任。該法第63條對違反第27條還規定了具體的行政處罰措施,包括「沒收違法所得」「拘留」「罰款」等處罰。同時,對違反27條規定受到處罰的相關人員也作出了任職限制規定。
此外,《數據安全管理辦法(徵求意見稿)》第16條對爬蟲適用作出了限流規定:「網路運營者採取自動化手段訪問收集網站數據,不得妨礙網站正常運行;此類行為嚴重影響網站運行,如自動化訪問收集流量超過網站日均流量三分之一,網站要求停止自動化訪問收集時,應當停止。」同時,第37條也規定了相應的行政責任:網路運營者違反相關規定的,由有關部門給予公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰。
三、數據爬取行為的合規指引
(一)嚴格規范數據爬取行為
1、如果目標網站有反爬取協議,應嚴格遵守網站設置的 Robots協議。Robots協議(也稱為爬蟲協議、機器人協議等)的全稱是「網路爬蟲排除標准」,網站通過Robots協議告訴搜索引擎哪些頁面可以抓取,哪些頁面不能抓取。該協議尊重信息提供者的意願,並維護其隱私權;保護其使用者的個人信息和隱私不被侵犯。Robots協議代表一種契約精神,互聯網企業只有遵守這一規則,才能保證網站及用戶的隱私數據不被侵犯。可以說,無論從保護網民隱私還是尊重版權內容的角度,遵守robots協議都應該是正規互聯網公司的默之舉,任何違反robots協議的行為都應該為此付出代價。
2、合理限制抓取的內容。在設置抓取策略時,應注意編碼禁止抓取視頻、音樂等可能構成作品的、明確的著作權作品數據,或者針對某些特定網站批量抓取其中的用戶生成內容;在使用、傳播抓取到的信息時,應審查所抓取的內容,如發現屬於用戶的個人信息、隱私或者他人的商業秘密的,應及時停止並刪除。對於內部系統數據,嚴格禁止侵入。
3、爬取行為不應妨礙網站的正常運行。企業應當合理控制爬取的頻率,盡可能避免過於頻繁地抓取數據,特別是如果超過了《數據安全管理辦法(徵求意見稿)》明確規定的「自動化訪問收集流量超過網站日均流量三分之一」的要求,就應當嚴格遵守網站的要求,及時停止數據抓取。
(二)爬取個人信息時恪守合法、正當、必要原則
在我國,合法、正當、必要原則散見於《消費者權益保護法》、《網路安全法》、《全國人大常委會關於加強網路信息保護的決定》、《個人信息安全規范》等法律與規范之中。網路經營者擬爬取用戶個人信息的,應當嚴格遵守上述法律法規的規定,以取得個人用戶的事前同意為原則,避免超出用戶的授權范圍爬取信息。同樣地,數據接受方也應當對以爬蟲方式獲取的他人信息進行合法性審查,了解個人信息主體是否同意共享個人信息數據。
(三)爬取商業數據時謹防構成不正當競爭
在數字內容領域,數據是內容產業的核心競爭資源,內容平台經過匯總分析處理後的數據往往具有極高的經濟價值,因此非法爬取行為在某些具體應用場景下會被認定為構成不正當競爭。尤其是對於雙方商業模式相同或近似、獲取對方的信息會對對方造成直接損害的,企業應重點予以防範。如果存在此種情形,則應當謹慎使用爬取獲取被爬取網站的數據。
四、結語
隨著大數據時代的來臨以及數字技術的蓬勃發展,數據的價值日益凸顯,部分企業通過數據爬取技術更加高效地獲取和深度地利用相關數據,從而彌補企業自身數據不足的現狀,支撐企業的商業化發展。對於這些企業而言,「網路爬蟲如何爬取信息數據才是合法的?」「爬取數據時如何做到合規?」是亟待解決的一大難題。作為法律工作者,應當從法律的專業角度給企業提供強有力的合規指引,為促進高新技術企業的發展,進而全面提升國家 科技 創新能力做出應有的貢獻。
❺ 專家:車企網路和數據安全將照「章」操作
中新經緯4月2日電 (孫慶陽)近期,工信部印發《車聯網網路安全和數據安全標准體系建設指南》(下稱《指南》),明確了中國車聯網網路安全和數據安全標准體系的發展時間表,以及階段性任務。
當下,聯網數據被過度採集和濫用、數據被竊取和篡改造成安全事件頻發。大數據安全即掌握核心技術又關系國計民生,車聯網網路安全如何從中突圍,最終實現高質量發展?
消費者對車聯網信息安全仍存顧慮
自2021年9月中國第一部《數據安全法》正式出台以來,車聯網數據安全領域已逐漸出現業務落地場景,整個車聯網數據安全行業處於快速起步時期。但隨著智能網聯技術發展, 汽車 智能化正成為「移動智能終端」。當下,越來越多的 汽車 企業在後台收集並使用這些海量用戶數據,這也對個人隱私帶來了潛在的風險。
對此,全國乘用車市場信息聯席會秘書長崔東樹也給出了「整體信心一般」的類似觀點,他表示,隱私信息「安全感」的缺失主要是有些功能需要許可權,進而被濫用,用戶卻無法專業判斷。
補足標准才能推動新技術發展
《指南》將車聯網網路安全和數據安全標准體系劃分為六大部分共20類標准,幾乎涵蓋網安領域所有細分小項,其中重點涉及到的安全領域包括為數字證書、密碼應用、物聯網安全、通信安全、身份認證、數據安全等。
崔東樹對中新經緯研究院表示,標准應對了智能化、網聯化發展新趨勢,加速測試應用的環境保障和法規支持,有利於智能網聯 汽車 的發展。
《指南》提出到2023年底,初步構建起車聯網網路安全和數據安全標准體系,完成50項以上急需標準的研製;到2025年,形成較為完善的車聯網網路安全和數據安全標准體系,完成100項以上標準的研製。
「以建立安全標準的方式,來維護車聯網網路安全和數據安全」,盤和林總結出《指南》的三方面亮點:一是堅持需求導向,產學研用融合,共同來推動網路安全和數據安全標準的建立;二是堅持市場主體企事業單位的參與,讓車聯網企業參與到標准制定上來,而非一刀切的推進;三是重點、急用先行,在標准制定上區分輕重緩急,而非所有標准一起推進,有側重的推出一部分標准以推動車聯網快速發展。
盤和林進一步強調,車聯網、自動駕駛系統研發企業將獲益,當前中國自動駕駛企業蓬勃發展,但距離自動駕駛技術應用場景落地尚有距離,其主要原因是當前缺乏自動駕駛普及的軟環境,而網路安全和數據安全標準是自動駕駛、車聯網落地的重要一環,只有補足了標准,才能推動新技術的發展。
前瞻產業研究院指出,中國車聯網市場規模有望在2026年達到8千億元人民幣,2021-2026年平均復合增長率將達到30.36%。另據中汽協預測,2025年中國 汽車 銷量或將達到3000萬,新增智能網聯 汽車 的銷量約為900萬。
