國家網(wǎng)信辦對滴滴作出網(wǎng)絡安全審查相關行政處罰

7月21日，國家互聯(lián)網(wǎng)信息辦公室依據(jù)《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《行政處罰法》等法律法規(guī)，對滴滴全球股份有限公司處人民幣80.26億元罰款，對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。經(jīng)查明，滴滴公司共存在16項違法事實，歸納起來主要是8個方面。一是違法收集用戶手機相冊中的截圖信息1196.39萬條；二是過度收集用戶剪切板信息、應用列表信息83.23億條；三是過度收集乘客人臉識別信息1.07億條、年齡段信息5350.92萬條、職業(yè)信息1633.56萬條、親情關系信息138.29萬條、“家”和“公司”打車地址信息1.53億條；四是過度收集乘客評價代駕服務時、App后臺運行時、手機連接桔視記錄儀設備時的精準位置（經(jīng)緯度）信息1.67億條；五是過度收集司機學歷信息14.29萬條，以明文形式存儲司機身份證號信息5780.26萬條；六是在未明確告知乘客情況下分析乘客出行意圖信息539.76億條、常駐城市信息15.38億條、異地商務/異地旅游信息3.04億條；七是在乘客使用順風車服務時頻繁索取無關的“電話權限”；八是未準確、清晰說明用戶設備信息等19項個人信息處理目的。

普普點評：

近年來，國家不斷加強對網(wǎng)絡安全、數(shù)據(jù)安全、個人信息的保護力度，先后頒布了《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網(wǎng)絡安全審查辦法》《數(shù)據(jù)出境安全評估辦法》等法律法規(guī)。網(wǎng)信部門將依法加大網(wǎng)絡安全、數(shù)據(jù)安全、個人信息保護等領域執(zhí)法力度，打擊危害國家網(wǎng)絡安全、數(shù)據(jù)安全、侵害公民個人信息等違法行為，切實維護國家網(wǎng)絡安全、數(shù)據(jù)安全和社會公共利益，有力保障廣大人民群眾合法權益。

遭境外大規(guī)模網(wǎng)絡攻擊，阿爾巴尼亞政府IT系統(tǒng)癱瘓

網(wǎng)絡安全是數(shù)字經(jīng)濟發(fā)展的基石，同時也是緊抓自主創(chuàng)新的關鍵領域。實現(xiàn)網(wǎng)絡安全核心技術突破、關鍵信息基礎設施的安全保護，是網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的重中之重。

隨著數(shù)字化、網(wǎng)絡化、智能化成為數(shù)字經(jīng)濟時代發(fā)展的重要特征，網(wǎng)絡安全越來越成為數(shù)智時代下企業(yè)業(yè)務發(fā)展的重要課題。如何實現(xiàn)業(yè)務與本周一，阿爾巴尼亞政府證實，該國上周末遭受了大規(guī)模網(wǎng)絡攻擊，有境外黑客攻擊了阿爾巴尼亞的國家信息社會局的服務器（負責處理政府服務），致使該國幾乎所有政府服務都陷入了癱瘓，如總理辦公室、議會和公共服務政府門戶網(wǎng)站等。

“阿爾巴尼亞正遭受著前所未有的攻擊，這種犯罪網(wǎng)絡攻擊是從境外同步進行的，” 阿爾巴尼亞國家信息社會局在新聞稿中說明道，“為了不讓這次攻擊破壞我們的信息系統(tǒng)，國家信息社會局暫時關閉了在線服務和其他政府網(wǎng)站。”目前該國為民眾提供的大多數(shù)服務都處于中斷狀態(tài)，只剩一些由非攻擊目標的服務器提供的服務，如在線報稅，仍然有效。另外值得一提的是，在去年十二月，阿爾巴尼亞曾發(fā)生一起大規(guī)模數(shù)據(jù)泄露事件，約637000人的個人身份證號碼、就業(yè)和工資數(shù)據(jù)外泄。

普普點評：

技術發(fā)展增加了網(wǎng)絡安全風險，從數(shù)量劇增的網(wǎng)絡詐騙到越來越多的人為錯誤問題，企業(yè)關鍵敏感信息受到了更大的威脅，更有甚者，一些嚴重的網(wǎng)絡安全風險還會波及國家安全、人員的生命安全。無論是政府內(nèi)部還是政府外部的高績效組織都應將網(wǎng)絡安全作為一項要求。不用猜他們是否具備適當?shù)木W(wǎng)絡安全控制措施，應該要求他們具備適當?shù)木W(wǎng)絡安全控制措施。

數(shù)據(jù)安全：大多數(shù)企業(yè)忽略的三件事

(1)不受信任的計算程序

零信任技術是什么?怎么知道某人的計算機程序、算法或分析程序是安全的?零信任技術可以完全自信地驗證，例如使用指紋，可以將商定的代碼與正在執(zhí)行的代碼進行實時比較。否則，無法對企業(yè)的合規(guī)團隊或法律團隊說：“我們的數(shù)據(jù)始終以正確的方式使用。”

2)未經(jīng)驗證的輸入

當企業(yè)處理第一方數(shù)據(jù)(或敏感數(shù)據(jù))時，需要絕對確定只有允許訪問的數(shù)據(jù)才會被訪問。企業(yè)需要一種絕對可靠的驗證技術，不僅在最初，而且在整個數(shù)據(jù)的處理和使用過程中，這樣不僅可以了解某人是如何獲得的，還可以了解發(fā)生了什么。(3)未經(jīng)授權的數(shù)據(jù)移動或挖掘

企業(yè)需要的是能夠控制對非正式調(diào)用和數(shù)據(jù)查詢的訪問，對于企業(yè)來說，無論是在廣告技術領域還是其他領域，都需要能夠明確、一致、永久地解決這個問題。

普普點評：

毫無疑問，很多企業(yè)如今都在認真對待數(shù)據(jù)安全。有些企業(yè)甚至可能擁有強大的防火墻、完善的數(shù)據(jù)治理規(guī)則、專業(yè)的安全團隊以及加密等數(shù)據(jù)保護名單，因此在安全方面感覺良好。事實上，大多數(shù)企業(yè)都忽略了三個主要的數(shù)據(jù)保護風險，這可能是有些安全和十分安全之間的區(qū)別。

云存儲——零信任的最后一道防線

零信任讓安全團隊自動分割其網(wǎng)絡以防止網(wǎng)絡攻擊。為此，零信任架構構建了一個基于超粒度訪問權限的安全環(huán)境，這些權限會自動分配和實時重新分配給用戶。

這種程度的自動化意味著零信任可以提供增強的安全性，同時讓安全團隊不必人工分配或重新分配其企業(yè)網(wǎng)絡的訪問權限。它還減少了員工安全程序的摩擦和挫敗感，因為可以保證在幾分鐘內(nèi)更改權限。

這是零信任的技術清單，但在他們甚至可以考慮遷移到自動化訪問權限之前，所有團隊都應該考慮一個主要的先決條件，而這個先決條件是誰應該首先訪問哪些信息以及為什么訪問。

這是一個基本問題，但它掩蓋了安全團隊在全面實現(xiàn)自動化之前必須解決的主要需求。企業(yè)需要花費大量時間對其企業(yè)內(nèi)部的各個利益相關者進行審計和細分，并審查和分解零信任架構應該識別的所有數(shù)據(jù)和流程類別。

普普點評：

總之，零信任架構是最大化現(xiàn)有工作負載安全性并確保備份保密和安全的絕佳方式。但為了實現(xiàn)業(yè)務連續(xù)性的最終目的，零信任架構需要與業(yè)務日?；顒痈綦x且進行不可變的數(shù)據(jù)存儲。有了這最后一道防線，才能保證企業(yè)運營的連續(xù)性和安全性。

云計算服務主要安全風險及應對措施

云計算服務具有高性價比、高靈活性、動態(tài)可擴展、專業(yè)安全服務保障等特點，有效助力了提升管理效率、節(jié)約成本、增強綜合安全防護能力。與此同時，云計算服務也面臨諸多挑戰(zhàn)，如云計算技術基礎平臺安全性、云上數(shù)據(jù)的安全管理、云計算服務安全專業(yè)人才匱乏等安全風險問題，導致云平臺數(shù)據(jù)安全事件層出不窮。對此，我國對云計算服務的網(wǎng)絡安全問題高度重視，相繼發(fā)布了一系列相關政策。

2019年7月，為提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部和財政部聯(lián)合發(fā)布《云計算服務安全評估辦法》。2021年8月，國務院發(fā)布《法制政府建設實施綱要（2021-2025年）》提出，要及時跟進研究數(shù)字經(jīng)濟、互聯(lián)網(wǎng)金融、人工智能、大數(shù)據(jù)、云計算等相關法律法規(guī)。

