“数据安全观转变”或催生新一轮需求 《个信法》所指为谁?
原创
2021-11-04 11:30 星期四
科创板日报记者 郭辉
在新法下,一些从事AI技术处理人脸识别的企业以及互联网平台或首先受到影响,增加了合规成本;而与之相配套的网络与数据安全产业将受益。

《科创板日报》(北京,记者 郭辉)讯,今年“315”晚会上打响整治违规收集使用人脸信息的第一枪后,《个人信息保护法》(下称“《个信法》”)也于今年8月经十三届全国人大常委会第三十次会议表决通过,并从11月1日起正式实施。

有专家对《科创板日报》记者表示,《个信法》的正式实施意味着从此前强调数据保管安全,变成了要保障数据流通全过程的使用安全,是一种数据安全观的转变。在新法下,一些从事AI技术处理人脸识别的企业以及互联网平台或首先受到影响,增加了合规成本;而与之相配套的网络与数据安全产业将受益。

不过专家也提醒,相比政府、交通、医疗、金融等领域的数据量,乃至更长远的“物的数据”,互联网巨头所掌握的个人互联网行为数据只是大厦一隅,《个信法》的实施也在推动社会各方提高数据使用水平向巨头看齐。

数据安全观发生转变

《个信法》对个人信息处理规则、个人信息跨境传输、个人信息处理活动的权利、信息处理者的义务、监管部门职责,以及罚则等作出了全面的规定。其中值得关注的是,《个信法》回应了舆论对于大数据杀熟、人脸识别滥用等过去一段时期内行业痛点的关注,还就人脸信息等敏感个人信息的处理作出规制,完善了个人信息保护投诉、举报工作机制等。

“《个信法》从技术层面确定了算法自动化决策治理的基本框架,为自动化决策应用于电商平台经济、数字政府运行划定了合法边界。”奇安信数据安全专家韩培义博士表示,该法律为数据工作划定红线、明确原则、提供遵循,对过度收集滥用个人信息、违规处理用户数据等顽疾下了一剂猛药。

《个信法》第六十九条规定,处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。

华控清交董事长、前高盛集团全球合伙人张旭东在接受《科创板日报》记者采访时表示,第六十九条意味着在《个信法》框架下,数据处理方在相关的权益纠纷中有自证清白的需要,“仅从有罪推断的设定就可见其严格程度”。

张旭东认为,《个信法》更深层次传达的是一种数据安全观的改变:传统数据安全观主要聚焦对数据控制权的保护,要求的仅是数据保管安全;《个信法》以及此前施行的《数据安全法》,还对数据流通全过程的使用安全提出了新的要求,明确了数据流通时代的新数据安全观。

“多方数据通过融合计算进行价值流通,计算结果才能够提高生产、消费、社会管理效率;而《个信法》第二十一、二十二条、二十九条和六十九条对个人信息的使用目的、方式及权益纠纷作出了规定,旨在保障数据的流通全过程的使用安全。”

数据安全B端需求提升

《科创板日报》注意到,新法下,最先受到冲击的企业或为业务涉及个人信息抓取并分析的AI技术服务商

《科创板日报》记者此前曾报道,由于行业竞争激烈,一些核心AI企业技术趋同,因此纷纷在系统集成方案能力与市场能力方面展开了竞争,其中部分企业的业务就涉及到了以上敏感个人数据的抓取、分析。不少AI与视觉识别企业正在密集谋求新获融资或于A股、港股上市。

以拟于科创板上市的某家使用AI开发视觉识别技术的企业为例,其招股书显示,公司已实现商业化的项目中,就包括针对商业零售行业开发的一款商业认知系统。公司称其“面向商业线下场景的智能商业认知系统……可实现视频图像的结构化识别、对比、聚类计算、大数据分析及各场景的应用功能”。

创道咨询执行董事步日欣认为,AI企业的市场依然广阔,不过需要依赖别的技术手段保障用户数据安全。“这次《个人信息保护法》提升了个人信息保护的力度,增加了新的要求,对于网络安全和数据安全产业的发展,有一定推动作用。”

《个信法》除了有望催生AI领域的信息安全配套技术,电子商务、团购、外卖、共享经济等互联网模式,还有最近颇受关注的智能汽车数据安全等,都会涉及到个人信息问题。步日欣表示:“数据安全产业的发展,需要和应用行业密切关联,而这些产业对数据安全的需求提升,会共同促进信息安全产业的发展。”

张旭东身处的隐私保护计算行业,过去一段时期的感受是,社会与各行业对数据使用安全、数据使用目的和使用方式管控要求显著提高。“从根本来讲,管控数据使用目的、使用方式就是管控数据使用安全”。据了解,华控清交的主要客户为政府、金融、医疗,此外还有交通、能源方面的潜在需求。

互联网行为只是数据的一小部分

今年以来,互联网平台企业及跨境券商等“数据使用方”,受到监管和舆论的关注。

《个信法》第四十一条显示,“非经中华人民共和国主管机关批准,个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息”,对公民个人数据的主权安全做出了明确规定。就在今年9月1日,《数据安全法》也正式开始实施。奇安信撰文称,《个人信息保护法》与《数据安全法》保持了一致的执法协助限制。

韩培义博士表示,作为个人信息处理者或机构,应从制度建设、人员能力、技术保障手段等多方面对经营过程进行规范,将个人信息收集使用合规的理念贯穿产品设计、研发、运营的过程中,提前防范侵害用户权益、个人信息泄漏风险等事件发生。

《科创板日报》记者从一家在业内位于腰部的共享出行企业处了解到,早在《个信法》正式施行前,该公司就根据《国家安全法》《数据安全法》《网络安全法》和《个人信息保护法(草案)》 等相关法律法规和监管政策要求,内建了一整套数据安全保护机制,并专设数据安全部等部门。具体而言,在身份认证、访问控制、防火墙、数据加密、虚拟专用网、备份与恢复、上网行为管理以及相关报警机制等环节进行了部署和提升。

张旭东告诉《科创板日报》记者,尽管互联网巨头在公域流量方面具有显著优势,尤其在流量使用以及数据的变现或价值化方面受到关注,但是他们掌握的用户互联网行为数据,在个人数据种类、总量方面,都只是其中的一小部分。

“目前国内政府、电力、交通、医疗、金融等多个领域的数据是大部头。“张旭东进一步表示,其中金融行业因为使用场景与使用价值更为明确,是目前数据价值和数据安全服务的重要需求方;政府目前正在积极推动政府信息化、政务数据要素化的工作。

“社会性的数据要素化就是让互联网巨头的当前对某些数据的相对垄断不再‘举足轻重’,这并非意味着数据价值下降,而是社会各方对数据的使用水平提高。”此外,张旭东预计未来10年内,“物的数据”将会逐渐占据数据的主流。因此总体来说,“《个信法》的施行——尤其是提出个人信息处理方需要‘自证清白’,在数据使用安全方面提醒了包括互联网公司在内的数据流通参与各方,要在个人信息保护上把弦绷紧”。

收藏
117.06W
我要评论
欢迎您发表有价值的评论,发布广告和不和谐的评论都将会被删除,您的账号将禁止评论。
发表评论
要闻
股市
关联话题
2.07W 人关注
1.89W 人关注
2.28W 人关注