車企數據安全管理需合法合規
值得注意的是,與2021年6月發布的《車聯網(智能網聯 汽車 )網路安全標准體系建設指南》(徵求意見稿)相比,「數據安全」在《指南》中被提升到了與網路安全同等重要的地位。但近年來有關智能 汽車 數據安全糾紛屢現。2021年上海車展期間特斯拉女車主維權事件,特斯拉的數據保存與使用安全風險曾引起激烈討論。
企業意圖利用數據「金礦」,來改善產品性能,進而提升用戶體驗。但用戶在讓渡隱私與獲得便利性的同時,企業卻屢現數據處理問題。針對此類情況,盤和林給出建議:首先要透明。「採用哪些數據,哪些敏感,存放在哪,平台有哪些信息保護規則?」都需要告知消費者,未經同意則不得隨意收集相關數據;其次要監管。數據使用規則需要遞交監管備案,而監管也要驗證企業的數據安全措施是否到位;再次要標准。數據使用、儲存、處理等,都要建立安全標准,不符合標準的企業不得使用用戶信息數據;最後要技術。比如通過隱名化和匿名化來打包數據,比如完善數據安全技術,比如利用分布式數據存儲。
那麼, 汽車 廠商該如何完善數據安全管理?盤和林表示,可以通過組建數據信息安全管理部門來應對數據安全和網路安全,亦可考慮通過合格第三方,將數據存放和管理的責任進行外包,「專業的人做專業的事」。同時也要增加相關方面的人才儲備,建設安全團隊。
南開大學競爭法研究中心主任、法學院教授陳兵則表示, 汽車 廠商需要積極跟進國內外車聯網數據安全、數據出境方面的標准、法律及監管規范的最新要求,在堅決維護國家安全和用戶安全的基礎上合法合規經營。同樣,演算法治理作為整個數字經濟整體治理與系統治理的關鍵環節,不僅涉及到市場治理,還涉及到 社會 治理與國家總體安全。
中國隨著《數據安全法》《網路安全法》《關鍵信息基礎設施安全保護條例》等法律法規的出台,從持續開展違法違規收集使用個人信息專項治理,到國家安全機關等協同配合做好網路安全防範工作,各地各部門不斷加大對相關違法犯罪活動的整治打擊力度。如今的網路安全,不僅關乎個人和企業安全,也關乎國家安全。「築牢數字安全屏障」已成為國家發展的重要議題。(中新經緯APP)
❻ 為什麼要發展數字經濟
發展數字經濟是新一輪科技革命和產業變革的大勢所趨。 當前,數字技術創新和迭代速度明顯加快,成為集聚創新要素最多、應用前景最廣、輻射帶動作用最強的技術創新領域。 以人工智慧、大數據、物聯網、雲計算、區塊鏈、虛擬現實、移動互聯網等為代表的新一代信息技術迅猛發展,不斷催生新產品新模式新業態新產業。
相關說明
數字經濟的特徵表明,在知識的創新階段,知識應用的范圍越廣泛,涉及到的客戶越多,就能創造越多的價值。在知識的普及階段和模仿階段,由於時效性問題,知識在發達國家的邊際報酬下降。在發展中國家卻能維持很高的邊際報酬。
因為對於發展中國家來說,這些知識仍然是最新的、最具時間價值的。信息技術進入21世紀以來正處於普及和模仿階段,向發展中國家擴散符合發達國家的最高利益,這可以大大提高發展中國家的信息化速度。
❼ 數據安全法合規指引
2021年6月10日,經第十三屆全國人民代表大會常務委員會第二十九次會議審議,通過了《中華人民共和國數據安全法》(簡稱「《數據安全法》「),該法將於2021年9月1日起施行。
法律依據:
《中華人民共和國數據安全法》
第六條各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。
工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。
公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責范圍內承擔數據安全監管職責。
國家網信部門依照本法和有關法律、行政法規的規定,負責統籌協調網路數據安全和相關監管工作。
第七條國家保護個人、組織與數據有關的權益,鼓勵數據依法合理有效利用,保障數據依法有序自由流動,促進以數據為關鍵要素的數字經濟發展。
❽ 五大賽道、八位專家,銀行局中人眼裡的AI江湖
誰說大象不能跳舞?
2020於全體銀行而言,是一場無預告的終極考驗,一輪最直觀的金融 科技 對決。疫情讓網點流量驟降到接近於0,全方位挑戰銀行線上服務水平,檢驗那些連年增加的 科技 投入,有多少真正變作數字化、智能化的一點一滴。
踏進2021,銀行們迎來周密復盤、整裝待發的最好時間節點。
在過去這一年,銀行更努力地擺脫大象轉身的刻板印象,告別以往被各路創新推著走的窘況,試圖在金融 科技 和數字新基建的浪潮里承擔更主動、開放的角色,以輕快敏捷的步伐持續向前。
沒有一家銀行不想擁抱AI,沒有人願意錯過數智化轉型的未來。在梳理數十家銀行AI全布局,以及 「銀行業AI生態雲峰會」 多位嘉賓的分享過程中,我們逐漸發現銀行業AI的那些挑戰和困境,那些艱險之處同樣是機遇所在。
數據安全與隱私保護
銀行業AI,首先被AI本身正面臨的數據困境,和日漸收緊的數據監管尺度攔住。
在技術維度不斷向前奮進的同時,銀行必然要思考的一個議題是:業務創新與隱私保護如何兼顧?
雷鋒網AI金融評論主辦的 《聯邦學習系列公開課》 曾對這一問題展開過系統深入的探討。第一節課上, 微眾銀行首席人工智慧官楊強 就直接點明:「人工智慧的力量來自於大數據,但在實際運用過程中碰到更多的都是小數據。」
平安 科技 副總工程師王健宗 也在課上指出,「傳統的AI技術必須從海量的數據中學習或者挖掘一些相關的特徵,利用數學理論,去擬合一個數學模型,找到輸入和輸出的對應關系,比如深度學習中訓練網路的權重和偏置,模型效果與數據量級、質量、以及數據的真實性等有著密切的關系。」
一個典型例子就是銀行信貸風控:現在大部分AI應用都由數據驅動,信貸風控更需要大量數據訓練,但大額貸款風控的案例又非常少。「要是來做深度學習模型,只用少量這種大額貸款的樣本遠遠不夠。」楊強解釋。
小數據需要「聚沙成塔」,同時又面臨侵犯隱私的可能。為此,網路安全與數據合規領域的立法進入了快車道,濫用數據和爬蟲也受到過嚴厲整治。
雖然目前《數據安全法》還只是處於草案的狀態,但是草案明確提出要關注數據本身的使用,需要在保護公民組織、相關權益的前提下,促進數據為關鍵要素的經濟發展。
數據被稱作是新時代的油田,但銀行該怎樣通過AI摸索出更高效、更合規的開采工具?
