國(guó)家網(wǎng)信辦對(duì)滴滴作出網(wǎng)絡(luò)安全審查相關(guān)行政處罰

7月21日，國(guó)家互聯(lián)網(wǎng)信息辦公室依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《行政處罰法》等法律法規(guī)，對(duì)滴滴全球股份有限公司處人民幣80.26億元罰款，對(duì)滴滴全球股份有限公司董事長(zhǎng)兼CEO程維、總裁柳青各處人民幣100萬(wàn)元罰款。經(jīng)查明，滴滴公司共存在16項(xiàng)違法事實(shí)，歸納起來(lái)主要是8個(gè)方面。一是違法收集用戶手機(jī)相冊(cè)中的截圖信息1196.39萬(wàn)條；二是過(guò)度收集用戶剪切板信息、應(yīng)用列表信息83.23億條；三是過(guò)度收集乘客人臉識(shí)別信息1.07億條、年齡段信息5350.92萬(wàn)條、職業(yè)信息1633.56萬(wàn)條、親情關(guān)系信息138.29萬(wàn)條、“家”和“公司”打車(chē)地址信息1.53億條；四是過(guò)度收集乘客評(píng)價(jià)代駕服務(wù)時(shí)、App后臺(tái)運(yùn)行時(shí)、手機(jī)連接桔視記錄儀設(shè)備時(shí)的精準(zhǔn)位置（經(jīng)緯度）信息1.67億條；五是過(guò)度收集司機(jī)學(xué)歷信息14.29萬(wàn)條，以明文形式存儲(chǔ)司機(jī)身份證號(hào)信息5780.26萬(wàn)條；六是在未明確告知乘客情況下分析乘客出行意圖信息539.76億條、常駐城市信息15.38億條、異地商務(wù)/異地旅游信息3.04億條；七是在乘客使用順風(fēng)車(chē)服務(wù)時(shí)頻繁索取無(wú)關(guān)的“電話權(quán)限”；八是未準(zhǔn)確、清晰說(shuō)明用戶設(shè)備信息等19項(xiàng)個(gè)人信息處理目的。

普普點(diǎn)評(píng)：

近年來(lái)，國(guó)家不斷加強(qiáng)對(duì)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息的保護(hù)力度，先后頒布了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)安全審查辦法》《數(shù)據(jù)出境安全評(píng)估辦法》等法律法規(guī)。網(wǎng)信部門(mén)將依法加大網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)等領(lǐng)域執(zhí)法力度，打擊危害國(guó)家網(wǎng)絡(luò)安全、數(shù)據(jù)安全、侵害公民個(gè)人信息等違法行為，切實(shí)維護(hù)國(guó)家網(wǎng)絡(luò)安全、數(shù)據(jù)安全和社會(huì)公共利益，有力保障廣大人民群眾合法權(quán)益。

遭境外大規(guī)模網(wǎng)絡(luò)攻擊，阿爾巴尼亞政府IT系統(tǒng)癱瘓

網(wǎng)絡(luò)安全是數(shù)字經(jīng)濟(jì)發(fā)展的基石，同時(shí)也是緊抓自主創(chuàng)新的關(guān)鍵領(lǐng)域。實(shí)現(xiàn)網(wǎng)絡(luò)安全核心技術(shù)突破、關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)，是網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的重中之重。

隨著數(shù)字化、網(wǎng)絡(luò)化、智能化成為數(shù)字經(jīng)濟(jì)時(shí)代發(fā)展的重要特征，網(wǎng)絡(luò)安全越來(lái)越成為數(shù)智時(shí)代下企業(yè)業(yè)務(wù)發(fā)展的重要課題。如何實(shí)現(xiàn)業(yè)務(wù)與本周一，阿爾巴尼亞政府證實(shí)，該國(guó)上周末遭受了大規(guī)模網(wǎng)絡(luò)攻擊，有境外黑客攻擊了阿爾巴尼亞的國(guó)家信息社會(huì)局的服務(wù)器（負(fù)責(zé)處理政府服務(wù)），致使該國(guó)幾乎所有政府服務(wù)都陷入了癱瘓，如總理辦公室、議會(huì)和公共服務(wù)政府門(mén)戶網(wǎng)站等。

