从滴滴、网络安全审查看数据安全的重要性

最近身边的人都在讨论滴滴出行的事情,各种说法都有,一般都是说因为滴滴垄断、过度获取个人信息、违规收集个人信息等原因。个人感觉,仅仅如此不至于如此大的动作。

自从上次“蚂蚁风波”过后,今年7月初,滴滴再次成为热点,介于今年9月1日起将正式实施《网络安全审查办法》(下文简称办法),很多人可能以为是“杀鸡儆猴”,但从目前的发展来看,个人认为应该不只是这么简单的原因。

7月9日,国家网信办发布通告:“滴滴企业版”等25款App存在严重违法违规收集使用个人信息问题,要求应用商店下架上述25款App,各网站、平台不得为“滴滴出行”和“滴滴企业版”等上述25款已在应用商店下架的App提供访问和下载服务。

7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司,开展网络安全审查。

按照这个阵势,绝不仅仅是违规和重视网络安全及个人隐私保护的问题,应该还有其他因素,这里不做过多猜测,只聊聊自己的一些看法。

有关《办法》的解读,可以参考之前的文章《网络安全审查办法与信安从业者有什么关系》,这里不再解释。

数据安全地位再提高

从本次事件猜测,重点可能不在网络安全审查,而在数据保护和流动。这里多提几句,如果各位经常关注美国DoD、DHS类网站,应该会有印象,今年年初以来,所有新闻报告和报告频繁提到China.以RAND为例,近期发布近10份报告。

这让我明白了一个尴尬但现实的事实,企业之间的竞争,想要真正了解自己或产品,最好的途径是从对手那里获得。

从国(jun)际(fang)关心的关键要素来看,这次对滴滴为什么如此兴师动众,应该可以或多或少有一点理解。从个人了解的资料来看,全球最为关注的技术相关要素主要集中在数据、人工智能和超前技术(如量子计算、5/6G、卫星网络)。数据的价值正在不断被挖掘并展现出来,个人感受在于隐私、便捷生活等方面、企业在于价值挖掘、用户画像、广告等等,那么,国家呢,各位自己脑暴一下好了,这里不便提及。

国家为何如此重视

7月2日通告仅对滴滴出行实施安全审查,审查期间停止新用户注册。7月4日通告强调滴滴出行存在严重违法违规,要求应用商店下架滴滴出行App。7月9日通告进一步要求滴滴的25款App下架,而且要求各网站、平台不得为已下架的滴滴出行及25款滴滴系App提供访问和下载服务。很多人可能只注意到不能下载相关软件,其实还有一条是不得为已下架的滴滴App提供访问。

我们看下这下架的25款App:滴滴企业版、滴滴车主、滴滴顺风车、Uber优步中国、滴滴司机部落、滴滴司机、滴滴代驾司机、桔视记录仪、滴滴金融、谷雨、专车司机助手、滴滴敬老版、滴滴货运司机、滴滴配送、滴滴商户、蓝鲸、滴滴护航、D-Chat、小桔智慧、滴滴小巴司机、滴滴公交、LIMO、小桔加油收银台商家版、桔视智行。

可以发现其业务在中国交通领域几乎是无所不包,有打车、车主、顺风车、代驾、货运、配送、商户、小巴、公交、加油收银台商户、金融,还有记录仪等等等等,如果我们将这些业务线全部连起来,其对中国道路交通的覆盖到底有多广是可想而知的,再加上记录仪的摄像功能,对中国地理、交通、道路、人员出行的数据覆盖可能远远超过我们能够想像的程度。

滴滴凭借其在中国业务的广泛、全面、深入,所搜集的中国地理、道路、交通、人员出行数据之全、分析之深,可以说超出了一家企业所应该收集使用的范围,无论这些数据是否流出境外,都已经对国家安全构成了重大威胁,如果真的流出境外,后果可能不堪想象。

不知道大家有没有印象,在乘坐飞机的时候,有些城市附近是需要关上遮光窗的,禁止拍照,原因是涉及军事区域,但是,如果某个企业,它的数据库里有非常详细的地理地图和周边建筑以及人群流动信息,而且不是某个城市,而是全国哦,那么政府会作何感想?

大数据涉及国家安全和人员隐私,属于国家数据战略资源,因此,所有平台或公司及具有收集数据功能的互联网公司都不得由境外资本、境外公司控股,不得在境外注册,不得将总部设在境外,不得将研究境内大数据的研究机构设在境外,不得在境外资本市场上市,不得有外籍人员担任高管、董事,不得向外国政府、机构、公司提供在中国境收集、整理、分析的数据及成果。

滴滴可能只是一个开始,因为拥有类似数据的企业不止一两家,后续各部位可能会进一步采取措施。

下一步国家还会做些什么

国家将大力提升技术检测能力。运用大数据、人工智能等技术,不断提升APP技术检测平台自动化检测能力、监测能力和数据分析能力,年底前将检测覆盖达到180万款APP。

工信部把APP治理作为“我为群众办实事”的具体举措,从三个方面加大工作力度,劲头不松、节奏不变,努力为广大人民群众营造更安全、更健康、更干净的APP应用环境。

一是推动完善管理政策和行业标准。在充分吸收社会各界意见的基础上,会同相关部门发布实施《移动互联网应用程序个人信息保护管理的暂行规定》。在此基础上,尽快会同有关部门发布实施。同时也组织制定完善相关行业检测标准,为APP治理工作提供更加坚实的政策和标准保障。

二是组织开展服务感知提升行动。聚焦用户APP服务感知差、体验差的若干关键环节,组织开展服务感知提升行动,针对性采取有效措施,进一步推动改善APP服务质量。计划下半年启动“服务感知提升行动”,从用户服务感知的角度入手,提升治理力度和治理效果。

三是组织开展问题“回头看”。在常态化监管的基础上,适时针对重点问题、重点企业开展“回头看”,对反复出现违规调用通信录和用户地理位置权限等相关问题的企业,加大惩处力度,确保整改过的问题“不反弹、不反复”。

数据是国家基础战略资源和重要的生产要素。在国家相关法律和机制框架下,依据职责,围绕以下几方面开展工作,即:行业数据安全监管,提升数据安全监管能力建设,促进数据安全产业发展等。

出台数据安全管理制度。加快制定工业和信息化领域数据安全管理政策,更好地承接《数据安全法》在行业的实施落地。组织开展行业数据分级分类管理、重要数据目录制定等相关工作,构建行业数据安全领域的标准体系,研究制定车联网、工业互联网等领域的数据安全的重要标准。

建立数据安全的认证体系。组织研究数据安全保护认证体系,制定行业数据安全保护能力的评定规范。建立由行业组织、科研机构、骨干企业共同参与的评估认证机制,指导开展相关认证工作。

开展数据安全的监督检查。结合基础电信企业安全考核、“双随机一公开”检查等监管手段,建立健全行业的投诉举报受理机制,督促企业落实数据安全保护义务。研究建立行业数据安全态势监测和通报机制,完善风险信息分析、研判和处置能力建设。

促进数据安全产业发展。通过重点实验室、创新技术中心等措施,支持数据安全关键技术攻关。依托单项冠军、专精特新“小巨人”、产融合作等多种渠道,培育骨干企业。探索开展数据安全特色的学科建设,鼓励校企联合培养数据安全人才。

原文来源:FreeBuf

标签: