本文來自隱私護衛(wèi)隊。
數(shù)據(jù)安全執(zhí)法檢查,走上街頭。
近日,南都記者獨家報道江蘇淮安一家足浴店因電腦未設(shè)置密碼、未建立數(shù)據(jù)安全管理制度,被當(dāng)?shù)嘏沙鏊枰?ldquo;責(zé)令整改和警告”的行政處罰,此事引起多方熱議。
南都記者進一步調(diào)查發(fā)現(xiàn),今年5月份以來,江蘇公安執(zhí)法公示平臺披露過上百起類似“未履行數(shù)據(jù)安全義務(wù)”的執(zhí)法案例,處罰對象包括擁有較多敏感數(shù)據(jù)的物業(yè)、房產(chǎn)公司、酒店、醫(yī)院等。這波執(zhí)法還走到街邊商店,多家超市、理發(fā)店、水果店、寵物店、蛋糕店、網(wǎng)吧等,也被納入檢查范圍。
多名涉事商家表示已整改,設(shè)置了電腦開機密碼等,但對于如何進一步合規(guī),他們感到困惑:要采取何種技術(shù)措施保障數(shù)據(jù)安全?怎么建立全流程的管理制度?這會不會增加合規(guī)成本?種種問題擺在眼前,有商戶直言“尚無能力履行數(shù)據(jù)安全及個人信息保護義務(wù)。”
針對此事,南都記者采訪多位專家發(fā)現(xiàn),有人點贊支持江蘇公安的做法,稱執(zhí)法是最好的普法,一些商戶由于缺乏數(shù)據(jù)安全保護意識,更容易泄露顧客個人信息。但也有人持反對意見,認為行政處罰可能給小微企業(yè)帶來“信用污點”,數(shù)據(jù)安全監(jiān)管應(yīng)當(dāng)“抓大放小”,避免過度執(zhí)法,增加合規(guī)壓力。
與此同時,針對這類小型個人信息處理者的情況,多位專家呼吁盡快制定、出臺專門的個人信息保護規(guī)則或標準。
數(shù)據(jù)安全檢查走到街頭,超20家門店被通報
8月16日上午10點許,位于江蘇淮安市淮陰區(qū)的六指情魔足浴會所,迎來一次執(zhí)法檢查。當(dāng)?shù)嘏沙鏊膬擅窬榭戳嗽摰甑碾娔X,發(fā)現(xiàn)這里面存有顧客姓名、手機號碼、身份證號碼等敏感數(shù)據(jù),但卻沒有設(shè)置密碼。
執(zhí)法人員進一步檢查發(fā)現(xiàn),該足浴店也未制定數(shù)據(jù)安全管理制度,且未采取必要措施保障數(shù)據(jù)安全,于是開出了一張行政處罰單:責(zé)令整改、警告。
事實上,這樣的執(zhí)法案例并非個例。8月26日晚上,南都記者登錄江蘇公安執(zhí)法公示平臺,以“不履行數(shù)據(jù)安全保護義務(wù)”為標題關(guān)鍵詞搜索,出現(xiàn)123條執(zhí)法數(shù)據(jù)。
南都記者梳理發(fā)現(xiàn),早在去年江蘇公安執(zhí)法公示平臺上就披露過5起“未履行數(shù)據(jù)安全保護義務(wù)”的執(zhí)法案件。較早一起案例的落款時間是2022年7月19日,蘇州市吳江區(qū)某電機公司因數(shù)據(jù)庫存在未授權(quán)訪問漏洞等問題,被警方予以警告處罰。5起案例中,泰州市醫(yī)藥高新區(qū)的一家研究中心在使用數(shù)據(jù)庫平臺過程中,存在數(shù)據(jù)安全嚴重隱患,被警告并處罰款5萬元。
到了2023年,這類執(zhí)法案件數(shù)量明顯增多,達到118起。南都記者按公示時間統(tǒng)計,5月的案件量為23起,6月為52起,7月公布了11起,截至8月26日的數(shù)量達到32起。