在「銀行業AI生態雲峰會」第一場演講中, 微眾銀行區塊鏈安全科學家嚴強博士 就對銀行必備的數據安全與隱私保護思維,進行了深入討論。他指出:
在數字經濟時代下,銀行業AI發展 必須要尊重「數據孤島」作為數據產業的原生態,隱私保護技術則是打破數據價值融合「零和博弈」的關鍵,需要打通隱私數據協同生產的「雙循環」。
而 區塊鏈 是承載數據信任和價值的最佳技術,對於隱私計算和AI應用中常見的數據品質等難題,都可以通過區塊鏈進行互補或提升效果。
聯邦學習、TEE可信計算、安全多方計算等多個AI技術路線也正嘗試落地於銀行的核心業務場景。
AI金融評論了解到,除了微眾銀行, 江蘇銀行 2020年也已開展聯邦學習方向的 探索 ,他們與騰訊安全團隊合作,基於聯邦學習技術對智能化信用卡經營進行聯合開發和方案部署,在聯邦學習技術支持下進行金融風控模型訓練。
銀行資料庫
以「數據」為線,銀行前中後台的升級軌跡清晰可見。
如果說前些年的銀行 科技 ,討論度更集中在前台智能化應用,那麼如今中後台建設開始更多地來到聚光燈下,討論它們為銀行數字化轉型呈現的價值和意義。
這當中的一個重要模塊,就是 銀行資料庫 的改造升級。
我們曾經報道,Oracle自進入中國市場以來,在銀行資料庫市場,一直具有壓倒性優勢,也是許多銀行的采購首選。
由於長期使用Oracle,不少銀行形成較嚴重的路徑依賴。平安銀行分布式資料庫技術負責人李中原也曾向AI金融評論表示,系統遷移和重新建設需要大量成本,從單機變為多機群體,故障發生的故障發生的概率和維護成本都會加大,對整體系統運維將是巨大挑戰。(詳見 《銀行業「求變」之日,國產資料庫「破局」之時》 )
但隨著銀行業務創新需求愈發復雜,傳統資料庫在技術邊界、成本、可控性方面越來越不相匹配;采購資料庫的來源單一也讓銀行陷入非常被動的處境。
而雲計算的出現,讓Oracle在資料庫市場接近壟斷的地位有所動搖,各大互聯網雲廠商殺入戰場。
騰訊雲副總裁李綱就表示,雲化資料庫勝在成本低、易擴容兩大特點,任意一台X86的PC伺服器就可以運行,理論上也有著無限的橫向擴展能力,這都是Oracle等傳統資料庫難以企及的優點。
中國數千家銀行由此獲得更多選擇餘地,開始從集中式資料庫遷移到分布式資料庫,一場事關「大機下移」的漫長征途就此展開。
這場變革已有先行者,例如 張家港行 在2019年就將其核心業務系統放在了騰訊雲TDSQL資料庫上,傳統銀行首次為核心系統選用國產分布式資料庫;2020年,平安銀行信用卡的核心系統也完成切換投產,新核心系統同樣採用了國產資料庫。
在「銀行業AI生態雲峰會」上, 騰訊雲資料庫TDSQL首席架構師張文 就深入分享了張家港行和平安銀行這兩個典型的資料庫遷移轉型案例。
以 平安銀行 為例,其體量之大,意味著應用改造更具挑戰性。張文解釋道,為了配合此次改造,應用引入了微服務架構對應用進行了拆分和解耦。對賬號的分布進行了單元化劃分,以DSU為一個邏輯單元,單個DSU包含200萬個客戶信息,單個DSU同時處理聯機和賬務兩種業務。
但國產分布式資料庫也同樣還在成長當中,張文也指出了目前金融級分布式資料庫面臨一系列挑戰點,除了有可伸縮、可擴展的能力,更要解決高可用性、數據強一致性,同時 探索 更具性價比的性能成本,以及為金融機構打造更易上手的、更產品化的成熟解決方案。
中台建設
「中台建設」這個熱門關鍵詞,不再是互聯網公司的專屬。銀行也不例外,甚至更需要中台。
銀行這樣的大型機構,架構極其復雜,還有跨部門多團隊的協作,海量數據日積月累之下如同年久失修的危樓,更需要及時、持續的治理。
在看來,銀行擁有大量的數據、技術和人才,資源卻往往「各行其是」,部門之間沒有配合意識、獨立造煙囪;技術流於表面,無法鏈接、深入,這造成了銀行資源的大量浪費。
中台 的體系化建設和順利運轉,才能將這龐大體系中的「死結」一一梳開。
建設銀行 監事長王永慶就曾指出:中台建設是商業銀行數字化經營轉型的關鍵環節,認為商業銀行數字化轉型的必然歸宿是生態化、場景化。
盡管商業銀行在多年經營過程中沉澱了一定的競爭優勢,形成了各具特色的內部生態系統,但目前仍是封閉的、高冷的,還無法滿足數字經濟對開放式生態化經營可交互、高黏性、有體感、無邊界的要求。
因此,建行也已在數據中台先行一步,其落地上概括為5U(U是統一的意思),包括統一的模型管理、統一的數據服務、統一的數據視圖,統一的數據規范以及統一的數據管理。
為求輕松支撐億級用戶,實現高時效、高並發場景化經營, 招商銀行 近兩年也在中台和技術生態體系的建設上持續發力。去年年底發布的招商銀行App 9.0,迭代需求點超過1800項,「10+N」數字化中台建設就占據了相當的比重。
如何構建金融機構需要的數據中台?
