前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >国际风云 | 数据安全与个人隐私保护

国际风云 | 数据安全与个人隐私保护

作者头像
数说君
发布2021-02-02 10:57:30
1.7K0
发布2021-02-02 10:57:30
举报
文章被收录于专栏:数说工作室

2021年,隐私和安全的数字时代已全面到来,数据安全和隐私保护甚至成为全球企业所面临的“头等大事”:

  • 在欧洲,史上最严数据安全法 GDPR 开出了多个刷新记录的大额罚单;
  • 全球包括东南亚、南美洲、非洲在内的多国陆续颁布了自己的隐私法案;
  • 跨国科技巨头不断加码数据安全投入,成立专门的数据安全和隐私保护团队;
  • 我们的王毅外长提出了《全球数据安全倡议》,呼吁各国深化合作,共商应对数据安全风险之策,共谋全球数字治理之道。

但另一方面,数据安全也成为国际间相互攻讦的政治武器,披上了意识形态的外衣。印度以“国家安全和隐私保护”为由下架了59款中国应用,美国“净网”计划直指中国公司,Tiktok 险些被封禁。特朗普在离任的前几天还签署了一项行政命令,禁止与包括支付宝、微信支付在内的8款中国应用程序交易,认为这些程序会窃取个人信息,并且被用来“追踪联邦雇员和承包商的位置、以及建立个人信息档案”。

下面,我们就具体看一下数据安全的国际大事件以及风险形势。内容包括:


1、中国企业面临的「跨境隐私合规」压力

1)从 Tiktok 事件说起

2020年7月的最后一天,时任美国总统特朗普突然对媒体宣布要对字节跳动旗下的APP Tiktok 进行封杀,一周后的8月6日,正式签署行政命令,勒令字节跳动在45天内出售Tiktok,否则将被封禁。

特朗普在行政令中称Tiktok “自动从其用户那里捕获了大量信息......例如位置数据以及浏览和搜索历史记录,此数据收集不仅威胁到了美国公民的财产与信息安全,而且可能被用于勒索与间谍活动。”

此后,字节跳动集团与美国政府陷入了漫长自救和持续打压状态。这边厢,字节跳动集团一方面不断声明美国用户数据只在美国储存;另一方面聘用大量政治说客、起诉特朗普政府违宪。那边厢,美国法院和商务部不断暂缓、叫停和宽限禁令的情况下,特朗普政府仍在尝试新的行政封杀令和推翻法院的“宽免”裁决。

就在1月5日,特朗普下达了一项新的行政命令,禁止与支付宝、微信支付、QQ钱包、WPS Office等8款中国应用软件进行交易,理由是这些信息可能被用来“追踪联邦雇员和承包商的位置、以及建立个人信息档案”。

2)美国“净网”计划

就在 TikTok 事件持续发酵的同时,美国启动了“净网”计划,意在从运营商、应用商店、应用、云、到电缆五个方面全面切断与中国的合作关系,理由是“防止对美国人民的隐私和数据的侵入”。

(时任美国国务卿蓬佩奥在Twitter上介绍净网计划)

在“净网”计划的记者发布会上,时任美国国务卿蓬佩奥直接点名中国七家科技公司,包括华为、中国移动、百度、阿里巴巴等在中国极具影响力的企业。

美国政府对 Tiktok 的一系列操作的背后,既有国家和数据安全考虑,亦有科技巨头之间的博弈背景,也有老头子自己对政治利益的保护。

3)科技博弈

近年来中国经济的崛起,以及在互联网、5G等领域的飞速发展,挤压了美国科技巨头的利益空间。

眼红于Tiktok成为美国月度下载量最高的应用,Facebook先后推出了两款非常相似的产品 Lasso 和 Instagram Reels。在两款产品中,用户都可以拍摄15秒的小视频,可以进行简单的编辑,并且作品会通过算法来进行用户推荐。然而,这两款产品最终都无法与Tiktok相抗衡,Lasso甚至很快淡出了市场。

除了抄袭和模仿,Facebook创始人扎克伯格多次在公开场合点名Tiktok干预美国言论自由,并且允许特朗普在facebook和Instagram(Facebook收购)上投放针对Tiktok的不利广告。

而特朗普政府发起的“净网行动”,更是借着“5G网络传输中的数据安全”为名义,从运营商、应用程序、应用商店、云服务、光纤电缆五个领域全面清理中国企业,并怂恿了30多个国家一起孤立打压中国5G技术的发展,为美国的5G发展清洁道路。

4)特朗普往事

如果特朗普说“没人比我更懂数据安全的重要性”,我真的信,不是因为他是“懂王”,而是因为在当年的“剑桥分析事件”中,他就是通过对大量民众的政治倾向数据的分析和操纵,才顺利坐上总统的宝座,又称“Facebook数据门”。

(“剑桥分析”事件)

  • 2015年,剑桥大学一位教授开发了一款心理学应用,通过Facebook的接口收集使用者的个人心理学数据、以及通讯录好友信息;
  • 该应用通过35万使用者收集到了5000万Facebook的个人信息;
  • 随后数据被转卖给了一家叫“剑桥分析”的公司;
  • 这家公司通过对数据中的个人爱好等心理学因素进行分析,构建心理学模型,预测政治立场;
  • 分析结论被用于帮助特朗普团队进行定向政治宣传,投放政治广告,影响大选。

最终的结果大家都知道,特朗普登上了总统的宝座,这件丑闻也在2018年被曝光,随后剑桥分析公司破产,扎克伯格接受国会询问,并启动了多项整治措施。

所以,也许真的没人比特朗普更加明白数据安全的重要性了......

5)印度的封杀

1月26日的新闻,大家都看到了,印度宣布以“数据安全和隐私、非法获取信息”为由,永久禁止59款中国APP,包含Tiktok、Wechat(微信)、Weibo(微博)、Baidu map(百度地图)等。

与美国不太一样的是,印度似乎全民对中国APP都带有敌意。2020年5月,一款印度APP “Remove China APPs” 火爆网络,这款APP可以一键删除手机上的中国应用。

(图来源网络,侵删)

但很快,谷歌应用市场删除了这款应用,为此,印度网友还骂谷歌“是中国的宠物狗”......

2020年6月,印度政府出手了,宣布临时封禁59款中国APP,并要求这些公司解释对遵守隐私和安全要求的立场,半年后的1月26日,不顾多方质疑,印度政府正式宣布“永久下架”这59款中国应用。

2、全球隐私保护形势

前面这些针对中国公司的打压,虽然说是以“隐私保护”为名义参杂了大量的政治意图,但也确实给中国公司的出海道路上带来了巨大的隐私合规的压力,各巨头不敢在这方面出一点问题。

其实,不仅中国,全球其他国家的企业也面临越来越大的隐私合规压力。

1)GDPR 持续开出巨额罚单

欧洲的GDPR(General Data Protection Regulation,《通用数据保护条例》)被称为史上最严数据安全法,自2018年生效后,欧盟对全球很多科技巨头都开出了巨额罚单,下表是目前落实的金额最大的5个罚款:

我们来逐一看看这些罚款:

  • 谷歌在法国被罚5000万欧元,为目前GDPR落实的最大罚单,但1年后谷歌刷了新自己的记录! 2019年初,GDPR刚生效不久,谷歌就因“向用户定向发送广告时缺乏透明度、信息不足,且未获得用户有效许可”被法国政府罚了这笔目前还是最高记录保持者的5千万欧元(约4亿人民币)罚款。 但这并不是谷歌最后一次被罚,就在2020年12月,谷歌再一次刷新自己的记录,因“未经事先征得适当同意就使用网络Cookie跟踪用户活动”又被法国政府开出了1亿欧元的罚款!但所幸这次给了3个月的时间来整改,具体落实的金额,还要看整改的情况。
  • 再也不能随意监控员工!H&M集团因收集员工个人数据,被罚3000多万欧元 2020年10月,德国汉堡数据保护局以“过度收集员工信息、非法监控员工隐私的行为”为由,对跨国快消品巨头H&M处以约3525万欧元(约2.8亿元人民币)的罚款,为欧盟GDPR史上第二大单。 中国企业可能对于员工的隐私保护不是那么在意,但对于有跨境业务的就要特别小心了!如果企业在欧盟有分支机构、有欧盟的员工,同样会收到GDPR的管辖,而且罚款的金额不是看你在欧洲的业务量大小来定的,而是看你全球营业额!后面要说的万豪2千万罚款就是这么跪的......
  • 欧洲对电信骚扰进行整治!意大利电信运营商被罚款2780万欧元 2020年1月,意大利数据保护机构Garante向电信运营商TIM开出2780万欧元的罚单,理由是缺乏有效同意的数字营销,比如电话、短信营销等。 其实,这一单罚款针对的就是我们经常说的电信骚扰。我们平时接到的很多骚扰电话、垃圾短信,有些还能精准知道我们最近的活动,比如去了哪里消费、使用哪些APP等,一部分的泄露源就来自短信/电话的泄露、流量被劫持等。上几个新闻给大家看看: 个人信息泄露,电信运营商成为矛头所向,都是“内鬼”的错?(https://www.sohu.com/a/377582354_442599) 电信公司如何平衡消费者隐私和定向广告(https://zhuanlan.zhihu.com/p/149175548) 为了提升用户体验,以及降低诈骗短信等带来的风险,铁路部门对消息通知方式进行了调整这些情况将不再发送短信通知(https://mp.weixin.qq.com/s/-0n_2pKlQy6Yj9INGxk4Ug)
  • 42万用户泄露!1.83亿英镑罚款!终因疫情被免去了近90% 2019年9月,英国ICO(Information Commissioner"s Office,信息专员办公室)决定对英国航空开出1.83亿英镑(约15.8亿人民币)的罚单。原因是因为英国航空的官网因被攻击而泄露了42万用户的姓名、住址、账号密码、信用卡信息和订单信息。 随后英国航空以疫情造成的经济影响等原因进行上诉辩护,最终在2020年10月,英国ICO将罚金改为2千万英镑(约1.7亿人民币)。否则1.83亿英镑将妥妥成为的史上最高罚款。
  • 万豪旗下喜达屋住房数据泄露,罚款万豪全球营业额3%!也因疫情被免大部分 2019年,与英航一同被ICO开出罚单的,还有万豪集团,原因是其旗下的喜达屋酒店遭到黑客攻击,导致全球3.39亿住房数据被窃取,其中,有3000万条记录和欧洲经济区的31个国家居民有关,700万条与英国居民有关。 GDPR对一个企业的罚款,是按照这个企业(上一年度)的全球营业额来的,所以ICO初始开出了9900万英镑(约8.7亿人民币)的天价罚款,占其全球营业额的3%,后来也因疫情等原因只落实了2000万英镑(约1.8亿人民币)。 喜达屋发生数据泄露是在2014年,但万豪收购喜达屋是在2016年,可以说万豪这笔不仅罚的一脸懵X,也很委屈。