普普點評：

云計算技術作為快速迭代的新興技術，云平臺在設計、應用、測試和部署時對安全性考慮仍顯不足，在資源高度集中的運行環(huán)境下，云平臺容易成為黑客的攻擊目標，與傳統(tǒng)企業(yè)的網(wǎng)絡環(huán)境相比，云平臺所面臨的攻擊威脅更大，產(chǎn)生的影響更大。

為數(shù)字政府構建智能化網(wǎng)絡安全管控體系

當前，隨著數(shù)字經(jīng)濟的蓬勃發(fā)展，我國數(shù)字政府建設也進入加速發(fā)展階段。而在政府數(shù)字化轉型和數(shù)字化改革中，作為底層重要基石的政務網(wǎng)絡安全其重要性也被提升至新高度。目前，基層政務網(wǎng)絡已經(jīng)形成了點多面廣、風險隱蔽復雜的應用特點，在網(wǎng)絡空間安全的指揮、制度、技術、運營、監(jiān)管等方面都面臨著新的挑戰(zhàn)。

政務網(wǎng)絡支撐各級政務部門業(yè)務應用、資源共享、業(yè)務協(xié)同和公共服務等，接入單位多應用范圍廣，安全風險隱蔽復雜，需建立系統(tǒng)化的安全管控體系，以技治網(wǎng)，實現(xiàn)網(wǎng)絡安全管理智能化，達到“資產(chǎn)清晰、邊界完整、數(shù)據(jù)可控、風險量化、處置高效”的安全治理目標。

政務網(wǎng)絡安全是數(shù)字化改革的根基和底線，事關數(shù)字化改革全局。隨著數(shù)字化改革的推進，基層政務網(wǎng)形成了點多面廣、風險隱蔽復雜的特點，在網(wǎng)絡空間安全的指揮、制度、技術、運營、監(jiān)管等方面都面臨著新的挑戰(zhàn)。

普普點評：

安全運營體系依托網(wǎng)絡安全技術和制度規(guī)范兩大維度，開展資產(chǎn)管理、監(jiān)測預警、通報處置、安全檢測、整改加固、考核評價、安全培訓和運維管理等網(wǎng)絡安全運營工作，形成閉環(huán)安全運營體系，充分發(fā)揮人在網(wǎng)絡安全中的主體地位，有效對安全威脅事件進行綜合研判和及時處置并不斷閉環(huán)對運營體系進行優(yōu)化，有效保障網(wǎng)絡安全技術、管理制度規(guī)范要求落地。

國家網(wǎng)絡安全底線不容觸碰 公民合法權益不容侵犯

從目前披露的信息觀察，滴滴在網(wǎng)絡安全、數(shù)據(jù)安全、個人信息保護方面暴露出的問題觸目驚心：不僅在收集和使用用戶信息方面存在諸多風險隱患，更涉及嚴重影響國家安全的數(shù)據(jù)處理活動，且拒不履行監(jiān)管部門的明確要求，陽奉陰違、惡意逃避監(jiān)管。

不以規(guī)矩，不能成方圓。國家監(jiān)管部門履行職責依法對滴滴予以重罰，是切實維護國家網(wǎng)絡安全、數(shù)據(jù)安全和社會公共利益的有力舉措，是保障廣大用戶合法權益的及時行動，也是規(guī)范平臺經(jīng)濟、促進其健康有序發(fā)展的必然要求。

對廣大互聯(lián)網(wǎng)企業(yè)尤其是平臺型公司而言，這一案例具有重要警示意義。企業(yè)發(fā)展要有創(chuàng)新思維、開拓精神，但更要強化底線意識、法治觀念，以用戶為中心，有所為有所不為。無論何時，國家安全底線不容觸碰?；ヂ?lián)網(wǎng)科技也好，共享新概念也罷，都不能成為平臺企業(yè)竊取用戶數(shù)據(jù)、違規(guī)牟利的借口，更不能成為逾越法律、危及國家安全以及公共安全的工具。

普普點評：

依法經(jīng)營、健康發(fā)展始終是平臺經(jīng)濟的立身之本。只有堅持市場化原則、法治化原則，平臺經(jīng)濟才有美好未來。廣大平臺型企業(yè)應引以為戒，堅持安全與發(fā)展并重，在進一步加強網(wǎng)絡安全、數(shù)據(jù)安全、個人信息保護的基礎上，努力回歸服務實體經(jīng)濟和人民群眾的本源，更好地把握平臺經(jīng)濟發(fā)展規(guī)律，在守正創(chuàng)新中激發(fā)市場活力和科技創(chuàng)新能力。如此，才能行穩(wěn)致遠。