因为“偷传”用户数据,国外一企业收到了天价“罚单”,且罚款金额打破了数据保护领域的纪录。
近日,Facebook母公司Meta因违反欧盟数据保护条例被重罚12亿欧元,约合人民币90亿元,创下欧盟此类罚款的最高纪录。爱尔兰数据保护委员会(DPC)指出,Meta公司向美国传输大量欧盟用户个人数据,却未能充分保护这些数据的安全,违反了欧盟《一般数据保护条例》(GDPR)。
日前,中欧数字协会主席鲁乙己在2023中关村论坛——数据安全治理与发展论坛上表示,按照GDPR,如果企业保护用户数据不力,罚款金额可能高达该企业上一财年全球营业额的2%。他指出,当下,企业必须要有数据保护意识,并在企业内部采取数据保护举措,确保数据最小化原则。
据悉,这也是中关村论坛首次设立数据安全治理与发展论坛。国家互联网信息办公室总工程师孙蔚敏在论坛上表示,加强数据安全治理,保障数据发展的应用已成为数字时代的重大课题。
当下,数据安全面临诸多挑战,为谋求数据安全与治理的高质量发展之道,本次论坛邀请了国内外专家学者以及业界人士,共议数据安全发展的痛点,共享数据治理经验,共谋数据发展蓝图。
“安全总是滞后于发展”
近年来,个人信息泄露事件屡见不鲜,数据买卖黑灰产业链久斩不断,数据安全事故频发,网民对数据安全治理的需求飙升。
近期,一条个人信息仅售0.6元的消息引发公众关注。5月22日,昭通市大关县公安局网安大队通报称,经该大队调查,张某某通过QQ等渠道以0.6元/条的价格出售公民身份信息,并通过支付宝、微信、虚拟币等方式收款。公安局已依法对其采取了刑事拘留强制措施,目前,案件正在进一步深挖中。
这样的情况并非个例。孙蔚敏指出,当前,以数据为核心的大型互联网平台不再仅仅是经济平台、商业平台,其公共空间的属性、基础设施的属性凸显,数据权属、数据边界等一系列新问题摆在面前。
“企业的网络安全需求大多是来自应对政府监管的需要,无论是政府、企业、组织,还是个人,相对发展而言,对安全的需求动力不足,这导致安全总是滞后于发展。”孙蔚敏观察到,一些地方政府在提供数字服务时,安全措施没有同步到位;一些网民对于用个人信息来换取利益带来的风险意识不足,导致大量信息被窃取、被售卖。
在处理一些重大网络安全事件时,孙蔚敏明显感觉到,企业管理不严格、责任不到位是这些事件出现的重要原因,尤其是在一些基层机关,外包服务商成为攻入其核心网络窃取重要数据的重要突破口。
中国科学院院士冯登国一直在关注数据安全领域。在论坛上,冯登国以《数据安全新方向:数据使用安全》为主题发表演讲。他认为,数据使用安全已经成为数据安全的新方向。
他说,当前数据安全威胁主要来自数据泄露、数据破坏、隐私泄露、数据失控、数据滥用、数据损坏或者丢失等多个方面。
“需要面向数据安全生命周期,构建数据安全防护、数据安全治理和数据安全威慑三大技术体系。”冯登国认为,云计算、大数据等新型应用场景的发展迫切需要对使用中的数据进行保护;同时,移动设备、物联网设备数量的不断扩大迫切需要对数据进行保护。
从打通“数据孤岛”走向利用数据“共同富裕”
当前,人工智能技术加速演进,海量数据赋能人工智能产业蓬勃发展,数据安全和隐私保护亦成为人工智能系统开发应用过程中的重要议题。尤其是当多个企业合作共同建模时,如何在保证数据独立性、隐私性、安全性等条件下推进建模是行业面临的一个难题。