為進一步了解執(zhí)法情況,南都記者查閱了這些行政處罰決定書,并結(jié)合信息披露完整度等因素,選取近期公示的60起執(zhí)法案例進行分析。通報顯示,這類案件的執(zhí)法單位遍布江蘇省內(nèi)多個城市,包括泰州、連云港、淮安、常州、鎮(zhèn)江等,作出行政處罰的既有地市級公安局,也有縣區(qū)分局和派出所。
從處罰對象來看,有超過20家店鋪因未履行數(shù)據(jù)安全保護義務(wù)而被通報警告,包括足浴店、超市、餐飲店、美發(fā)店、網(wǎng)吧、水果店、藥店、寵物店、珠寶店、汽車服務(wù)店等。
通報顯示,8月9日,淮安市洪澤區(qū)的誠實果品店迎來一次執(zhí)法檢查,25歲的店主陳某因未對顧客信息盡到數(shù)據(jù)安全保護義務(wù),而被警告。同天,位于淮安市淮陰區(qū)的暢速汽車養(yǎng)護服務(wù)中心,則被指收集了包含姓名、手機號碼、車牌照等客戶信息,但沒有采取相應(yīng)的加密、去標識化等安全技術(shù)措施。
8月16日,連云市公安局連云分局通報查處的兩起案例顯示,當(dāng)?shù)氐逆面妹腊l(fā)店和優(yōu)格寵物店均未對客戶信息加密,任何工作人員無需登記均可使用該電腦上網(wǎng)登記、修改、下載注冊會員的個人信息,且未開展數(shù)據(jù)安全相關(guān)教育培訓(xùn)。
可以看到,這些門店所涉問題類似,大多是因正常業(yè)務(wù)需要收集了顧客信息,但位于前臺的工作電腦未設(shè)置開機密碼和屏保密碼,未對記錄相關(guān)敏感數(shù)據(jù)的文檔設(shè)置密碼,沒有開展相關(guān)培訓(xùn),以及沒有制定數(shù)據(jù)安全管理制度,未采取必要措施保障數(shù)據(jù)安全。
售樓處用人臉識別攝像頭抓拍,一快遞點泄露信息被罰5萬
值得一提的是,南都記者統(tǒng)計60起執(zhí)法案件發(fā)現(xiàn),共有18家物業(yè)公司因未盡數(shù)據(jù)安全保護義務(wù)被通報,占比三成。可見物業(yè)是執(zhí)法檢查的重點目標之一,也是被處罰的“重災(zāi)區(qū)”。
相比街邊商店,物業(yè)收集存儲的業(yè)主信息更多,細致到家庭住址和門牌號,還掌握繳納物業(yè)費信息、小區(qū)出入口車輛進出等數(shù)據(jù)。盡管如此,這些物業(yè)管理處也未采取足夠措施保障數(shù)據(jù)安全。南都記者查閱工商信息發(fā)現(xiàn),一些物業(yè)公司的人員規(guī)模不超過50人,所顯示參保人數(shù)在個位數(shù)。
按照處罰單位分類,南都記者統(tǒng)計發(fā)現(xiàn),除了物業(yè)外,超市和能源公司各有5家上榜;其次餐飲店和美發(fā)店,各占4家;接著是醫(yī)療機構(gòu)和房地產(chǎn)公司,各有3家被通報;網(wǎng)吧、賓館和水果店則各有兩家。
由此可見,這類面向包括個體工商戶在內(nèi)的中小微企業(yè)的執(zhí)法檢查,覆蓋了與人們?nèi)粘I钕嚓P(guān)的不同消費場景。在一些重點場所中,執(zhí)法檢查發(fā)現(xiàn)了不少問題。比如鎮(zhèn)江市丹徒區(qū)上黨鎮(zhèn)的一家超市在推行智能化系統(tǒng)中,對產(chǎn)生的1.7萬條會員數(shù)據(jù)未采取必要措施保障安全,存在數(shù)據(jù)泄露風(fēng)險。