在「銀行業AI生態雲峰會」上, 360數科首席科學家張家興 就用「三通三快」概括了數據中台的標准:
金融機構面對著海量用戶、復雜業務,一個優秀的數據中台,必須是達到多業務打通,內外數據互通和用戶關系連通,同時還要做到數據的實時處理快、使用快、需求響應快。
他進一步強調,數據與AI融合得非常緊密,如果數據中台和AI中台各自建設,兩者之間將不可避免地存在割裂的現象。
基於此,360數科也推出了自己的數據AI融合中台,將最上層數據平台,到中間數據服務支撐的平台服務,再到整個數據資產的管理,到最下面整個數據技術架構的設計都進行調整,並且將自身沉澱的AI能力嵌入其中。
張家興也在雲峰會的演講上透露,360數科研發了一項聯邦學習技術——分割式神經網路,通過神經網路在高維空間,Embedding不可逆的特性,使得不同參與的數據合作方只需要傳遞Embedding向量,見不到原始數據,但最終可以使模型產生目標效果。
銀行信貸智能風控
而在過去一年裡,銀行信貸風險管理,仍然是最引人關注的方向之一。
關注度一方面來自於,受疫情影響而劇增的貸款逾期和壞賬風險,如何藉助技術手段「端穩這碗水」,把握好信貸支持尺度,成為銀行、消金公司和風控技術服務商們的開年大考。(詳見 《信貸戰「疫」:一場給風控的開年大考》 )
而另一方面,2020年下半年起,針對金融 科技 或是互聯網金融的監管「紅線」逐漸清晰。例如《商業銀行互聯網貸款管理暫行辦法》,其中就明確提出了對商業銀行的風險管控要求,和對合作機構的管理規范。
盡管結合AI、大數據的智能風控在銀行 科技 應用中不再新鮮,但這並不意味著智能風控已經足夠成熟—— 數據資源壁壘、自有數據累積、數據特徵提煉、演算法模型提升 ,被認為是大數據風控目前所面臨四大困境。
某商業銀行負責人就曾表示,在模型建設和模型應用過程中普遍存在數據質量問題,包括外部數據的造假(黑產欺詐)和內部數據的濫用等,在模型迭代方面,很多銀行只追求迭代的速度和頻次,而忽略了最終效果。
前網路金融CRO、融慧金科CEO王勁 進一步指出,數據規范和治理體系不健全,數據質量差且缺失率高,技術能力不足,復合型 科技 人才匱乏等因素都是銀行等金融機構無法做好模型的重要原因。
王勁曾在有著「風控黃埔軍校」之稱的美國運通工作17年,負責過全球各國各類產品相關的700餘個模型提供政策制度和獨立監控。在雲峰會上,他也結合自身二十餘年風控經驗,剖析了金融風險管理中的那些理念誤區。
「很多人並不是特別理解,風險管理永遠是一個尋找平衡點的科學。」王勁認為,風險管理平衡有著這樣的核心三問:
他也解析了銀行等持牌金融機構做好風險管理平衡的核心要素,談到風險管理最重要的就是對數據的把控,「金融公司成立之初就要思考數據的生命周期。首先要從對業務產品和客戶的選擇當中,決定需要什麼樣的數據。」
數據戰略是一個相對長期的落地過程,機構首先要立下數據選擇的原則和條件:要考慮的不只是數據的合規性、穩定性和覆蓋率,更要考慮數據的新鮮度、時效性和時間跨度。
從模型建設的角度出發,王勁指出,一個卓越的風控模型應當具備辨別力、精準度、穩定性、復雜度和可解釋性五大要素,「原材料」數據、模型架構和演算法的選擇,衍生變數的出現,對模型的監控和迭代,以及對y的定義和樣本的篩選,無一不影響模型的「鍛造」。
在他看來,銀行等金融機構如果能在身份識別和控制、數據安全管理、風險模型管理,和自動化監控體系方面,做到高效完善,將會是非常理想的一種狀態。
RPA與內部流程優化
還有一個關鍵詞,在各家銀行年報中出現頻率越來越高,那就是RPA(機器人流程自動化)。此前AI金融評論也曾舉辦 《RPA+AI系列公開課》 ,邀請到五位頭部RPA廠商高管分享RPA與金融碰撞出的火花。
RPA的定義,很容易聯想到2012年左右的「流程銀行」轉型潮。當時的流程銀行,意為通過重新構造銀行的業務流程、組織流程、管理流程以及文化理念,改造傳統的銀行模式,形成以流程為核心的全新銀行經營管理體系。
如今銀行的轉型之戰,全方位升級為「數字化轉型」,內部流程的優化改造在AI和機器人技術的加持下持續推進,RPA也迅速成為銀行數字化轉型不可缺席的一把「武器」。
達觀數據聯合創始人紀傳俊 在「銀行業AI生態雲峰會」上指出,RPA+AI為銀行帶來的價值,最明顯的就是減少人工作業、降低人工失誤,提升業務流程效率,同時也提高風險的預警和監控能力。
AI金融評論注意到,已有多家國有大行將RPA投產到實際業務中。
以 工商銀行 為例,RPA在工行的應用覆蓋了前台操作、中台流轉和後台支撐等多個業務場景,在同業率先投產企業級機器人流程自動化(RPA)平台並推廣應用,全行累計46家總分行機構運用RPA落地實施120個場景。
建設銀行 同樣也引入了RPA,建立國內首個企業級RPA管理運營平台,敏捷研發業務應用場景 100 個,實現人工環節自動化、風險環節機控化。
農業銀行 方面則透露,農行目前還處於技術平台建設階段,之後將以信用卡業務、財務業務等為試點落地RPA需求。其實施策略,是建設全行統一的RPA技術平台,面向總分行各部門輸出RPA服務。
中國銀行 在2017年底,旗下公司中銀國際就已有RPA的概念驗證,團隊成功投產20個機器人,分別在不同崗位執行超過30個涉及不同業務流程的自動化處理工作,也與RPA廠商達觀數據展開了合作。
紀傳俊也在雲峰會上分享了目前AI+RPA在銀行各大典型場景的落地:
例如智慧信貸,面向的是整個銀行最核心的流程——信貸流程,分為貸前、貸中、貸後三大階段。其中涉及數據查詢、數據處理、財務報表、銀行流水等專業環節,需要完成基礎信息的錄入、盡調報告的審核,而這些環節中的大量重復勞動,可以基於AI、OCR、NLP等技術自動化完成。
❾ 《數據安全管理辦法(徵求意見稿)》發布 為個人數據安全加把鎖
隨便注冊一個應用就要身份證號,推送來的廣告好像會「讀心」,大數據「殺熟」防不勝防,注銷賬號「難於上青天」……這些在個人數據保護中頻頻出現的難題有望迎刃而解。
國家互聯網信息辦公室日前發布《數據安全管理辦法(徵求意見稿)》(以下簡稱《辦法》),對網路運營者在數據收集、處理使用、安全監督管理等方面提出了要求,為個人數據安全加上了一把鎖。
為啥出台《辦法》?這與當前日趨嚴峻的個人信息濫用和泄露的狀況顯然息息相關。根據官方對百款常用手機應用統計數據顯示,其中相當一部分手機應用存在強制超范圍索要許可權情況,平均每個應用申請收集個人信息相關許可權數有10項,但實際上用戶不同意開啟則APP無法安裝或運行的許可權數平均僅為3項。
來自「電子商務消費糾紛調解平台」的大數據同樣顯示,近年來包括天貓、淘寶、京東、蘇寧易購、唯品會等電商平台,以及大眾點評、網路糯米、攜程等生活服務平台,均曾出現過用戶信息泄露事件。僅在2018年,就多次出現用戶個人信息泄露事件,比如圓通、順豐十幾億條個人信息在暗網被出售,12306數百萬條旅客信息在網上被出售等。
數據保護「有章可循」
在《辦法》中,數據活動被界定為「利用網路開展數據收集、存儲、傳輸、處理、使用等活動」。「與已經發布的《信息安全技術個人信息安全規范》和《互聯網個人信息安全保護指南》相比,未來有可能作為部門規章發布的《辦法》效力層級更高,既是大數據時代數據安全的剛需體現,也在為5G市場鋪平國內數據處理合規化道路。」上海漢盛律師事務所高級合夥人李旻說。
北京觀韜中茂(上海)律師事務所合夥人王渝偉也認為,與《網路安全法》相比,此次徵求意見稿更為詳盡,也有望為未來個人信息保護方面的法律提供參考。
此次《辦法》中的「亮點」提法,也讓個人數據保護有章可循。一方面,《辦法》強調了用戶的選擇權,如其中明確要求「制定並公開個人信息收集使用規則」,且強調「如果收集使用規則包含在隱私政策中,應相對集中,明顯提示,以方便閱讀」,突出信息使用規則的重要性,以便個人信息主體享有充分選擇權。此外還特別規定,對「網路產品核心業務功能運行的個人信息」以外的信息,網路運營者不得因個人信息主體未同意收集而拒絕提供核心業務功能服務。也就是說,網路運營者不能在數據索取上「漫天要價」。
「這實際上就是為了避免網路服務提供者為了收集數據採取脅迫或者誤導行為。」中國 社會 科學院信息化研究中心秘書長姜奇平表示,信息採集的主導權和選擇權必須交給消費者,這是信息服務的原則性問題。
另一方面,《辦法》也進一步強調了對用戶隱私的保護,《辦法》要求「網路運營者以經營為目的收集重要數據或個人敏感信息的,應向所在地網信部門備案」。根據《信息安全技術個人信息安全規范》,包括身份證信息、電話號碼、郵箱地址、瀏覽記錄、定位信息乃至個人指紋、聲紋,這些都屬於個人敏感信息。「通過國家強制力對隱私信息的收集使用予以限制,在隱私信息泄漏時亦有跡可循,以實現個人隱私信息的數據安全。」李旻說。
中國信息安全研究院副院長左曉棟表示,只有能對隱私信息的收集者追根溯源,才能從源頭保護個人數據安全。
解決方法直面「痛點」
「《辦法》對於近年來層出不窮的網路數據安全問題予以細化,針對新型數據安全管理的規定能及時填補因 社會 發展導致的法律漏洞,具有前瞻性。」李旻說。
從《辦法》的具體規定來看,不少一直困擾用戶的「痛點」被明確點名,比如剛訂了一張機票,馬上各個應用就開始推薦目的地相關信息,這種利用用戶瀏覽 歷史 ,通過定向推送獲得廣告收入的「精準廣告」,讓不少用戶覺得毫無隱私。對此,《辦法》明確規定,要求利用用戶數據和演算法推送新聞信息、商業廣告需顯著標明「定推」字樣, 並為用戶拒絕接受定向推送信息提供選擇權,「用戶選擇停止接收定向推送信息時,應當停止推送,並刪除已經收集的設備識別碼等用戶數據和個人信息」。
「廣告主採集用戶的信息難度會增加,但這也是全球范圍內的大趨勢,各個主要國家的相關法規,也都在強調保護消費者的個人數據隱私。」網路廣告平台Marteker創始人馮祺表示。
再比如,針對賬號注銷難,賬號注銷後個人信息消除難,《辦法》也特別提出,要保護用戶的「被遺忘權」。《辦法》強調,「收集使用規則應突出個人信息主體撤銷同意,以及查詢、更正、刪除個人信息的途徑和方法」。「網路運營者收到有關個人信息查詢、更正、刪除以及用戶注銷賬號請求時,應當在合理時間和代價范圍內予以查詢、更正、刪除或注銷賬號。」
「突出『被遺忘權』保護也是辦法的一個亮點。『被遺忘』是消費者的合理訴求。」左曉棟說。
在北京億達(上海)律師事務所律師董毅智看來,「被遺忘權」仍需進一步細化,「比如,在用戶注銷賬戶後,網路經營者對於已經散發出去的信息如何處理?用戶是否有權要求網路經營者對已經散發出去的信息予以刪除或者負責?」
此外,包括「網路爬蟲」訪問收集流量不得超過網站日均流量的三分之一,限制「大數據殺熟」等歧視性推送行為,明確數據安全責任人的任職要求,要求提供數據安全責任人的姓名及聯系方式等,《辦法》中的相關規定,為個人數據保護中的一系列熱點問題提供了解決方案。
「互聯網行業頭部企業的天然主導性,導致行業內部缺乏競爭,基於用戶對平台服務的信任而建立起的黏性,不能成為某些平台實行差別定價、數據反復買賣的底氣。從這個角度來講,《辦法》對同行業、跨行業之間企業聯手利用用戶信息的合規性提出了新要求。」董毅智表示。
❿ 如何解決企業遠程辦公網路安全問題
企業遠程辦公的網路安全常見問題及建議
發表時間:2020-03-06 11:46:28
作者:寧宣鳳、吳涵等
來源:金杜研究院
分享到:微信新浪微博QQ空間
當前是新型冠狀病毒防控的關鍵期,舉國上下萬眾一心抗擊疫情。為增強防控,自二月初以來,北京、上海、廣州、杭州等各大城市政府公開表態或發布通告,企業通過信息技術開展遠程協作辦公、居家辦公[1]。2月19日,工信部發布《關於運用新一代信息技術支撐服務疫情防控和復工復產工作的通知》,面對疫情對中小企業復工復產的嚴重影響,支持運用雲計算大力推動企業上雲,重點推行遠程辦公、居家辦公、視頻會議、網上培訓、協同研發和電子商務等在線工作方式[2]。
面對國家和各地政府的呼籲,全國企業積極響應號召。南方都市報在2月中旬發起的網路調查顯示,有47.55%的受訪者在家辦公或在線上課[3]。面對特殊時期龐大的遠程辦公需求,遠程協作平台也積極承擔社會擔當,早在1月底,即有17家企業的21款產品宣布對全社會用戶或特定機構免費開放其遠程寫作平台軟體[4]。
通過信息技術實現遠程辦公,無論是網路層、系統層,還是業務數據,都將面臨更加復雜的網路安全環境,為平穩有效地實現安全復工復產,降低疫情對企業經營和發展的影響,企業應當結合實際情況,建立或者適當調整相適應的網路與信息安全策略。
一、遠程辦公系統的類型
隨著互聯網、雲計算和物聯網等技術的深入發展,各類企業,尤其是互聯網公司、律所等專業服務公司,一直在推動實現企業內部的遠程協作辦公,尤其是遠程會議、文檔管理等基礎功能應用。從功能類型來看,遠程辦公系統可分為以下幾類:[5]
綜合協作工具,即提供一套綜合性辦公解決方案,功能包括即時通信和多方通信會議、文檔協作、任務管理、設計管理等,代表軟體企包括企業微信、釘釘、飛書等。
即時通信(即InstantMessaging或IM)和多方通信會議,允許兩人或以上通過網路實時傳遞文字、文件並進行語音、視頻通信的工具,代表軟體包括Webex、Zoom、Slack、Skype等。
文檔協作,可為多人提供文檔的雲存儲和在線共享、修改或審閱功能,代表軟體包括騰訊文檔、金山文檔、印象筆記等。