香港科技大学讲座教授、加拿大工程院及加拿大皇家学院两院院士杨强提出,以联邦学习为代表的隐私计算正在成为解决数据安全与开放共享之间矛盾的重要技术路径。杨强解释,联邦学习的主要作用是“让数据可用而不可见”。
联邦学习是一个满足隐私保护和数据安全与监管的分布式机器学习框架,通过加密机制下的参数交换方式,可以在不违反隐私保护法规的情况下,建立一个虚拟的共有模型,从而实现打通“数据孤岛”走向利用数据“共同富裕”的目标。
当下,人工智能大模型发展应用过程中所面临的安全、效率、效果三者如何平衡是行业的焦点问题之一。杨强表示,可信联邦学习可能是解决途径之一,利用多目标优化的思想,来堵住各种各样的漏洞。这也意味着联邦学习的方向又到了一个新的转折点。
数据安全事故发生在更多领域。如今,数字化已经成为车企的核心竞争力,与此同时,汽车行业也成了数据安全治理的重点行业。
北京现代汽车有限公司常务副总经理吴周涛指出,当前的汽车行业已经全面进入智能化和电动化转型时期,未来,数字化、智能化成为更多企业最核心的竞争力。未来的汽车将更多聚焦数字化产品,也会产生大量数据。
吴周涛介绍,北京现代汽车有限公司搭建了数据资产的管理平台,通过加密、脱密等技术,对所有数据进行分类分级管理,让数据在运行过程当中更为有效。
自动驾驶是汽车行业未来发展的方向之一。梅赛德斯-奔驰(中国)首席合规官刘剑指出,自动驾驶、V2X(车与万物互联)车联网一定会带来数据的井喷,保证数据安全是行业发展的前提,这一点毋庸置疑。同时,刘剑也希望,相关部门在制定政策法规时能够安全与发展并重,在保障数据安全的同时,支持科技创新。
在数据出境方面,刘剑指出,汽车行业是全球化程度非常高的产业之一,对于跨国车企来说,全球化协同管理也决定了很难避免数据跨境的场景。因此,刘剑呼吁,中国与其他国家和地区尽快通过双边或者多边协定,促进汽车数据的跨境传输。
数据安全治理需要发挥多方合力
数据安全治理是一项系统工程,需要多主体共同发挥合力。
对于数据安全治理,冯登国指出,应该在坚持自主可控安全可信的防护理念的基础上,紧扣国际数据安全技术的发展趋势,在进行创新的同时,充分借鉴国际的先进成果。加强数据安全法律法规研究制定,紧密结合产业和应用实际,自主掌控关键核心技术,给产品推出切实可行的安全解决方案和标准规范,为保障数据产业健康稳定发展保驾护航。
“三分靠技术、七分靠管理”。孙蔚敏认为,在推进数据流通共享应用的基础上,要创新管理理念,创新思路和方法,加强数据安全风险研判,加强重点行业、重要数据的安全监管,建立健全风险评估、监测预警、应急响应、检查排查、督促指导等工作机制,切实保障数据安全。
同时,孙蔚敏表示,要不断健全数据治理基础制度体系,进一步加强数据主权、数据权属、数据价值等问题的研究,加快建立数据产权、数据交易、数据共享流通、数据安全保护等基础制度。
孙蔚敏还指出,要加快出台《网络数据安全管理条例》等法规政策,建立健全数据分级分类保护、数据安全管理认证、个人信息保护、合规审计、数据出境全管理等制度,从严整治违法违规收集使用个人信息等行为,不断强化数据安全保障体系和能力建设。
鲁乙己指出,当前,个人隐私和数据保护的重要性日益增加,全球70%以上的国家已经出台了相关法规来确保数据和隐私的保护,欧盟也迎来了席卷全球的新数据保护立法的浪潮。
“随着数字经济蓬勃发展,各国安全发展的利益格局紧密相连,没有谁能够独善其身。”孙蔚敏说,要携手走出一条数字经济活力迸发、数字治理精准高效、数据安全保障有力、数字合作互利共赢的全球数字化发展道路。