2020年南都記者曾報道,一些地方的售樓處私自安裝人臉識別系統(tǒng),以此辨別適用享受渠道優(yōu)惠的顧客。為了不被無感抓拍,有人被迫戴頭盔賣房。時至今日,這類現(xiàn)象仍舊存在。
今年6月,鎮(zhèn)江市公安在對一家房產(chǎn)公司的營銷中心檢查時發(fā)現(xiàn),該中心在未告知并征得購房者同意的情況下安裝人臉識別攝像頭,在公共場所采集個人信息并存儲。對此,辦案民警當(dāng)場訓(xùn)誡,并責(zé)令該公司整改。
再以醫(yī)療機構(gòu)為例,此次通報了四家單位包括徐州市中醫(yī)院、徐州仁濟醫(yī)院、徐州賈汪區(qū)江莊鎮(zhèn)衛(wèi)生院、射陽縣黃沙港鎮(zhèn)海豐居委會衛(wèi)生室。
一起案例顯示,2023年6月13日14時許,徐州市公安局賈汪分局民警在開展檢查中發(fā)現(xiàn),賈汪區(qū)江莊鎮(zhèn)衛(wèi)生院內(nèi)部系統(tǒng)服務(wù)器中產(chǎn)生的日志被映射至互聯(lián)網(wǎng),日志中包含大量病人姓名、身份證號碼、檢查信息等。
另一起案例指出,2023年5月31日,徐州市公安局云龍分局民警發(fā)現(xiàn),徐州市中醫(yī)院通過網(wǎng)閘映射至公網(wǎng)方式,將數(shù)據(jù)庫內(nèi)數(shù)據(jù)與合作方在互聯(lián)網(wǎng)端使用。
根據(jù)《數(shù)據(jù)安全法》第二十七第一款,開展數(shù)據(jù)處理活動應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓(xùn),采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全。
若違反上述規(guī)定,《數(shù)據(jù)安全法》第四十五條明確,由有關(guān)主管部門責(zé)令改正,給予警告,可以并處5萬元以上50萬元以下罰款,對直接負責(zé)的主管人員和其他直接責(zé)任人員可以處1萬元到10萬的罰款。
從處罰結(jié)果看,絕大多數(shù)涉事單位被警方給予警告、責(zé)令限期改正的行政處罰,整改期限有的在3天,有的是7天,有的則是10天。南都記者統(tǒng)計的60起執(zhí)法案例中,僅有兩起開出罰金。其中一起是針對個人,另一起與快遞公司有關(guān)。
案例顯示,今年4月30日,南京某信息科技公司員工劉某為滿足自己工作便利需要,私自將當(dāng)?shù)厥行l(wèi)健委存儲在服務(wù)器上的個人信息進行備份,并下載至本地留存。由于劉某未將個人信息泄露、出售及向他人提供,尚不構(gòu)成犯罪,據(jù)此執(zhí)法機構(gòu)對劉某罰款1萬元。
今年7月,江蘇啟東市公安局查處的一起案例則顯示,當(dāng)?shù)匾患铱爝f公司未對掃描快遞單電腦設(shè)置登錄密碼,致使他人半夜闖入并對上述電腦植入木馬,造成大量公民個人信息被泄露,為此對該單位給予警告并處罰款5萬元。
有人點贊:執(zhí)法面向身邊門店,有助于普法
在不少人眼中,這類數(shù)據(jù)安全執(zhí)法檢查對象,通常面向擁有巨量數(shù)據(jù)的大型互聯(lián)網(wǎng)平臺,或掌握關(guān)鍵信息基礎(chǔ)設(shè)施的服務(wù)提供商。但是此番江蘇公安“大小一起抓”——檢查對象從小區(qū)物業(yè)、售樓處、快遞點、鄉(xiāng)鎮(zhèn)衛(wèi)生院,鋪開到街邊商鋪;因為執(zhí)法顆粒度較細、范圍廣泛,引發(fā)了諸多討論。