“阿爾巴尼亞正遭受著前所未有的攻擊，這種犯罪網(wǎng)絡(luò)攻擊是從境外同步進(jìn)行的，” 阿爾巴尼亞國(guó)家信息社會(huì)局在新聞稿中說(shuō)明道，“為了不讓這次攻擊破壞我們的信息系統(tǒng)，國(guó)家信息社會(huì)局暫時(shí)關(guān)閉了在線服務(wù)和其他政府網(wǎng)站?！蹦壳霸搰?guó)為民眾提供的大多數(shù)服務(wù)都處于中斷狀態(tài)，只剩一些由非攻擊目標(biāo)的服務(wù)器提供的服務(wù)，如在線報(bào)稅，仍然有效。另外值得一提的是，在去年十二月，阿爾巴尼亞曾發(fā)生一起大規(guī)模數(shù)據(jù)泄露事件，約637000人的個(gè)人身份證號(hào)碼、就業(yè)和工資數(shù)據(jù)外泄。

普普點(diǎn)評(píng)：

技術(shù)發(fā)展增加了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，從數(shù)量劇增的網(wǎng)絡(luò)詐騙到越來(lái)越多的人為錯(cuò)誤問(wèn)題，企業(yè)關(guān)鍵敏感信息受到了更大的威脅，更有甚者，一些嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)還會(huì)波及國(guó)家安全、人員的生命安全。無(wú)論是政府內(nèi)部還是政府外部的高績(jī)效組織都應(yīng)將網(wǎng)絡(luò)安全作為一項(xiàng)要求。不用猜他們是否具備適當(dāng)?shù)木W(wǎng)絡(luò)安全控制措施，應(yīng)該要求他們具備適當(dāng)?shù)木W(wǎng)絡(luò)安全控制措施。

數(shù)據(jù)安全：大多數(shù)企業(yè)忽略的三件事

(1)不受信任的計(jì)算程序

零信任技術(shù)是什么?怎么知道某人的計(jì)算機(jī)程序、算法或分析程序是安全的?零信任技術(shù)可以完全自信地驗(yàn)證，例如使用指紋，可以將商定的代碼與正在執(zhí)行的代碼進(jìn)行實(shí)時(shí)比較。否則，無(wú)法對(duì)企業(yè)的合規(guī)團(tuán)隊(duì)或法律團(tuán)隊(duì)說(shuō)：“我們的數(shù)據(jù)始終以正確的方式使用?！?/span>

2)未經(jīng)驗(yàn)證的輸入

當(dāng)企業(yè)處理第一方數(shù)據(jù)(或敏感數(shù)據(jù))時(shí)，需要絕對(duì)確定只有允許訪問(wèn)的數(shù)據(jù)才會(huì)被訪問(wèn)。企業(yè)需要一種絕對(duì)可靠的驗(yàn)證技術(shù)，不僅在最初，而且在整個(gè)數(shù)據(jù)的處理和使用過(guò)程中，這樣不僅可以了解某人是如何獲得的，還可以了解發(fā)生了什么。(3)未經(jīng)授權(quán)的數(shù)據(jù)移動(dòng)或挖掘

企業(yè)需要的是能夠控制對(duì)非正式調(diào)用和數(shù)據(jù)查詢的訪問(wèn)，對(duì)于企業(yè)來(lái)說(shuō)，無(wú)論是在廣告技術(shù)領(lǐng)域還是其他領(lǐng)域，都需要能夠明確、一致、永久地解決這個(gè)問(wèn)題。

普普點(diǎn)評(píng)：

毫無(wú)疑問(wèn)，很多企業(yè)如今都在認(rèn)真對(duì)待數(shù)據(jù)安全。有些企業(yè)甚至可能擁有強(qiáng)大的防火墻、完善的數(shù)據(jù)治理規(guī)則、專(zhuān)業(yè)的安全團(tuán)隊(duì)以及加密等數(shù)據(jù)保護(hù)名單，因此在安全方面感覺(jué)良好。事實(shí)上，大多數(shù)企業(yè)都忽略了三個(gè)主要的數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)，這可能是有些安全和十分安全之間的區(qū)別。

云存儲(chǔ)——零信任的最后一道防線

零信任讓安全團(tuán)隊(duì)自動(dòng)分割其網(wǎng)絡(luò)以防止網(wǎng)絡(luò)攻擊。為此，零信任架構(gòu)構(gòu)建了一個(gè)基于超粒度訪問(wèn)權(quán)限的安全環(huán)境，這些權(quán)限會(huì)自動(dòng)分配和實(shí)時(shí)重新分配給用戶。

這種程度的自動(dòng)化意味著零信任可以提供增強(qiáng)的安全性，同時(shí)讓安全團(tuán)隊(duì)不必人工分配或重新分配其企業(yè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限。它還減少了員工安全程序的摩擦和挫敗感，因?yàn)榭梢员ＷC在幾分鐘內(nèi)更改權(quán)限。

