小鹏汽车被罚揭开冰山一角 数据安全治理仍存卡脖子难题

林玄墨

岁末年初，小鹏汽车被罚成了热门话题。

去年底，上海小鹏汽车销售服务有限公司被徐汇区市场监督管理局罚款10万元，处罚事由为，当事人购买具有人脸识别功能的摄像设备22台安装在旗下门店，以此统计进店人数并分析男女比例、年龄等。

市场监管部门的处罚决定书显示，2021年1月至6月，小鹏汽车共采集上传人脸照片431623张。该行为未经得消费者同意，也无明示、告知消费者收集、使用目的，违反消费者权益保护法。

这只是数据安全隐患的冰山一角。

随着我国数字经济飞速发展，各类数据迅猛增长、海量聚集，相伴而生了一些新问题：点开手机上的APP，使用条款中潜藏着个人信息过度收集的风险；从网络购物到旅行交通，用户被大数据精准画像；木马病毒等造成的数据泄露带来不胜其烦的骚扰电话、短信……

不难发现，由数据带来的安全漏洞让人防不胜防，而数据安全治理仍存技术硬件弱、相关标准缺乏等卡脖子难题。

安全保护较初级

随着各方对数据的挖掘和应用变得越来越频繁，数据安全也出现了一系列問题。比如，谁搜集、谁分发、谁利用，权利和义务是什么？企业到底是在提供服务还是打扰用户，甚至危害用户相应的权益，一度分不清楚。

针对上述被罚情况，小鹏汽车回应表示，“此次事件，事出上海区域的门店希望通过对于门店客流等数据的收集与分析，改善接待流程，更好地服务于到店客户，但由于对相关法律条款的不熟悉，误采购并使用了违反相关法律条款的第三方供应商（悠洛客）的产品。小鹏汽车对本次行政处罚表示完全服从，并对此事做出深刻反省。”

另据《人脸识别应用场景合规报告》显示，近半数受访者认为人脸识别有被滥用趋势，约八成受访者倾向于政府设立监管机构或通过法律法规和国家标准减少风险。从年龄维度来看，随着年龄增长，用户对于人脸识别的信赖呈现出“沙漏”特征——年龄较小和较大的受访者普遍更不信任人脸识别。

“目前，我国企业的数据安全保护水平仍处于初级阶段，且呈现出两个特征。”浙江大学网络空间安全学院院长、教授任奎介绍，首先，多种数据安全防护技术快速发展，部分技术仍处于研发状态。比如，数字血缘追踪技术、数据字段打标签技术等目前尚不成熟，对业务运营的影响有待进一步研究，大规模落地应用尚需时日。其次，相关领域的制度标准亟须制定，常态化监管机制有待完善。比如在数据加密、数据脱敏方面，对于数据脱敏的方法、流程以及效果等均尚未形成统一标准，各企业理解存在较大偏差，数据安全技术手段应用落地效果无法保障。

一些公司企业自身对于数据防护意识不高，防护手段不足，遇到工作人员操作失误或者网络攻击就容易泄露数据信息。根据IDC的调研报告显示，目前一半的数据保存在企业自身的数据中心或者租用的第三方数据中心，有22%保存在云服务商数据中心，19%保存在边缘数据中心。随着我国数据中心使用增加，数据中心能耗大、效率低的问题日益突出，同时由于数据交换更加频繁，核心业务数据、个人隐私数据保护等也面临更多安全风险。

显然，发挥数据作为生产要素的巨大价值，最大的挑战就是如何从数据资产安全保护提升到数据使用和数据流传的安全防护。CBC宽带资本合伙人杨志维表示，如果说数据资产安全是数据安全的1.0阶段，是数据的存储和传输安全，“数据使用安全”就是2.0阶段，侧重谁在使用数据，以及使用者在数据使用过程中是否存在违规或越权。随着数据在不同用户和不同机构间流动，数据安全也随之进入“数据流动安全”的3.0新阶段。此时需要解决数据在不同使用者、不同机构之间流转过程中的个人信息和机密信息的安全问题，才能真正发挥数据价值的有效利用。

大数据杀熟何时休

算法的优化和技术的进步，本应用于为消费者提供更精准更高效的服务。但在互联网世界中，一些经营者利用算法的高技术性和高隐蔽性，采用歧视性的算法匹配侵犯消费者的权益。从市场地位维度来看，大数据杀熟是经营者滥用市场支配地位的不平等交易。