此舉出于何種考慮?有江蘇公安方面的知情人士向南都記者透露,隨著法律的完善和落地實施,一些大型企業(yè)和互聯(lián)網(wǎng)平臺的數(shù)據(jù)安全和個人信息保護水平,已有所提升,但很多小微企業(yè)和個體工商戶缺乏這方面意識,所以將其也納入檢查范圍。
據(jù)南都記者了解,近年來,以公民個人信息為核心,滋生出電信詐騙、騷擾電話、搶號搶票、網(wǎng)絡(luò)水軍、“人肉搜索”、“呼死你”、“薅羊毛”等黑灰產(chǎn)業(yè),嚴重侵害公民的財產(chǎn)安全和人身權(quán)益。
公安部8月10日公布的數(shù)據(jù)顯示,2020年以來累計偵破侵犯公民個人信息違法犯罪案件3.6萬起,抓獲犯罪嫌疑人6.4萬名。錨定行業(yè)內(nèi)部泄露源頭,三年來共抓獲電信運營商、醫(yī)院、保險公司、房地產(chǎn)、物業(yè)、快遞公司等行業(yè)“內(nèi)鬼”2300余名。為進一步筑牢數(shù)據(jù)安全防線,在大平臺之外,一些中小企業(yè)的信息收集和使用行為,也日益引起監(jiān)管重視。
上述知情人士還表示,執(zhí)法機構(gòu)也并非一上來就罰款,而是以警告為主。如果發(fā)現(xiàn)典型違法行為,才會處以罰款。由于江蘇注重執(zhí)法信息公開,因此大家可以在相關(guān)公示平臺上,集中看到這些案例。
在認真查閱了這些處罰決定書后,上海交通大學(xué)數(shù)據(jù)法律研究中心執(zhí)行主任何淵稱“看了大感震撼”。他以關(guān)鍵詞查詢發(fā)現(xiàn),在該執(zhí)法公示平臺上,“未履行數(shù)據(jù)安全保護義務(wù)”有上百起,“未履行個人信息保護義務(wù)”的案例更多,達到數(shù)百起。
在何淵看來,數(shù)據(jù)安全執(zhí)法不能僅僅針對大型企業(yè),路邊小店收集的個人信息與人們的生活直接相關(guān),類似小的房產(chǎn)經(jīng)紀門店把數(shù)據(jù)交易給健身房、裝修店的現(xiàn)象,時常出現(xiàn)。一旦有這樣的投訴,就應(yīng)該啟動相關(guān)執(zhí)法。
“信息處理者不能因為(規(guī)模)小,就認為不需要履行數(shù)據(jù)安全保護義務(wù)。江蘇公安這種執(zhí)法相當(dāng)有必要,這有助于推進個人信息保護制度的落地。”何淵說。
對于這樣的執(zhí)法行為,擁有多年從業(yè)經(jīng)驗的網(wǎng)絡(luò)安全專家張威也持支持態(tài)度。他告訴南都記者,一些街邊小店和商鋪并不清楚“買賣客戶信息”的法律風(fēng)險,所以有必要敲打提醒。同時這種針對街邊店的執(zhí)法,可能也是在傳達一種信號:意在提醒其他還存觀望心態(tài)的企業(yè)和機構(gòu)進一步重視和行動起來,加大加快開展數(shù)據(jù)安全保護的力度。
張威認為,推動數(shù)據(jù)安全保護的雙輪驅(qū)動,一方面在于加強執(zhí)法,另一方面需加快數(shù)據(jù)價值化落地。“而現(xiàn)在的問題是,一些組織和企業(yè)沒有看到數(shù)據(jù)可以變現(xiàn)、產(chǎn)生實際資產(chǎn)價值,因此就不愿意投入成本來保護數(shù)據(jù)。”
有人質(zhì)疑:行政處罰或影響征信,增加商戶合規(guī)成本
在點贊支持之外,反對質(zhì)疑的聲浪也不小。盡管這些小微企業(yè)未被罰款,但這一行政處罰或給其帶來信用“污點”,另一個核心問題則指向合規(guī)成本。