這是零信任的技術(shù)清單，但在他們甚至可以考慮遷移到自動(dòng)化訪問(wèn)權(quán)限之前，所有團(tuán)隊(duì)都應(yīng)該考慮一個(gè)主要的先決條件，而這個(gè)先決條件是誰(shuí)應(yīng)該首先訪問(wèn)哪些信息以及為什么訪問(wèn)。

這是一個(gè)基本問(wèn)題，但它掩蓋了安全團(tuán)隊(duì)在全面實(shí)現(xiàn)自動(dòng)化之前必須解決的主要需求。企業(yè)需要花費(fèi)大量時(shí)間對(duì)其企業(yè)內(nèi)部的各個(gè)利益相關(guān)者進(jìn)行審計(jì)和細(xì)分，并審查和分解零信任架構(gòu)應(yīng)該識(shí)別的所有數(shù)據(jù)和流程類(lèi)別。

普普點(diǎn)評(píng)：

總之，零信任架構(gòu)是最大化現(xiàn)有工作負(fù)載安全性并確保備份保密和安全的絕佳方式。但為了實(shí)現(xiàn)業(yè)務(wù)連續(xù)性的最終目的，零信任架構(gòu)需要與業(yè)務(wù)日常活動(dòng)隔離且進(jìn)行不可變的數(shù)據(jù)存儲(chǔ)。有了這最后一道防線，才能保證企業(yè)運(yùn)營(yíng)的連續(xù)性和安全性。

云計(jì)算服務(wù)主要安全風(fēng)險(xiǎn)及應(yīng)對(duì)措施

云計(jì)算服務(wù)具有高性價(jià)比、高靈活性、動(dòng)態(tài)可擴(kuò)展、專(zhuān)業(yè)安全服務(wù)保障等特點(diǎn)，有效助力了提升管理效率、節(jié)約成本、增強(qiáng)綜合安全防護(hù)能力。與此同時(shí)，云計(jì)算服務(wù)也面臨諸多挑戰(zhàn)，如云計(jì)算技術(shù)基礎(chǔ)平臺(tái)安全性、云上數(shù)據(jù)的安全管理、云計(jì)算服務(wù)安全專(zhuān)業(yè)人才匱乏等安全風(fēng)險(xiǎn)問(wèn)題，導(dǎo)致云平臺(tái)數(shù)據(jù)安全事件層出不窮。對(duì)此，我國(guó)對(duì)云計(jì)算服務(wù)的網(wǎng)絡(luò)安全問(wèn)題高度重視，相繼發(fā)布了一系列相關(guān)政策。

2019年7月，為提高黨政機(jī)關(guān)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)使用云計(jì)算服務(wù)的安全可控水平，國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部和財(cái)政部聯(lián)合發(fā)布《云計(jì)算服務(wù)安全評(píng)估辦法》。2021年8月，國(guó)務(wù)院發(fā)布《法制政府建設(shè)實(shí)施綱要（2021-2025年）》提出，要及時(shí)跟進(jìn)研究數(shù)字經(jīng)濟(jì)、互聯(lián)網(wǎng)金融、人工智能、大數(shù)據(jù)、云計(jì)算等相關(guān)法律法規(guī)。

普普點(diǎn)評(píng)：

云計(jì)算技術(shù)作為快速迭代的新興技術(shù)，云平臺(tái)在設(shè)計(jì)、應(yīng)用、測(cè)試和部署時(shí)對(duì)安全性考慮仍顯不足，在資源高度集中的運(yùn)行環(huán)境下，云平臺(tái)容易成為黑客的攻擊目標(biāo)，與傳統(tǒng)企業(yè)的網(wǎng)絡(luò)環(huán)境相比，云平臺(tái)所面臨的攻擊威脅更大，產(chǎn)生的影響更大。

為數(shù)字政府構(gòu)建智能化網(wǎng)絡(luò)安全管控體系

當(dāng)前，隨著數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展，我國(guó)數(shù)字政府建設(shè)也進(jìn)入加速發(fā)展階段。而在政府?dāng)?shù)字化轉(zhuǎn)型和數(shù)字化改革中，作為底層重要基石的政務(wù)網(wǎng)絡(luò)安全其重要性也被提升至新高度。目前，基層政務(wù)網(wǎng)絡(luò)已經(jīng)形成了點(diǎn)多面廣、風(fēng)險(xiǎn)隱蔽復(fù)雜的應(yīng)用特點(diǎn)，在網(wǎng)絡(luò)空間安全的指揮、制度、技術(shù)、運(yùn)營(yíng)、監(jiān)管等方面都面臨著新的挑戰(zhàn)。