电商、打车、外卖等互联网行业是大数据杀熟的重灾区。最初，引人争议的是购买同样规格型号的产品，使用相同商家相同距离的服务呈现不同价格，客户消费频率越高、对产品黏性越大则需要支付相对更高的费用，这一乱象令人苦不堪言。

目前，发生大数据杀熟的互联网平台多是在市场上占有较多份额、在一些特定服务行业内具有相对优势的企业。同济大学经济与管理学院徐涛表示，反垄断问题一直是对互联网平台监管的焦点。正常情况下，对于实施大数据杀熟的企业，消费者感知到其杀熟行为后可以选择其他平台。但一旦实施大数据杀熟的企业形成市场支配地位，消费者就无法选择，只能被迫继续使用其产品或服务。

特别是线上平台所制定的异常复杂的销售策略，通过多达上百种的价格组合使得普通消费者无法厘清实际的合理价格。在此情况下，消费者举证难就会影响维权信心，有可能花了很长时间也无法取得有力证据。再加上一些执法者对这种新型违规行为缺乏了解和相关经验，就会影响此类案件的受理和办理，结果会造成反大数据杀熟停留在文本上。

复旦大学软件学院副院长韩伟力表示，大数据杀熟本身就是利用各种这个消费数据，把消费数据形成标签，这种做法在网络商品交易里面比较难识别，且会破坏交易的公平性，破坏了社会的公平。

要对消费者进行“计算”，必须要获得足够的消费者信息。据介绍，平台对消费者信息获取方式仍需要完善。当下平台主要采取格式合同的方式来获得消费者的信息采集和使用许可，而这些合同内容复杂、条款众多，如果不能一揽子接受格式合同则不能获得平台服务。因此，对信息获取的格式合同，有关方面重新审查。

市场本身面临着诸多技术挑战。“算法本身其实是中立的，如何把算法变得更加善良，需要各方面参与者的共同努力。” 韩伟力说。

企业合规化转型存难

当前，随着企业数字化转型进程加快，新技术和新架构的演进也给企业的数据安全带来更高的要求。

在中国信息通信研究院云计算与大数据研究所大数据与区块链部副主任闫树看来，数据安全监管趋严，企业合规难度升级，如何运用有效手段保障数据安全及合规是企业面临的一大挑战。

也有业界资深人士分析，目前企业在数据安全方面面临以下挑战：首先是资源投入的问题。对于一些业务型的中小企业来说，本身技术投入不足，对数据的合规治理会产生较大挑战。其次，对于有能力进行合规改造的企业而言，业务部门的交付速度和基础部门因合规建设带来的延迟也是难以调和的矛盾。此外，一些企业的软件研发人员长期忽视数据安全，进行合规建设之后，会产生一个自以为的“工程师文化”和规范的流程、规则之间的矛盾。

据IDC预测，2018年到2025年之间，全球产生的数据量将会从33 ZB增长到175 ZB，其中超过80%的数据都会是非结构化数据。如果说结构化数据是机器可读的数据，那么非结构化数据就是人类可读的数据，由人类活动所产生，包括图片、视频、语音和文字等。

相较传统的结构化数据和半结构化数据，非结构化数据数据量庞大（总量大3个数量级以上），增长速度更快（每1KB 结构化数据产生的同时，约有1GB非结构化数据产生），并且采集渠道广泛，数据的处理链路非常长。这些都给非结构化数据的安全防护带来挑战。

上述业界资深人士表示，“非结构化数据的处理有一个核心的矛盾点是，数据处理者（业务方）有海量的数据和数据价值挖掘的需求，但这些业务型企业的技术投入往往不足。因此这类企业在构建数据安全解决方案时，需要积极引入整个生命周期内不同角色的解决方案来协同工作。”

“尽管数据安全对企业至关重要，但许多企业对数据安全仍未产生深刻认知，安全措施不到位，未将数据安全置于企业经营的优先地位，这都为企业日后埋下了重大安全隐患。”任奎说。

此外，闫树还认为，安全与发展并重，企业对于二者的协调经验相对不足。如何平衡数据使用和数据保护之间的平衡关系，是一个挑战。待解决的问题包括提升对数据安全重要性的认知，形成常态化的数据安全工作与运行机制；加强数据资产、风险威胁梳理，厘清敏感数据资产，做到有效安全防护；关注人员安全管理，提升全员安全意识，防范内部违规数据访问行为等。