清律律師事務(wù)所首席合伙人熊定中告訴南都記者,雖然主要的處罰方式是警告和責(zé)令整改,并未涉及罰款等,但為了滿足監(jiān)管要求,個體工商戶的合規(guī)成本勢必會額外增加。
“不能說只是警告就對于商戶沒有影響。首先,他們后期需要整改,這種合規(guī)成本是非常高的;其次,這種行政處罰本身也是一項記錄,會影響相關(guān)的征信水平。”熊定中說。
企業(yè)數(shù)據(jù)安全合規(guī)投入的高低,很大程度取決于要對數(shù)據(jù)保護到什么程度。南都記者注意到,由于對合規(guī)標準的理解不同,受訪專家的觀點出現(xiàn)分歧。
張威認為,對街邊店鋪而言,數(shù)據(jù)安全保護實現(xiàn)并不難,也無需投入過多成本——只要有足夠重視的意識,用電腦里免費自帶的工具對數(shù)據(jù)進行加密,和保護自身財務(wù)數(shù)據(jù)一樣保護數(shù)據(jù)安全,就基本可以合規(guī)了。
何淵也認為要求商家設(shè)置電腦開機密碼,告知用戶收集信息行為等,這做起來并不難。同時他強調(diào),“不能用大平臺的合規(guī)標準去要求小門店”。比如讓其嚴格建立全流程的管理制度;邀請專家在內(nèi)部開展數(shù)據(jù)安全教育培訓(xùn);或花一二十萬元委托律所參與個人信息合規(guī)審計,這有些不現(xiàn)實。
中國計算機行業(yè)協(xié)會數(shù)據(jù)安全專委會委員、北京眾安天下科技有限公司負責(zé)人和知名白帽專家楊蔚(花名301)也主張,執(zhí)法有其必要性,但方式和力度需要靈活多變,以適應(yīng)不同類型和規(guī)模的企業(yè)。
他對南都記者表示,理想的情況是希望做到更精細的顆粒度。但數(shù)據(jù)安全保護的核心,要看業(yè)務(wù)和數(shù)據(jù)要素的價值——即由數(shù)據(jù)資產(chǎn)價值決定“保險柜”需要買什么樣的?一般認為,以數(shù)據(jù)資產(chǎn)價值的5%以內(nèi)作為安全投入,相對合理。
楊蔚還提到,市場上動輒數(shù)十萬甚至百萬級的數(shù)據(jù)安全解決方案,對于中小微企業(yè)來說仍然是一種負擔(dān),這導(dǎo)致許多企業(yè)面臨一定合規(guī)挑戰(zhàn)。
與此同時,也有專家強調(diào)應(yīng)該關(guān)注這類執(zhí)法的合理性。對外經(jīng)濟貿(mào)易大學(xué)數(shù)字經(jīng)濟與法律創(chuàng)新研究中心主任許可認為,江蘇公安此舉合法但不合理。雖然總體上符合法律法規(guī)要求,但其應(yīng)基于風(fēng)險規(guī)制和分類分級原則,對于不同類型、不同規(guī)模的企業(yè)設(shè)定不同的合規(guī)要求,不能簡單地將《數(shù)據(jù)安全法》《個人信息保護法》的規(guī)定普遍性地適用于所有的小型企業(yè)。
許可告訴南都記者,盡管目前尚無針對不同類型、不同規(guī)模企業(yè)的專門規(guī)定,根據(jù)一般的監(jiān)管邏輯,相關(guān)監(jiān)管要求、監(jiān)管水平理應(yīng)“因地制宜”,和一般性規(guī)定有所差別。
呼吁:出臺針對小型個人信息處理者的規(guī)則
回到落地問題,街邊的蛋糕店、水果店、足浴店,要落實數(shù)據(jù)安全合規(guī)要求,難不難?
