林玄墨

歲末年初，小鵬汽車被罰成了熱門話題。

去年底，上海小鵬汽車銷售服務有限公司被徐匯區(qū)市場監(jiān)督管理局罰款10萬元，處罰事由為，當事人購買具有人臉識別功能的攝像設備22臺安裝在旗下門店，以此統(tǒng)計進店人數并分析男女比例、年齡等。

市場監(jiān)管部門的處罰決定書顯示，2021年1月至6月，小鵬汽車共采集上傳人臉照片431623張。該行為未經得消費者同意，也無明示、告知消費者收集、使用目的，違反消費者權益保護法。

這只是數據安全隱患的冰山一角。

隨著我國數字經濟飛速發(fā)展，各類數據迅猛增長、海量聚集，相伴而生了一些新問題：點開手機上的APP，使用條款中潛藏著個人信息過度收集的風險；從網絡購物到旅行交通，用戶被大數據精準畫像；木馬病毒等造成的數據泄露帶來不勝其煩的騷擾電話、短信……

不難發(fā)現(xiàn)，由數據帶來的安全漏洞讓人防不勝防，而數據安全治理仍存技術硬件弱、相關標準缺乏等卡脖子難題。

安全保護較初級

隨著各方對數據的挖掘和應用變得越來越頻繁，數據安全也出現(xiàn)了一系列問題。比如，誰搜集、誰分發(fā)、誰利用，權利和義務是什么？企業(yè)到底是在提供服務還是打擾用戶，甚至危害用戶相應的權益，一度分不清楚。

針對上述被罰情況，小鵬汽車回應表示，“此次事件，事出上海區(qū)域的門店希望通過對于門店客流等數據的收集與分析，改善接待流程，更好地服務于到店客戶，但由于對相關法律條款的不熟悉，誤采購并使用了違反相關法律條款的第三方供應商（悠洛客）的產品。小鵬汽車對本次行政處罰表示完全服從，并對此事做出深刻反省?！?p>

另據《人臉識別應用場景合規(guī)報告》顯示，近半數受訪者認為人臉識別有被濫用趨勢，約八成受訪者傾向于政府設立監(jiān)管機構或通過法律法規(guī)和國家標準減少風險。從年齡維度來看，隨著年齡增長，用戶對于人臉識別的信賴呈現(xiàn)出“沙漏”特征——年齡較小和較大的受訪者普遍更不信任人臉識別。

“目前，我國企業(yè)的數據安全保護水平仍處于初級階段，且呈現(xiàn)出兩個特征?！闭憬髮W網絡空間安全學院院長、教授任奎介紹，首先，多種數據安全防護技術快速發(fā)展，部分技術仍處于研發(fā)狀態(tài)。比如，數字血緣追蹤技術、數據字段打標簽技術等目前尚不成熟，對業(yè)務運營的影響有待進一步研究，大規(guī)模落地應用尚需時日。其次，相關領域的制度標準亟須制定，常態(tài)化監(jiān)管機制有待完善。比如在數據加密、數據脫敏方面，對于數據脫敏的方法、流程以及效果等均尚未形成統(tǒng)一標準，各企業(yè)理解存在較大偏差，數據安全技術手段應用落地效果無法保障。

一些公司企業(yè)自身對于數據防護意識不高，防護手段不足，遇到工作人員操作失誤或者網絡攻擊就容易泄露數據信息。根據IDC的調研報告顯示，目前一半的數據保存在企業(yè)自身的數據中心或者租用的第三方數據中心，有22%保存在云服務商數據中心，19%保存在邊緣數據中心。隨著我國數據中心使用增加，數據中心能耗大、效率低的問題日益突出，同時由于數據交換更加頻繁，核心業(yè)務數據、個人隱私數據保護等也面臨更多安全風險。

顯然，發(fā)揮數據作為生產要素的巨大價值，最大的挑戰(zhàn)就是如何從數據資產安全保護提升到數據使用和數據流傳的安全防護。CBC寬帶資本合伙人楊志維表示，如果說數據資產安全是數據安全的1.0階段，是數據的存儲和傳輸安全，“數據使用安全”就是2.0階段，側重誰在使用數據，以及使用者在數據使用過程中是否存在違規(guī)或越權。隨著數據在不同用戶和不同機構間流動，數據安全也隨之進入“數據流動安全”的3.0新階段。此時需要解決數據在不同使用者、不同機構之間流轉過程中的個人信息和機密信息的安全問題，才能真正發(fā)揮數據價值的有效利用。

大數據殺熟何時休

算法的優(yōu)化和技術的進步，本應用于為消費者提供更精準更高效的服務。但在互聯(lián)網世界中，一些經營者利用算法的高技術性和高隱蔽性，采用歧視性的算法匹配侵犯消費者的權益。從市場地位維度來看，大數據殺熟是經營者濫用市場支配地位的不平等交易。

電商、打車、外賣等互聯(lián)網行業(yè)是大數據殺熟的重災區(qū)。最初，引人爭議的是購買同樣規(guī)格型號的產品，使用相同商家相同距離的服務呈現(xiàn)不同價格，客戶消費頻率越高、對產品黏性越大則需要支付相對更高的費用，這一亂象令人苦不堪言。

目前，發(fā)生大數據殺熟的互聯(lián)網平臺多是在市場上占有較多份額、在一些特定服務行業(yè)內具有相對優(yōu)勢的企業(yè)。同濟大學經濟與管理學院徐濤表示，反壟斷問題一直是對互聯(lián)網平臺監(jiān)管的焦點。正常情況下，對于實施大數據殺熟的企業(yè)，消費者感知到其殺熟行為后可以選擇其他平臺。但一旦實施大數據殺熟的企業(yè)形成市場支配地位，消費者就無法選擇，只能被迫繼續(xù)使用其產品或服務。

特別是線上平臺所制定的異常復雜的銷售策略，通過多達上百種的價格組合使得普通消費者無法厘清實際的合理價格。在此情況下，消費者舉證難就會影響維權信心，有可能花了很長時間也無法取得有力證據。再加上一些執(zhí)法者對這種新型違規(guī)行為缺乏了解和相關經驗，就會影響此類案件的受理和辦理，結果會造成反大數據殺熟停留在文本上。

復旦大學軟件學院副院長韓偉力表示，大數據殺熟本身就是利用各種這個消費數據，把消費數據形成標簽，這種做法在網絡商品交易里面比較難識別，且會破壞交易的公平性，破壞了社會的公平。

要對消費者進行“計算”，必須要獲得足夠的消費者信息。據介紹，平臺對消費者信息獲取方式仍需要完善。當下平臺主要采取格式合同的方式來獲得消費者的信息采集和使用許可，而這些合同內容復雜、條款眾多，如果不能一攬子接受格式合同則不能獲得平臺服務。因此，對信息獲取的格式合同，有關方面重新審查。

市場本身面臨著諸多技術挑戰(zhàn)?！八惴ū旧砥鋵嵤侵辛⒌?，如何把算法變得更加善良，需要各方面參與者的共同努力。” 韓偉力說。

企業(yè)合規(guī)化轉型存難

當前，隨著企業(yè)數字化轉型進程加快，新技術和新架構的演進也給企業(yè)的數據安全帶來更高的要求。

在中國信息通信研究院云計算與大數據研究所大數據與區(qū)塊鏈部副主任閆樹看來，數據安全監(jiān)管趨嚴，企業(yè)合規(guī)難度升級，如何運用有效手段保障數據安全及合規(guī)是企業(yè)面臨的一大挑戰(zhàn)。

也有業(yè)界資深人士分析，目前企業(yè)在數據安全方面面臨以下挑戰(zhàn)：首先是資源投入的問題。對于一些業(yè)務型的中小企業(yè)來說，本身技術投入不足，對數據的合規(guī)治理會產生較大挑戰(zhàn)。其次，對于有能力進行合規(guī)改造的企業(yè)而言，業(yè)務部門的交付速度和基礎部門因合規(guī)建設帶來的延遲也是難以調和的矛盾。此外，一些企業(yè)的軟件研發(fā)人員長期忽視數據安全，進行合規(guī)建設之后，會產生一個自以為的“工程師文化”和規(guī)范的流程、規(guī)則之間的矛盾。

