2019年8月14日,由环球律师事务所与中国信息通信研究院共同主办,CCA公司法务联盟承办的“数据安全与个人信息保护论坛”在北京文津国际酒店盛大举行。论坛探讨了新经济企业、数字化转型的传统企业以及投融资机构如何应对数据安全与个人信息合规的挑战。
此次论坛由公司法务联盟的创始人之一胡佳彦女士担任主持,她首先介绍了此次论坛举办的背景:在大数据和信息化的时代,为了规范数据的应用,确保数据隐私安全,世界各国都在持续不断地立法。我国工信部、市场监管总局、网信办以及公安部四部委联合开展了App的违法违规收集使用个人信息专项治理工作,SDK的治理也受到了各方的重视。
随后,环球律师事务所刘劲容主任作为开场发言嘉宾,与大家分享了数据合规与个人信息保护的重要性与整体监管趋势。他提到,有关数据的法律问题主要涉及三个方面:第一,是个人数据层面的处理和保护,其次是关键信息基础设施方面的数据安全,第三是重要数据的处理和保护。数据安全是一个特别重要的话题,主要包括数据的保密性、完整性和可用性,还有与之相关的一系列风险防控措施。刘主任还通过PPT展示了近几年国内外发生的重大数据安全事件以及该领域的立法现状与监管趋势,为大家深入解析了数据安全的重要性以及企业需要把握的监管方向。
中国信通院安全研究所魏亮所长针对App个人信息安全现状及解决思路为大家做了分享。首先,魏所长给大家介绍了数据安全的总体形势,其提及了我国目前的网民规模以及使用App的庞大数量。其后,魏所长分析了当前在此背景下国内企业出现的各种违法违规收集使用个人信息的现状,包括App隐蔽收集、超出用户个人心理预期收集使用个人信息,误导用户同意以及App内嵌的SDK存在的安全风险等问题。魏所长还提到,制定相关的规定不能一刀切,要考量发展和安全,在两者之间寻找一个平衡点。
在两位领导发言过后,论坛围绕第三方SDK的数据合规治理开展了圆桌对话,探讨了SDK与App之间的博弈。本次圆桌对话由北京大学法治与发展研究院高级研究员洪延青博士主持,邀请了字节跳动数据安全与隐私保护合规法务总监田申先生、完美世界集团知识产权总监薛颖女士、美团点评法律政策研究中心高级研究员刘笑岑女士代表App开发者,并且邀请了小米法务部隐私数据合规法务总监朱玲凤女士、极光法务总监兼公司合规官孙艳华女士、Talking Data法务总监葛梦莹女士代表SDK服务提供方,从两个不同方向进行交流与探讨。另外还有信通院安全研究所数据安全研究部副主任陈湉主任,以及环球律师事务所数据合规团队合伙人孟洁律师作为第三方中立机构共同参与了此话题的讨论。
圆桌会议大家讨论的第一个议题围绕是App与SDK之间的共生问题,探讨关于App能不能脱离SDK而单独运行。发言嘉宾们对此问题达成了比较统一的意见,一致认为App需要第三方SDK的支持,才能发挥更大的功能效用。因为集成第三方SDK,可以帮助App节省软件开发的成本,大大增强其功能的效率,并且社会资源也能在此过程中得到更有效率的利用。
接下来,嘉宾们又针对SDK在与App合作过程中,互相最担心的问题是什么这一话题进行了讨论。作为App代表方的嘉宾们表示,对于一个用户达到很高量级的App来说,最担心的就是数据安全事件,因此在与SDK合作的过程中,最关心的就是SDK本身的安全性能问题,是否会违法违规收集个人信息,自身安全性又是如何保障的。作为SDK代表方的嘉宾们表示,目前市场上有些做的不好的SDK主要有两方面特征,第一是存在隐蔽收集的情形,有些时候权限被调用时客户也没有感知;第二有些不合规的SDK自身存在安全性能缺陷,嘉宾也建议能够由政府牵头制定一些基本的SDK安全标准作为行业指南。
在讨论完App与SDK之间共生的问题以及可能存在的安全问题后,嘉宾们又围绕实践中在解决上述问题时会遇到哪些问题进行了讨论。首先,在技术层面上,App有时很难做到对封装的第三方SDK进行有效的检测和监控。在理论层面上App可以对SDK进行事前、事中和事后全方位的监管,但是实践中如果App企业这么做会耗费很大的人工和时间成本,App开发者往往为了尽快上线和节约成本,不会选择这么做;其次,很多第三方SDK是开源提供的,开发者平台上往往也有成型的开发者服务协议,导致SDK与App之间谈判的空间并不多;再有,因为SDK技术发展日新月异,为了保证透明度,每一次技术更新、服务更新都需要对终端用户进行弹窗提示的话也会存在不好的用户体验。
针对上述问题,孟洁律师在最后补充到,对这些问题进行有意义的讨论,从两方面共同探索解决方案,正是我们撰写本次《软件开发包(SDK)安全与合规白皮书(2019)》最主要的初衷。App与SDK之间的责任究竟应当如何分配,双方如何更好的进行合作等问题都在白皮书中进行了探讨性地分析。白皮书把这些问题开放出来,供大家进一步研究与分析,建立起良性、有序的生态环境。
在圆桌会议结束后,举行了隆重的白皮书揭幕仪式。中国信通院安全所的魏所长与陈主任,以及环球律师所事务所的刘主任和孟律师共同为白皮书进行了揭幕。