南都記者嘗試聯(lián)系了多家涉事商戶,他們大多表示愿意接受處罰,但同時表達了相關(guān)的困惑。一名商家稱,其店內(nèi)電腦中存儲客戶個人信息的系統(tǒng)本就設(shè)有密碼,非店內(nèi)員工無法登錄。然而,該店仍被視為未采取足夠的數(shù)據(jù)安全保護措施,被責(zé)令要求額外設(shè)置電腦開機密碼。
還有一名涉事商家表示,(民警)說的(店里客戶信息)沒有經(jīng)過加密處理是事實。但此前并未從任何監(jiān)管部門處得知,需要對客戶個人信息進行加密。除了加設(shè)電腦開機密碼外,目前并不知道如何通過技術(shù)手段來實現(xiàn)加密處理。
同時,針對行政處罰書提到的“未制定數(shù)據(jù)安全管理制度”和“未采取必要措施保障數(shù)據(jù)安全”兩項問題,多位店主表示執(zhí)法人員并未給出明確指導(dǎo),“沒具體說到底需要整改哪些。”
由此可見,當(dāng)數(shù)據(jù)安全執(zhí)法下沉?xí)r,一個擺在眼前的現(xiàn)實問題是,如何幫助小微企業(yè)合規(guī)——要采取何種措施、做到什么程度,才算履行了數(shù)據(jù)安全保護義務(wù)?這是當(dāng)前各方高度關(guān)注的焦點。
或許,普法是破題的第一步。許可認為,由于包括個體工商戶在內(nèi)的大部分小企業(yè)缺乏數(shù)據(jù)安全以及個人信息保護意識,因此有必要加強宣傳教育,形成一種“全民守法”的氛圍。
信息安全從業(yè)者楊蔚也建議,與反詐騙宣傳類似,應(yīng)當(dāng)將《數(shù)據(jù)安全法》和《個人信息保護法》的普及也納入宣傳重點工作。同時,鼓勵產(chǎn)業(yè)界推出更多適用于小微企業(yè)的數(shù)據(jù)安全解決方案。
何淵則結(jié)合上海的實踐案例提到,近期上海市網(wǎng)信部門和市場監(jiān)管部門先后聚焦“掃碼點餐”和“掃碼支付停車費”兩大重點消費場景,開展專門的執(zhí)法行動。通過征集舉報線索、約談指導(dǎo)、普法培訓(xùn)、出臺合規(guī)指引、現(xiàn)場執(zhí)法等方式,要求上海餐飲企業(yè)和商場停車場,不得強行索要消費者個人信息,誘導(dǎo)關(guān)注公眾號等。
“江蘇的做法是執(zhí)法下沉,在縣市級層面普法落地。上海的經(jīng)驗是針對個人信息收集的重點場景,作出示范性方案。我認為這兩種思路可以相互融合、借鑒,在執(zhí)法上做更多創(chuàng)新。”何淵說。
具體而言,他認為執(zhí)法機構(gòu)可以先通過約談、推出實施指南等柔性執(zhí)法方式,引導(dǎo)中小微企業(yè)合規(guī)。之后再采取硬性執(zhí)法——但不要一上來就對小門店進行執(zhí)法,可以適用“首違不罰、輕微免罰”的行政處罰原則,給予小門店改過自新的機會。如果仍然不改且造成數(shù)據(jù)泄露危害的,則需強化執(zhí)法。
值得一提的是,多位專家呼吁,盡快針對小型個人信息處理者,制定和出臺專門的個人信息保護規(guī)則、標準。這也是《個人信息保護法》第六十二條明確的,由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)推進的一項個人信息保護工作。
這項工作如何落地?許可建議,不僅要在立法層面進一步落實《個人信息保護法》中有關(guān)小型個人信息處理者豁免的規(guī)定,還要在執(zhí)法層面出臺更多規(guī)則,細化監(jiān)管執(zhí)法的標準,比如規(guī)定如何對顧客的個人信息進行加密才算合規(guī)等。
在許可看來,“對于小微企業(yè)而言,有必要在能力范圍之內(nèi)采取可行的安全保障措施,但具體包括哪些安全措施還需要業(yè)界的共同探索,有待監(jiān)管達成共識——完全豁免顯然也是不合理的。”