據IDC預測，2018年到2025年之間，全球產生的數據量將會從33 ZB增長到175 ZB，其中超過80%的數據都會是非結構化數據。如果說結構化數據是機器可讀的數據，那么非結構化數據就是人類可讀的數據，由人類活動所產生，包括圖片、視頻、語音和文字等。

相較傳統(tǒng)的結構化數據和半結構化數據，非結構化數據數據量龐大（總量大3個數量級以上），增長速度更快（每1KB 結構化數據產生的同時，約有1GB非結構化數據產生），并且采集渠道廣泛，數據的處理鏈路非常長。這些都給非結構化數據的安全防護帶來挑戰(zhàn)。

上述業(yè)界資深人士表示，“非結構化數據的處理有一個核心的矛盾點是，數據處理者（業(yè)務方）有海量的數據和數據價值挖掘的需求，但這些業(yè)務型企業(yè)的技術投入往往不足。因此這類企業(yè)在構建數據安全解決方案時，需要積極引入整個生命周期內不同角色的解決方案來協(xié)同工作?！?/p>

“盡管數據安全對企業(yè)至關重要，但許多企業(yè)對數據安全仍未產生深刻認知，安全措施不到位，未將數據安全置于企業(yè)經營的優(yōu)先地位，這都為企業(yè)日后埋下了重大安全隱患?！比慰f。

此外，閆樹還認為，安全與發(fā)展并重，企業(yè)對于二者的協(xié)調經驗相對不足。如何平衡數據使用和數據保護之間的平衡關系，是一個挑戰(zhàn)。待解決的問題包括提升對數據安全重要性的認知，形成常態(tài)化的數據安全工作與運行機制；加強數據資產、風險威脅梳理，厘清敏感數據資產，做到有效安全防護；關注人員安全管理，提升全員安全意識，防范內部違規(guī)數據訪問行為等。

人才力量支撐薄弱

在數據安全人才方面，數據安全后備力量支撐薄弱。“數據安全從業(yè)人員大都由網絡與信息安全人才轉化而來，人才儲備嚴重不足。”閆樹說。

根據《網絡安全產業(yè)人才發(fā)展報告》（2021年版）顯示，由于新冠肺炎疫情影響，2020年網絡安全行業(yè)的人才需求和供給明顯下降。然而，2019年和2021年網絡安全行業(yè)的人才需求，較前一年同期相比增幅顯著，尤其是復工復產的后疫情時代，伴隨著經濟回溫，企業(yè)對網絡安全人才的需求也隨之升溫。2021年上半年增幅達到39.87%，反映了網絡安全在各行業(yè)的滲透率全面提高，在人才需求結構中的重要性顯著上升。

在網安人才需求持續(xù)升溫的人才市場狀態(tài)下，網絡安全人才供給雖每年在穩(wěn)步遞增，但網安人才市場仍供小于求。招聘集團瀚納仕中國執(zhí)行總監(jiān)王曉群說，“在相關法律法規(guī)相繼落地之后，行業(yè)的爆發(fā)性發(fā)展將更加凸顯甲方企業(yè)和乙方供應商在專業(yè)人才招聘上面臨的壓力，不僅是在軟件供應商、網絡安全、云服務、社交媒體等細分行業(yè)，隨著各行各業(yè)數字化進程的加速，如金融科技、生物制藥、出行等行業(yè)均面臨安全領域人才的短缺。”

另據《2021瀚納仕亞洲薪酬指南》顯示，網絡安全相關基層工作人員的年薪在30萬元到80萬元區(qū)間浮動，薪資水平很可能還會有30%左右的提高空間，但人才儲備不足的情況短期內難以解決?！澳壳暗那闆r是‘全線缺人，全線的人才需求都大于供應。”王曉群補充道。