如今GDPR已实施了2年多的时间,截止1月26日,已经开出了510张共2.85亿欧元(约22.36亿)的落地罚单,最大罚单谷歌的5000万欧元,最小罚单48欧元,罚款范围从科技巨头、运营商、政党、到医院甚至个人,比如德国有一个Youtube的用户,因为上传的东西暴露了他人隐私,被罚了200欧元。

(GDPR罚款统计,截止1月26日)

(德国某YouTube用户的罚单详情)

2)全球多地陆续颁布隐私法案

除了欧洲的GDPR,其他比较有代表性的就是美国的《加州消费者隐私法案》(CCPA),被称为全美最严厉隐私保护法,于2018年6月颁布,2020年1月1日生效,CCPA的一个特点是设立了“改正期”制度,总检察长发出不合规通知之后,如果企业在30天内做出了整改,则将不予进行罚金诉讼。

此外,全球很多国家都有了自己的隐私保护法案,下图是安永整理的全球隐私法案地图,可以看到,南非、智利、泰国、菲律宾这些国家也都陆续颁布了相关法律。

(图片来自安永,侵删)

中国对隐私保护的力度也越来越大,近年来多项规范、指南、标准不断发布,去年还发布了《数据安全法(草案)》和《个人信息保护法(草案)》,目前正在征求意见中,预计今年正式法案将会发布,在下一集中将会重点解读。

3、科技巨头纷纷加码数据安全投入

在这样的隐私合规压力下,跨国巨头们纷纷加码数据安全和隐私保护的投入,从制度、法务、合规、技术、产品全链路上锻造自己的隐私保护能力。

1)Tiktok的努力

处在风口浪尖中的 Tiktok 和字节跳动集团多次宣布会扩大数据安全和隐私保护团队。

今年8月,Tiktok宣布斥资4.2亿欧元(约33亿人民币)在爱尔兰建立首个欧洲数据中心,用于存储欧洲用户的数据。

细心点你会发现,目前有很多科技巨头的欧洲总部都设在爱尔兰,如Twitter、Google、APPLE等,除了税率很低,爱尔兰整体的营商环境都非常好,甚至包括监管。根据GDPR的规定,“主营业场所”的政府为该企业在欧洲的主要监管机构,所以,你懂的......