魏所长表示,SDK安全合规问题实际一直受到关注,目前大家只是形成了初步的探讨,接下来会做更多的工作,邀请更多业界SDK提供方、App开发者一起合作,进一步把数据安全做得更好。刘主任表达了与信通院此次合作的感受,与信通院专家一起研究第三方SDK的专业法律问题,形成了良好的初步成果。
陈主任认为白皮书是针对SDK的一个初步探索成果,也希望后续更多的业界朋友们能够一起加入讨论,共同去促进整个移动互联网产业继续繁荣发展。孟律师对参与此次论坛的所有嘉宾和观众表达了感谢,并希望未来App和SDK能够找到一个更好的共存方式,携手形成良好的互联网生态圈。
在经过短暂的茶歇后,会议进入了下半场,受邀的嘉宾们对近期国家发布的与数据合规相关的法律法规和标准进行了解读。
下半场首先由中国信息通信研究院政策与经济研究所法律部主任方禹,对《数据安全管理的重点和难点》进行了分析和解读。
方主任认为,互联网管理、互联网治理的本质是对数据的治理,只有把数据管理好了,就一定可以把互联网给管理好。数据化以前可能跟互联网没有关系,但在互联网+时代,互联网的问题就变成一个共性的问题。
就如何解决数据发展和数据安全之间的平衡,方主任认为,站在监管者的角度和被监管者的角度,对这个问题的理解和思路是不一样的。他觉得这个平衡点一定是动态的,随着技术、应用的发展而变化,不同的时期都不一样。
方主任总结了数据管理的难点是数据分类,重点是数据泄露通知。数据分类之所以难是因为从国家安全、企业权益、用户权益的角度,所考虑的问题都是不一样的。数据通知制度之所以重要,是因为制定同意,是前端的权利,然而用户也很关心其个人信息交上去以后怎么处理的问题。对个人信息监管有两种思路,第一种思路是对数据、个人信息全生命周期的管理,从收集、使用、存储、转移、披露,各个环节用户都有管理的要求,实际上这很难做到,无论是执法的力量、成本、技术,还是操作可能性都存在问题。相反,以数据泄露通知为基础,来建立管理的制度,前端按照一般的要求即可,但是如果发生数据泄露的情况,要求企业报告,如果不报告就会重罚,处以比较严厉的处罚措施,会倒逼着企业做好前端的合规。
第二位发言的嘉宾是中国信通院安全研究所网络安全事业部副主任廖璇,他和大家分享了《等保2.0的变化、亮点与做法》。
首先,廖主任为大家介绍了网络安全等级保护的发展历程,1994年,自国务院颁布《中华人民共和国计算机信息系统安全保护》,推出了等保1.0。2016年,《网络安全法》出台并明确要求国家实行网络安全等级保护制度。至今,我国已正式进入等保2.0的时代。等保的1.0制度越来越不适应当前保护的形势,所以在等保2.0当中,加入了云计算的扩展要求、大数据的扩展要求,以及移动网络的扩展要求。
接着,廖主任分析了等保1.0到2.0最主要的变化。等保流程方面,增加了风险评估、安全检测、通报预警、事件的调查、数据防护、应急处置、自主可控、供应链安全、效果评价、综治考核等规定。等保的定级流程方面,从以前1.0更多的企业自主定级,可以不去公安备案,到等保2.0的企业应当组织信息安全专家和业务专家来对初步定级的结果进行合理性分析。技术跟管理方面,等保2.0管理的细节制度、人员管理、建设管理和运维,实际上没有变化。但是在技术层面的变化非常显著,将在后面的主机安全、应用安全、数据安全,统一归到了安全计算环节,同步新增了安全管理中心。
最后,廖主任总结变化的内核是从等保1.0的被动保护到等保2.0的主动保护,从静态到动态的防御,从单点到整体的控制,从粗放式的控制措施到更加精准的保护能力。从整个等保2.0的思路来看,顺应了一些业务的变化,在业务和安全之中试图寻求一个动态平衡。
最后一位上台发言的嘉宾是百度高级法律顾问张朝,其对《数据安全管理办法(征求意见稿)》的规定进行相应解读。
张朝认为,该办法博弈了很长时间,是因为数据涉及很多面,它不仅涉及到消费者领域、涉及到国家监管问题,还涉及到企业怎么利用自己数据资产的问题。
张朝细致地分析了在数据处理过程中最主要的几个挑战。第一是关于收集规则的挑战,对于企业来讲,核心的要求还是弹窗,要从授权上面去加强用户的感知度。每一次弹窗其实都可能带来用户的流失,用户可能是不愿意接受,或者不敢接受,或者延迟接受。如果用户流失了,接下来影响的是安装量和活跃度,它是整个移动互联网的一个依赖的基础。
其次是个性化推送的挑战,在这个过程中主要考虑四个方面的问题:第一,划定业务范围,因为推荐的系统可能用到很多的逻辑,有一些逻辑它是基于用户画像的,即基于用户的个人信息;有一些逻辑它可能跟个人信息无关。第二是要考虑怎么样设计这个调控机制。因为办法明确要求要给用户一个退出的机制,那就要考虑个性化展示,有一个可控的开关,让用户可以去关闭它。
在嘉宾们精彩的发言后,环球律师事务所合伙人孟洁律师向本次论坛致闭幕词。孟律师表达了对参加论坛的所有嘉宾和听众以及举办论坛的工作人员的感谢。孟律师也表示,今日的论坛只是一个开始,希望未来大家能有更多机会共同探讨数据合规的相关问题,环球也会举办更多此类活动邀请大家来参加。
会议的最后,中国信通院与环球律师事务所向到场的每一位嘉宾朋友发放了由其共同撰写的《软件开发包(SDK)安全与合规白皮书》。“数据安全与个人信息保护论坛”宣布圆满结束。