任務管理,可實現任務流程、考勤管理、人事管理、項目管理、合同管理等企業辦公自動化(即OfficeAutomation或OA)功能,代表軟體包括Trello、Tower、泛微等。
設計管理,可根據使用者要求,系統地進行設計方面的研究與開發管理活動,如素材、工具、圖庫的管理,代表軟體包括創客貼、Canvas等。
二、遠程辦公不同模式下的網路安全責任主體
《網路安全法》(「《網安法》」)的主要規制對象是網路運營者,即網路的所有者、管理者和網路服務提供者。網路運營者應當承擔《網安法》及其配套法規下的網路運行安全和網路信息安全的責任。
對於遠程辦公系統而言,不同的系統運營方式下,網路安全責任主體(即網路運營者)存在較大的差異。按照遠程辦公系統的運營方式劃分,企業遠程辦公系統大致可以分為自有系統、雲辦公系統和綜合型系統三大類。企業應明確區分其與平台運營方的責任界限,以明確判斷自身應採取的網路安全措施。
(1)自有系統
此類模式下,企業的遠程辦公系統部署在自有伺服器上,系統由企業自主研發、外包研發或使用第三方企業級軟體架構。此類系統開發成本相對較高,但因不存在數據流向第三方伺服器,安全風險則較低,常見的企業類型包括國企、銀行業等重要行業企業與機構,以及經濟能力較強且對安全與隱私有較高要求的大型企業。
無論是否為企業自研系統,由於系統架構完畢後由企業單獨所有並自主管理,因此企業構成相關辦公系統的網路運營者,承擔相應的網路安全責任。
(2)雲辦公系統
此類辦公系統通常為SaaS系統或APP,由平台運營方直接在其控制的伺服器上向企業提供注冊即用的系統遠程協作軟體平台或APP服務,供企業用戶與個人(員工)用戶使用。此類系統構建成本相對經濟,但往往只能解決企業的特定類型需求,企業通常沒有許可權對系統進行開發或修改,而且企業數據存儲在第三方伺服器。該模式的常見企業類型為相對靈活的中小企業。
由於雲辦公系統(SaaS或APP)的網路、資料庫、應用伺服器都由平台運營方運營和管理,因此,雲辦公系統的運營方構成網路運營者,通常對SaaS和APP的網路運行安全和信息安全負有責任。
實踐中,平台運營方會通過用戶協議等法律文本,將部分網路安全監管義務以合同約定方式轉移給企業用戶,如要求企業用戶嚴格遵守賬號使用規則,要求企業用戶對其及其員工上傳到平台的信息內容負責。
(3)綜合型系統
此類系統部署在企業自有伺服器和第三方伺服器上,綜合了自有系統和雲辦公,系統的運營不完全由企業控制,多用於有多地架設本地伺服器需求的跨國企業。
雲辦公系統的供應商和企業本身都可能構成網路運營者,應當以各自運營、管理的網路系統為邊界,對各自運營的網路承擔相應的網路安全責任。
對於企業而言,為明確其與平台運營方的責任邊界,企業應當首先確認哪些「網路」是企業單獨所有或管理的。在遠程辦公場景下,企業應當考慮多類因素綜合認定,分析包括但不限於以下:
辦公系統的伺服器、終端、網路設備是否都由企業及企業員工所有或管理;
企業對企業使用的辦公系統是否具有最高管理員許可權;
辦公系統運行過程中產生的數據是否存儲於企業所有或管理的伺服器;
企業與平台運營方是否就辦公系統或相關數據的權益、管理權有明確的協議約定等。
當然,考慮到系統構建的復雜性與多樣性,平台運營方和企業在遠程協作辦公的綜合系統中,可能不免共同管理同一網路系統,雙方均就該網路承擔作為網路運營者的安全責任。但企業仍應通過合同約定,盡可能固定網路系統中雙方各自的管理職責以及網路系統的歸屬。因此,對於共同管理、運營遠程協作辦公服務平台的情況下,企業和平台運營方應在用戶協議中明確雙方就該系統各自管理運營的系統模塊、各自對其管理的系統模塊的網路安全責任以及該平台的所有權歸屬。
三、遠程辦公涉及的網路安全問題及應對建議
下文中,我們將回顧近期遠程辦公相關的一些網路安全熱點事件,就涉及的網路安全問題進行簡要的風險評估,並為企業提出初步的應對建議。
1.用戶流量激增導致遠程辦公平台「短時間奔潰」,平台運營方是否需要承擔網路運行安全責任?
事件回顧:
2020年2月3日,作為春節假期之後的首個工作日,大部分的企業都要求員工在家辦公。盡管各遠程辦公系統的平台運營方均已經提前做好了應對預案,但是巨量的並發響應需求還是超出了各平台運營商的預期,多類在線辦公軟體均出現了短時間的「信息發送延遲」、「視頻卡頓」、「系統奔潰退出」等故障[6]。在出現故障後,平台運營方迅速採取了網路限流、伺服器擴容等措施,提高了平台的運載支撐能力和穩定性,同時故障的出現也產生一定程度的分流。最終,盡管各遠程辦公平台都在較短的時間內恢復了平台的正常運營,但還是遭到了不少用戶的吐槽。
風險評估:
依據《網路安全法》(以下簡稱《網安法》)第22條的規定,網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設置惡意程序;發現其網路產品、服務存在安全缺陷、漏洞等風險時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。網路產品、服務的提供者應當為其產品、服務持續提供安全維護;在規定或者當事人約定的期限內,不得終止提供安全維護。
遠程辦公平台的運營方,作為平台及相關網路的運營者,應當對網路的運行安全負責。對於短時間的系統故障,平台運營方是否需要承擔相應的法律責任或違約責任,需要結合故障產生的原因、故障產生的危害結果、用戶協議中的責任約定等因素來綜合判斷。
對於上述事件而言,基於我們從公開渠道了解的信息,盡管多個雲辦公平台出現了響應故障問題,給用戶遠程辦公帶來了不便,但平台本身並未暴露出明顯的安全缺陷、漏洞等風險,也沒有出現網路數據泄露等實質的危害結果,因此,各平台很可能並不會因此而承擔網路安全的法律責任。
應對建議:
在疫情的特殊期間,主流的遠程辦公平台產品均免費開放,因此,各平台都會有大量的新增客戶。對於平台運營方而言,良好的應急預案和更好的用戶體驗,肯定更有利於平台在疫情結束之後留住這些新增的用戶群體。
為進一步降低平台運營方的風險,提高用戶體驗,我們建議平台運營方可以:
將用戶流量激增作為平台應急事件處理,制定相應的應急預案,例如,在應急預案中明確流量激增事件的觸發條件、伺服器擴容的條件、部署臨時備用伺服器等;
對用戶流量實現實時的監測,及時調配平台資源;
建立用戶通知機制和話術模板,及時告知用戶系統響應延遲的原因及預計恢復的時間等;
在用戶協議或與客戶簽署的其他法律文本中,嘗試明確該等系統延遲或奔潰事件的責任安排。
2.在遠程辦公環境下,以疫情為主題的釣魚攻擊頻發,企業如何降低外部網路攻擊風險?