比如2020年12月15日,Twitter因数据泄露事件,被爱尔兰DPC(数据保护委员会)处罚了仅45万欧元:

2020年12月15日,Twitter因数据泄露事件被处于仅45万欧元的罚款,就是爱尔兰DPC开出的。因为Twitter的欧洲总部在爱尔兰,所以Twitter的数据泄露事件由爱尔兰DPC主导调查,起初给出的罚款额度甚至更低,在征求意见的时候,向其他欧盟数据保护机构均提出了反对意见,如奥地利要求处以至少2500万欧元罚款,德国则要求处以730~2200万欧元的罚款。

除了Tiktok,跨境科技巨头都纷纷加码数据安全相关投入。

1)B/A/T相继成立自己的隐私平台

目前,腾讯、阿里、百度,都成立了自己专门的隐私平台,宣传自己隐私保护能力、产品的合规性、隐私保护价值观等等。

(腾讯隐私保护平台 privacy.qq.com)

(阿里隐私保护平台 privacy.alibabagroup.com)

(百度隐私保护平台 privacy.baidu.com)

2)手机厂商将隐私保护作为产品卖点

海外业务业务量比较大的小米、华为、VIVO等手机厂商,也不断打造自己的隐私品牌,甚至将隐私保护作为产品的亮点进行宣传。

另外,小米2020年的两个百万美金技术大奖,一个给了秒充团队,一个给了MIUI隐私保护团队。

我个人认为隐私保护还是老大哥苹果做的极致,苹果曾经在上海地铁3号线上用连续的巨幅广告牌来宣传自己对“个人信息安全”的保护。2020年12月5日推出的iOS 14.3中,苹果在App Store中新加入了APP的隐私收集信息。

(APP store显示APP的隐私收集情况)

(苹果的 privacy by design 理念)

有人说“苹果最好的产品不是iphone,而是保护隐私”

4、中国发出《全球数据安全倡议》

数据安全已经成为国际社会普遍关心的大问题,一方面,我们关心如何在保障数据安全的前提下,发挥数据要素对其他要素的倍增作用,从而最大化数据的价值;另一方面,我们又要警惕它被某些国家披上意识形态的外衣,当成科技博弈的攻击武器。

在此背景下,国务委员兼外长王毅在2020年9月8日的“抓住数字机遇,共谋合作发展”国际研讨会高级别会议上发表主旨讲话,提出了《全球数据安全倡议》(下称《倡议》)。表达我国在数据安全领域的八点主张,在关键时刻进行纠偏,防止网络空间陷入文明冲突论和冷战思维的陷阱

根据王毅外长的讲话,此次倡议希望能够为制定数字安全国际规则提供一个蓝本,开启一个全球进程。期待各国政府、国际组织及多利益攸关方共同参与。

《倡议》指出要客观理性看待数据安全,即以事实为依据来看待数据安全,而非披上“意识形态的外衣”,积极维护全球信息技术产品和服务的供应链开放、安全、稳定。

附上《倡议》的八点主张:

  1. 客观理性看待数据安全,致力于维护全球供应链开放、安全和稳定。
  2. 反对利用信息技术破坏他国关键基础设施或窃取重要数据。
  3. 采取措施防范和制止侵害个人信息的行为,不得滥用信息技术对他国进行大规模监控,或非法采集他国公民个人信息。
  4. 要求企业尊重当地法律,不得强制要求本国企业将境外产生、获取的数据存储在本国境内。
  5. 尊重他国主权、司法管辖权和对数据的管理权,不得直接向企业或个人调取位于他国的数据。
  6. 应通过司法协助等渠道解决执法跨境数据调取需求。
  7. 信息技术产品和服务供应企业不应在产品和服务中设置后门,非法获取用户数据。
  8. 信息技术企业不得利用用户对产品依赖,谋取不正当利益。

下一集,将会解读我国对数据安全和隐私保护的立法进度、执法情况,接下来的安排是:

国内监管

国内对数据安全和隐私保护的监管布局,以及相关看点和解读。

新兴的威胁

一些新兴的欺诈手法、黑客技术,是如何窃取我们的隐私数据,以及目前广泛应用的技术,如AI人工智能应用、API技术,为什么会带来了新的数据风险。

坚强的后盾

公司和机构,在应对数据安全和隐私保护的时候,有哪些痛点和难点,常用的应对技术又是什么,什么是联邦学习、如何进行隐私增强、如何防止数据外发、防止数据滥用。

持续更新......

我知道我有拖延症,但你每点一次在看,我就不好意思拖延一次

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-01-28,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 数说工作室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
短信
腾讯云短信(Short Message Service,SMS)可为广大企业级用户提供稳定可靠,安全合规的短信触达服务。用户可快速接入,调用 API / SDK 或者通过控制台即可发送,支持发送验证码、通知类短信和营销短信。国内验证短信秒级触达,99%到达率;国际/港澳台短信覆盖全球200+国家/地区,全球多服务站点,稳定可靠。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档