政務(wù)網(wǎng)絡(luò)支撐各級(jí)政務(wù)部門(mén)業(yè)務(wù)應(yīng)用、資源共享、業(yè)務(wù)協(xié)同和公共服務(wù)等，接入單位多應(yīng)用范圍廣，安全風(fēng)險(xiǎn)隱蔽復(fù)雜，需建立系統(tǒng)化的安全管控體系，以技治網(wǎng)，實(shí)現(xiàn)網(wǎng)絡(luò)安全管理智能化，達(dá)到“資產(chǎn)清晰、邊界完整、數(shù)據(jù)可控、風(fēng)險(xiǎn)量化、處置高效”的安全治理目標(biāo)。

政務(wù)網(wǎng)絡(luò)安全是數(shù)字化改革的根基和底線，事關(guān)數(shù)字化改革全局。隨著數(shù)字化改革的推進(jìn)，基層政務(wù)網(wǎng)形成了點(diǎn)多面廣、風(fēng)險(xiǎn)隱蔽復(fù)雜的特點(diǎn)，在網(wǎng)絡(luò)空間安全的指揮、制度、技術(shù)、運(yùn)營(yíng)、監(jiān)管等方面都面臨著新的挑戰(zhàn)。

普普點(diǎn)評(píng)：

安全運(yùn)營(yíng)體系依托網(wǎng)絡(luò)安全技術(shù)和制度規(guī)范兩大維度，開(kāi)展資產(chǎn)管理、監(jiān)測(cè)預(yù)警、通報(bào)處置、安全檢測(cè)、整改加固、考核評(píng)價(jià)、安全培訓(xùn)和運(yùn)維管理等網(wǎng)絡(luò)安全運(yùn)營(yíng)工作，形成閉環(huán)安全運(yùn)營(yíng)體系，充分發(fā)揮人在網(wǎng)絡(luò)安全中的主體地位，有效對(duì)安全威脅事件進(jìn)行綜合研判和及時(shí)處置并不斷閉環(huán)對(duì)運(yùn)營(yíng)體系進(jìn)行優(yōu)化，有效保障網(wǎng)絡(luò)安全技術(shù)、管理制度規(guī)范要求落地。

國(guó)家網(wǎng)絡(luò)安全底線不容觸碰 公民合法權(quán)益不容侵犯

從目前披露的信息觀察，滴滴在網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)方面暴露出的問(wèn)題觸目驚心：不僅在收集和使用用戶信息方面存在諸多風(fēng)險(xiǎn)隱患，更涉及嚴(yán)重影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)，且拒不履行監(jiān)管部門(mén)的明確要求，陽(yáng)奉陰違、惡意逃避監(jiān)管。

不以規(guī)矩，不能成方圓。國(guó)家監(jiān)管部門(mén)履行職責(zé)依法對(duì)滴滴予以重罰，是切實(shí)維護(hù)國(guó)家網(wǎng)絡(luò)安全、數(shù)據(jù)安全和社會(huì)公共利益的有力舉措，是保障廣大用戶合法權(quán)益的及時(shí)行動(dòng)，也是規(guī)范平臺(tái)經(jīng)濟(jì)、促進(jìn)其健康有序發(fā)展的必然要求。

對(duì)廣大互聯(lián)網(wǎng)企業(yè)尤其是平臺(tái)型公司而言，這一案例具有重要警示意義。企業(yè)發(fā)展要有創(chuàng)新思維、開(kāi)拓精神，但更要強(qiáng)化底線意識(shí)、法治觀念，以用戶為中心，有所為有所不為。無(wú)論何時(shí)，國(guó)家安全底線不容觸碰。互聯(lián)網(wǎng)科技也好，共享新概念也罷，都不能成為平臺(tái)企業(yè)竊取用戶數(shù)據(jù)、違規(guī)牟利的借口，更不能成為逾越法律、危及國(guó)家安全以及公共安全的工具。

普普點(diǎn)評(píng)：

依法經(jīng)營(yíng)、健康發(fā)展始終是平臺(tái)經(jīng)濟(jì)的立身之本。只有堅(jiān)持市場(chǎng)化原則、法治化原則，平臺(tái)經(jīng)濟(jì)才有美好未來(lái)。廣大平臺(tái)型企業(yè)應(yīng)引以為戒，堅(jiān)持安全與發(fā)展并重，在進(jìn)一步加強(qiáng)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)的基礎(chǔ)上，努力回歸服務(wù)實(shí)體經(jīng)濟(jì)和人民群眾的本源，更好地把握平臺(tái)經(jīng)濟(jì)發(fā)展規(guī)律，在守正創(chuàng)新中激發(fā)市場(chǎng)活力和科技創(chuàng)新能力。如此，才能行穩(wěn)致遠(yuǎn)。