事件回顧:
疫情期間,某網路安全公司發現部分境外的黑客組織使用冠狀病毒為主題的電子郵件進行惡意軟體發送,網路釣魚和欺詐活動。比如,黑客組織偽裝身份(如國家衛健委),以「疫情防控」相關信息為誘餌,發起釣魚攻擊。這些釣魚郵件攻擊冒充可信來源,郵件內容與廣大人民群眾關注的熱點事件密切相關,極具欺騙性。一旦用戶點擊,可能導致主機被控,重要信息、系統被竊取和破壞[7]。
風險評估:
依據《網安法》第21、25條的規定,網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:(1)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;(2)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;(3)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;(4)採取數據分類、重要數據備份和加密等措施;(5)法律、行政法規規定的其他義務。同時,網路運營者還應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
遠程辦公的實現,意味著企業內網需要響應員工移動終端的外網接入請求。員工所處的網路安全環境不一,無論是接入網路還是移動終端本身,都更容易成為網路攻擊的對象。一方面,公用WiFi、網路熱點等不可信的網路都可能作為員工的網路接入點,這些網路可能毫無安全防護,存在很多常見的容易被攻擊的網路漏洞,容易成為網路犯罪組織侵入企業內網的中轉站;另一方面,部分員工的移動終端設備可能會安裝設置惡意程序的APP或網路插件,員工在疏忽的情況下也可能點擊偽裝的釣魚攻擊郵件或勒索郵件,嚴重威脅企業內部網路的安全。
在計算機病毒或外部網路攻擊等網路安全事件下,被攻擊的企業盡管也是受害者,但如果企業沒有按照《網安法》及相關法律規定的要求提前採取必要的技術防範措施和應急響應預案,導致網路數據泄露或者被竊取、篡改,給企業的用戶造成損失的,很可能依舊需要承擔相應的法律責任。
應對建議:
對於企業而言,為遵守《網安法》及相關法律規定的網路安全義務,我們建議,企業可以從網路安全事件管理機制、移動終端設備安全、數據傳輸安全等層面審查和提升辦公網路的安全:
(1)企業應當根據其運營網路或平台的實際情況、員工整體的網路安全意識,制定相適應的網路安全事件管理機制,包括但不限於:
制定包括數據泄露在內的網路安全事件的應急預案;
建立應對網路安全事件的組織機構和技術措施;
實時監測最新的釣魚網站、勒索郵件事件;
建立有效的與全體員工的通知機制,包括但不限於郵件、企業微信等通告方式;
制定與員工情況相適應的信息安全培訓計劃;
設置適當的獎懲措施,要求員工嚴格遵守公司的信息安全策略。
(2)企業應當根據現有的信息資產情況,採取以下措施,進一步保障移動終端設備安全:
根據員工的許可權等級,制定不同的移動終端設備安全管理方案,例如,高級管理人員或具有較高資料庫許可權的人員僅能使用公司配置的辦公專用移動終端設備;
制定針對移動終端設備辦公的管理制度,對員工使用自帶設備進行辦公提出明確的管理要求;
定期對辦公專用的移動終端設備的系統進行更新、漏洞掃描;
在終端設備上,對終端進行身份准入認證和安全防護;
重點監測遠程接入入口,採用更積極的安全分析策略,發現疑似的網路安全攻擊或病毒時,應當及時採取防範措施,並及時聯系企業的信息安全團隊;
就移動辦公的信息安全風險,對員工進行專項培訓。
(3)保障數據傳輸安全,企業可以採取的安全措施包括但不限於:
使用HTTPS等加密傳輸方式,保障數據傳輸安全。無論是移動終端與內網之間的數據交互,還是移動終端之間的數據交互,都宜對數據通信鏈路採取HTTPS等加密方式,防止數據在傳輸中出現泄漏。
部署虛擬專用網路(VPN),員工通過VPN實現內網連接。值得注意的是,在中國,VPN服務(尤其是跨境的VPN)是受到電信監管的,僅有具有VPN服務資質的企業才可以提供VPN服務。外貿企業、跨國企業因辦公自用等原因,需要通過專線等方式跨境聯網時,應當向持有相應電信業務許可證的基礎運營商租用。
3.內部員工通過VPN進入公司內網,破壞資料庫。企業應當如何預防「內鬼」,保障數據安全?
事件回顧:
2月23日晚間,微信頭部服務提供商微盟集團旗下SaaS業務服務突發故障,系統崩潰,生產環境和數據遭受嚴重破壞,導致上百萬的商戶的業務無法順利開展,遭受重大損失。根據微盟25日中午發出的聲明,此次事故系人為造成,微盟研發中心運維部核心運維人員賀某,於2月23日晚18點56分通過個人VPN登入公司內網跳板機,因個人精神、生活等原因對微盟線上生產環境進行惡意破壞。目前,賀某被上海市寶山區公安局刑事拘留,並承認了犯罪事實[8]。由於資料庫遭到嚴重破壞,微盟長時間無法向合作商家提供電商支持服務,此處事故必然給合作商戶帶來直接的經濟損失。作為港股上市的企業,微盟的股價也在事故發生之後大幅下跌。
從微盟的公告可以看出,微盟員工刪庫事件的一個促成條件是「該員工作為運維部核心運維人員,通過個人VPN登錄到了公司內網跳板機,並具有刪庫的許可權」。該事件無論是對SaaS服務商而言,還是對普通的企業用戶而言,都值得反思和自省。
風險評估:
依據《網安法》第21、25條的規定,網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:(1)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;(2)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;(3)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;(4)採取數據分類、重要數據備份和加密等措施;(5)法律、行政法規規定的其他義務。同時,網路運營者還應當制定網路安全事件應急預案,及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險;在發生危害網路安全的事件時,立即啟動應急預案,採取相應的補救措施,並按照規定向有關主管部門報告。
內部員工泄密一直是企業數據泄露事故的主要原因之一,也是當前「侵犯公民個人信息犯罪」的典型行為模式。遠程辦公環境下,企業需要為大部分的員工提供連接內網及相關資料庫的訪問許可權,進一步增大數據泄露甚至被破壞的風險。
與用戶流量激增導致的系統「短時間崩潰」不同,「微盟刪庫」事件的發生可能與企業內部信息安全管理有直接的關系。如果平台內合作商戶產生直接經濟損失,不排除平台運營者可能需要承擔網路安全相關的法律責任。
應對建議:
為有效預防員工惡意破壞、泄露公司數據,保障企業的數據安全,我們建議企業可以採取以下預防措施:
制定遠程辦公或移動辦公的管理制度,區分辦公專用移動設備和員工自有移動設備,進行分類管理,包括但不限於嚴格管理辦公專用移動設備的讀寫許可權、員工自有移動設備的系統許可權,尤其是企業資料庫的管理許可權;
建立數據分級管理制度,例如,應當根據數據敏感程度,制定相適應的訪問、改寫許可權,對於核心資料庫的數據,應當禁止員工通過遠程登錄方式進行操作或處理;
根據員工工作需求,依據必要性原則,評估、審核與限制員工的數據訪問和處理許可權,例如,禁止員工下載數據到任何用戶自有的移動終端設備;
建立數據泄露的應急管理方案,包括安全事件的監測和上報機制,安全事件的響應預案;
制定遠程辦公的操作規范,使用文件和材料的管理規范、應用軟體安裝的審批流程等;
組建具備遠程安全服務能力的團隊,負責實時監控員工對核心資料庫或敏感數據的操作行為、資料庫的安全情況;
加強對員工遠程辦公安全意識教育。
4.疫情期間,為了公共利益,企業通過系統在線收集員工疫情相關的信息,是否需要取得員工授權?疫情結束之後,應當如何處理收集的員工健康信息?