除了人才短缺，行業(yè)還存在人才“不好用”的問題，且數字技術的持續(xù)進步和實體經濟的數字化改造，離不開掌握數字技術、能夠科學分析處理數據的專業(yè)化創(chuàng)新型人才。隨著政府與企業(yè)對數據安全的要求逐步提升，對人才能力的需求也水漲船高。

王曉群認為，數據安全和此前的軟件開發(fā)很像，將成為市場必不可少的基礎設施行業(yè)，未來的崗位也將更為細分化，招聘需求和就業(yè)前景在很長一段時間內都將保持熱度。

“面對數據安全的復雜挑戰(zhàn)，政府、企業(yè)需要在組織、管理和技術上做出變革，不僅要保障數據安全，而且讓數據安全真正服務和推動市場發(fā)展。”楊志維表示。

鏈接

超100萬用戶平臺赴國外上市必須審查

近日，國家互聯(lián)網信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、中國證券監(jiān)督管理委員會、國家保密局、國家密碼管理局等十三部門聯(lián)合修訂發(fā)布《網絡安全審查辦法》（以下簡稱《辦法》），自2022年2月15日起施行。

國家互聯(lián)網信息辦公室有關負責人表示，網絡安全審查是網絡安全領域的重要法律制度，原《辦法》自2020年6月1日施行以來，對于保障關鍵信息基礎設施供應鏈安全，維護國家安全發(fā)揮了重要作用。為落實《數據安全法》等法律法規(guī)要求，國家互聯(lián)網信息辦公室聯(lián)合相關部門修訂了《辦法》。《辦法》將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查，并明確掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市必須向網絡安全審查辦公室申報網絡安全審查。根據審查實際需要，增加證監(jiān)會作為網絡安全審查工作機制成員單位，同時完善了國家安全風險評估因素等內容。國家互聯(lián)網信息辦公室有關負責人表示，《辦法》修訂對保障國家網絡安全和數據安全具有重要意義。

國家互聯(lián)網信息辦公室有關負責人就《辦法》相關問題回答了記者的提問。

問：請簡要介紹《辦法》修訂背景？

答：網絡安全審查是網絡安全領域的重要法律制度。原《辦法》自2020年6月1日施行以來，通過對關鍵信息基礎設施運營者采購活動進行審查和對部分重要產品等發(fā)起審查，對于保障關鍵信息基礎設施供應鏈安全，維護國家安全發(fā)揮了重要作用。

2021年9月1日，《數據安全法》正式施行，明確規(guī)定國家建立數據安全審查制度。我們據此對《網絡安全審查辦法》進行了修訂，將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查范圍，并明確要求掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查，主要目的是為了進一步保障網絡安全和數據安全，維護國家安全。

問：網絡平臺運營者赴國外上市申報網絡安全審查，可能的結果有幾類？

答：對外開放是我國的基本國策，我們始終支持境內企業(yè)依法依規(guī)合理利用境外資本市場融資發(fā)展?！掇k法》明確“掌握100萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查”，申報網絡安全審查可能有以下三種情況：一是無需審查；二是啟動審查后，經研判不影響國家安全的，可繼續(xù)赴國外上市程序；三是啟動審查后，經研判影響國家安全的，不允許赴國外上市。

問：如何理解網絡安全審查中涉及的數據處理活動？

答：根據《數據安全法》，數據處理活動包括數據的收集、存儲、使用、加工、傳輸、提供、公開等活動?！掇k法》重點聚焦的是網絡平臺運營者開展上述數據處理活動，影響或者可能影響國家安全的情形。

問：網絡平臺運營者何時申報赴國外上市網絡安全審查？

答：網絡平臺運營者應當在向國外證券監(jiān)管機構提出上市申請之前，申報網絡安全審查。

問：赴國外上市網絡安全審查如何提交申報材料？

答：網絡安全審查辦公室設在國家互聯(lián)網信息辦公室，具體工作委托中國網絡安全審查技術與認證中心承擔。中國網絡安全審查技術與認證中心在網絡安全審查辦公室的指導下，承擔接收申報材料、對申報材料進行形式審查等任務。中國網絡安全審查技術與認證中心設立網絡安全審查咨詢窗口。

（來源：網信中國微信公號）