人才力量支撑薄弱

在数据安全人才方面，数据安全后备力量支撑薄弱。“数据安全从业人员大都由网络与信息安全人才转化而来，人才储备嚴重不足。”闫树说。

根据《网络安全产业人才发展报告》（2021年版）显示，由于新冠肺炎疫情影响，2020年网络安全行业的人才需求和供给明显下降。然而，2019年和2021年网络安全行业的人才需求，较前一年同期相比增幅显著，尤其是复工复产的后疫情时代，伴随着经济回温，企业对网络安全人才的需求也随之升温。2021年上半年增幅达到39.87%，反映了网络安全在各行业的渗透率全面提高，在人才需求结构中的重要性显著上升。

在网安人才需求持续升温的人才市场状态下，网络安全人才供给虽每年在稳步递增，但网安人才市场仍供小于求。招聘集团瀚纳仕中国执行总监王晓群说，“在相关法律法规相继落地之后，行业的爆发性发展将更加凸显甲方企业和乙方供应商在专业人才招聘上面临的压力，不仅是在软件供应商、网络安全、云服务、社交媒体等细分行业，随着各行各业数字化进程的加速，如金融科技、生物制药、出行等行业均面临安全领域人才的短缺。”

另据《2021瀚纳仕亚洲薪酬指南》显示，网络安全相关基层工作人员的年薪在30万元到80万元区间浮动，薪资水平很可能还会有30%左右的提高空间，但人才储备不足的情况短期内难以解决。“目前的情况是‘全线缺人，全线的人才需求都大于供应。”王晓群补充道。

除了人才短缺，行业还存在人才“不好用”的问题，且数字技术的持续进步和实体经济的数字化改造，离不开掌握数字技术、能够科学分析处理数据的专业化创新型人才。随着政府与企业对数据安全的要求逐步提升，对人才能力的需求也水涨船高。

王晓群认为，数据安全和此前的软件开发很像，将成为市场必不可少的基础设施行业，未来的岗位也将更为细分化，招聘需求和就业前景在很长一段时间内都将保持热度。

“面对数据安全的复杂挑战，政府、企业需要在组织、管理和技术上做出变革，不仅要保障数据安全，而且让数据安全真正服务和推动市场发展。”杨志维表示。

链接

超100万用户平台赴国外上市必须审查

近日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布《网络安全审查办法》（以下简称《办法》），自2022年2月15日起施行。

国家互联网信息办公室有关负责人表示，网络安全审查是网络安全领域的重要法律制度，原《办法》自2020年6月1日施行以来，对于保障关键信息基础设施供应链安全，维护国家安全发挥了重要作用。为落实《数据安全法》等法律法规要求，国家互联网信息办公室联合相关部门修订了《办法》。《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查，并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据审查实际需要，增加证监会作为网络安全审查工作机制成员单位，同时完善了国家安全风险评估因素等内容。国家互联网信息办公室有关负责人表示，《办法》修订对保障国家网络安全和数据安全具有重要意义。

国家互联网信息办公室有关负责人就《办法》相关问题回答了记者的提问。

问：请简要介绍《办法》修订背景？

答：网络安全审查是网络安全领域的重要法律制度。原《办法》自2020年6月1日施行以来，通过对关键信息基础设施运营者采购活动进行审查和对部分重要产品等发起审查，对于保障关键信息基础设施供应链安全，维护国家安全发挥了重要作用。

2021年9月1日，《数据安全法》正式施行，明确规定国家建立数据安全审查制度。我们据此对《网络安全审查办法》进行了修订，将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围，并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查，主要目的是为了进一步保障网络安全和数据安全，维护国家安全。

问：网络平台运营者赴国外上市申报网络安全审查，可能的结果有几类？

答：对外开放是我国的基本国策，我们始终支持境内企业依法依规合理利用境外资本市场融资发展。《办法》明确“掌握100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查”，申报网络安全审查可能有以下三种情况：一是无需审查；二是启动审查后，经研判不影响国家安全的，可继续赴国外上市程序；三是启动审查后，经研判影响国家安全的，不允许赴国外上市。

问：如何理解网络安全审查中涉及的数据处理活动？

答：根据《数据安全法》，数据处理活动包括数据的收集、存储、使用、加工、传输、提供、公开等活动。《办法》重点聚焦的是网络平台运营者开展上述数据处理活动，影响或者可能影响国家安全的情形。

问：网络平台运营者何时申报赴国外上市网络安全审查？

答：网络平台运营者应当在向国外证券监管机构提出上市申请之前，申报网络安全审查。

问：赴国外上市网络安全审查如何提交申报材料？

答：网络安全审查办公室设在国家互联网信息办公室，具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下，承担接收申报材料、对申报材料进行形式审查等任務。中国网络安全审查技术与认证中心设立网络安全审查咨询窗口。

（来源：网信中国微信公号）