場景示例:
在遠程辦公期間,為加強用工管理,確保企業辦公場所的健康安全和制定相關疫情防控措施,企業會持續地向員工收集各類疫情相關的信息,包括個人及家庭成員的健康狀況、近期所在地區、當前住址、所乘航班或火車班次等信息。收集方式包括郵件、OA系統上報、問卷調查等方式。企業會對收集的信息進行統計和監測,在必要時,向監管部門報告企業員工的整體情況。如發現疑似病例,企業也會及時向相關的疾病預防控制機構或者醫療機構報告。
風險評估:
2020年1月20日,新型冠狀病毒感染肺炎被國家衛健委納入《中華人民共和國傳染病防治法》規定的乙類傳染病,並採取甲類傳染病的預防、控制措施。《中華人民共和國傳染病防治法》第三十一條規定,任何單位和個人發現傳染病病人或者疑似傳染病病人時,應當及時向附近的疾病預防控制機構或者醫療機構報告。
2月9日,中央網信辦發布了《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》(以下簡稱《通知》),各地方各部門要高度重視個人信息保護工作,除國務院衛生健康部門依據《中華人民共和國網路安全法》、《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》授權的機構外,其他任何單位和個人不得以疫情防控、疾病防治為由,未經被收集者同意收集使用個人信息。法律、行政法規另有規定的,按其規定執行。
各地也陸續出台了針對防疫的規范性文件,以北京為例,根據《北京市人民代表大會常務委員會關於依法防控新型冠狀病毒感染肺炎疫情堅決打贏疫情防控阻擊戰的決定》,本市行政區域內的機關、企業事業單位、社會團體和其他組織應當依法做好本單位的疫情防控工作,建立健全防控工作責任制和管理制度,配備必要的防護物品、設施,加強對本單位人員的健康監測,督促從疫情嚴重地區回京人員按照政府有關規定進行醫學觀察或者居家觀察,發現異常情況按照要求及時報告並採取相應的防控措施。按照屬地人民政府的要求,積極組織人員參加疫情防控工作。
依據《通知》及上述法律法規和規范性文件的規定,我們理解,在疫情期間,如果企業依據《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》獲得了國務院衛生健康部門的授權,企業在授權范圍內,應當可以收集本單位人員疫情相關的健康信息,而無需取得員工的授權同意。如果不能滿足上述例外情形,企業還是應當依照《網安法》的規定,在收集前獲得用戶的授權同意。
《通知》明確規定,為疫情防控、疾病防治收集的個人信息,不得用於其他用途。任何單位和個人未經被收集者同意,不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息,但因聯防聯控工作需要,且經過脫敏處理的除外。收集或掌握個人信息的機構要對個人信息的安全保護負責,採取嚴格的管理和技術防護措施,防止被竊取、被泄露。具體可參考我們近期的文章《解讀網信辦<關於做好個人信息保護利用大數據支撐防疫聯控工作的通知>》
應對建議:
在遠程期間,如果企業希望通過遠程辦公系統收集員工疫情相關的個人信息,我們建議各企業應當:
制定隱私聲明或用戶授權告知文本,在員工初次提交相關信息前,獲得員工的授權同意;
遵循最小必要原則,制定信息收集的策略,包括收集的信息類型、頻率和顆粒度;
遵循目的限制原則,對收集的疫情防控相關的個人信息進行區分管理,避免與企業此前收集的員工信息進行融合;
在對外展示企業整體的健康情況時或者披露疑似病例時,對員工的相關信息進行脫敏處理;
制定信息刪除管理機制,在滿足防控目的之後,及時刪除相關的員工信息;
制定針對性的信息管理和保護機制,將收集的員工疫情相關的個人信息,作為個人敏感信息進行保護,嚴格控制員工的訪問許可權,防止數據泄露。
5.遠程辦公期間,為有效監督和管理員工,企業希望對員工進行適當的監測,如何才能做到合法合規?
場景示例:
遠程辦公期間,為了有效監督和管理員工,企業根據自身情況制定了定時匯報、簽到打卡、視頻監控工作狀態等措施,要求員工主動配合達到遠程辦公的監測目的。員工通過系統完成匯報、簽到打卡時,很可能會反復提交自己的姓名、電話號碼、郵箱、所在城市等個人基本信息用於驗證員工的身份。
同時,在使用遠程OA系統或App時,辦公系統也會自動記錄員工的登錄日誌,記錄如IP地址、登錄地理位置、用戶基本信息、日常溝通信息等數據。此外,如果員工使用企業分配的辦公終端設備或遠程終端虛擬機軟體開展工作,終端設備和虛擬機軟體中可能預裝了監測插件或軟體,在滿足特定條件的情況下,會記錄員工在終端設備的操作行為記錄、上網記錄等。
風險評估:
上述場景示例中,企業會通過1)員工主動提供和2)辦公軟體自動或觸發式收集兩種方式收集員工的個人信息,構成《網安法》下的個人信息收集行為。企業應當根據《網安法》及相關法律法規的要求,遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,並獲取員工的同意。
對於視頻監控以及系統監測軟體或插件的使用,如果操作不當,並且沒有事先取得員工的授權同意,很可能還會侵犯到員工的隱私,企業應當尤其注意。
應對建議:
遠程辦公期間,尤其在當前員工還在適應該等工作模式的情形下,企業根據自身情況採取適當的監督和管理措施,具有正當性。我們建議企業可以採取以下措施,以確保管理和監測行為的合法合規:
評估公司原有的員工合同或員工個人信息收集授權書,是否能夠滿足遠程辦公的監測要求,如果授權存在瑕疵,應當根據企業的實際情況,設計獲取補充授權的方式,包括授權告知文本的彈窗、郵件通告等;
根據收集場景,逐項評估收集員工個人信息的必要性。例如,是否存在重復收集信息的情況,是否有必要通過視頻監控工作狀態,監控的頻率是否恰當;
針對系統監測軟體和插件,設計單獨的信息收集策略,做好員工隱私保護與公司數據安全的平衡;
遵守目的限制原則,未經員工授權,不得將收集的員工數據用於工作監測以外的其他目的。
四、總結
此次疫情,以大數據、人工智慧、雲計算、移動互聯網為代表的數字科技在疫情防控中發揮了重要作用,也進一步推動了遠程辦公、線上運營等業務模式的發展。這既是疫情倒逼加快數字化智能化轉型的結果,也代表了未來新的生產力和新的發展方向[9]。此次「突發性的全民遠程辦公熱潮」之後,遠程辦公、線上運營將愈發普及,線下辦公和線上辦公也將形成更好的統一,真正達到提升工作效率的目的。
加快數字化智能化升級也是推進國家治理體系和治理能力現代化的迫切需要。黨的十九屆四中全會對推進國家治理體系和治理能力現代化作出重大部署,強調要推進數字政府建設,加強數據共享,建立健全運用互聯網、大數據、人工智慧等技術手段進行行政管理的制度規則[10]。
為平穩加速推進數字化智能化發展,契合政府現代化治理的理念,企業務必需要全面梳理並完善現有的網路安全與數據合規策略,為迎接新的智能化管理時代做好准備。