國家網(wǎng)信辦對滴滴作出網(wǎng)絡(luò )安全審查相關(guān)行政處罰

7月21日，國家互聯(lián)網(wǎng)信息辦公室依據《網(wǎng)絡(luò )安全法》《數據安全法》《個(gè)人信息保護法》《行政處罰法》等法律法規，對滴滴全球股份有限公司處人民幣80.26億元罰款，對滴滴全球股份有限公司董事長(cháng)兼CEO程維、總裁柳青各處人民幣100萬(wàn)元罰款。經(jīng)查明，滴滴公司共存在16項違法事實(shí)，歸納起來(lái)主要是8個(gè)方面。一是違法收集用戶(hù)手機相冊中的截圖信息1196.39萬(wàn)條；二是過(guò)度收集用戶(hù)剪切板信息、應用列表信息83.23億條；三是過(guò)度收集乘客人臉識別信息1.07億條、年齡段信息5350.92萬(wàn)條、職業(yè)信息1633.56萬(wàn)條、親情關(guān)系信息138.29萬(wàn)條、“家”和“公司”打車(chē)地址信息1.53億條；四是過(guò)度收集乘客評價(jià)代駕服務(wù)時(shí)、App后臺運行時(shí)、手機連接桔視記錄儀設備時(shí)的精準位置（經(jīng)緯度）信息1.67億條；五是過(guò)度收集司機學(xué)歷信息14.29萬(wàn)條，以明文形式存儲司機身份證號信息5780.26萬(wàn)條；六是在未明確告知乘客情況下分析乘客出行意圖信息539.76億條、常駐城市信息15.38億條、異地商務(wù)/異地旅游信息3.04億條；七是在乘客使用順風(fēng)車(chē)服務(wù)時(shí)頻繁索取無(wú)關(guān)的“電話(huà)權限”；八是未準確、清晰說(shuō)明用戶(hù)設備信息等19項個(gè)人信息處理目的。

普普點(diǎn)評：

近年來(lái)，國家不斷加強對網(wǎng)絡(luò )安全、數據安全、個(gè)人信息的保護力度，先后頒布了《網(wǎng)絡(luò )安全法》《數據安全法》《個(gè)人信息保護法》《關(guān)鍵信息基礎設施安全保護條例》《網(wǎng)絡(luò )安全審查辦法》《數據出境安全評估辦法》等法律法規。網(wǎng)信部門(mén)將依法加大網(wǎng)絡(luò )安全、數據安全、個(gè)人信息保護等領(lǐng)域執法力度，打擊危害國家網(wǎng)絡(luò )安全、數據安全、侵害公民個(gè)人信息等違法行為，切實(shí)維護國家網(wǎng)絡(luò )安全、數據安全和社會(huì )公共利益，有力保障廣大人民群眾合法權益。

遭境外大規模網(wǎng)絡(luò )攻擊，阿爾巴尼亞政府IT系統癱瘓

網(wǎng)絡(luò )安全是數字經(jīng)濟發(fā)展的基石，同時(shí)也是緊抓自主創(chuàng )新的關(guān)鍵領(lǐng)域。實(shí)現網(wǎng)絡(luò )安全核心技術(shù)突破、關(guān)鍵信息基礎設施的安全保護，是網(wǎng)絡(luò )安全產(chǎn)業(yè)發(fā)展的重中之重。

隨著(zhù)數字化、網(wǎng)絡(luò )化、智能化成為數字經(jīng)濟時(shí)代發(fā)展的重要特征，網(wǎng)絡(luò )安全越來(lái)越成為數智時(shí)代下企業(yè)業(yè)務(wù)發(fā)展的重要課題。如何實(shí)現業(yè)務(wù)與本周一，阿爾巴尼亞政府證實(shí)，該國上周末遭受了大規模網(wǎng)絡(luò )攻擊，有境外黑客攻擊了阿爾巴尼亞的國家信息社會(huì )局的服務(wù)器（負責處理政府服務(wù)），致使該國幾乎所有政府服務(wù)都陷入了癱瘓，如總理辦公室、議會(huì )和公共服務(wù)政府門(mén)戶(hù)網(wǎng)站等。

“阿爾巴尼亞正遭受著(zhù)前所未有的攻擊，這種犯罪網(wǎng)絡(luò )攻擊是從境外同步進(jìn)行的，” 阿爾巴尼亞國家信息社會(huì )局在新聞稿中說(shuō)明道，“為了不讓這次攻擊破壞我們的信息系統，國家信息社會(huì )局暫時(shí)關(guān)閉了在線(xiàn)服務(wù)和其他政府網(wǎng)站?！蹦壳霸搰鵀槊癖娞峁┑拇蠖鄶捣?wù)都處于中斷狀態(tài)，只剩一些由非攻擊目標的服務(wù)器提供的服務(wù)，如在線(xiàn)報稅，仍然有效。另外值得一提的是，在去年十二月，阿爾巴尼亞曾發(fā)生一起大規模數據泄露事件，約637000人的個(gè)人身份證號碼、就業(yè)和工資數據外泄。

普普點(diǎn)評：

技術(shù)發(fā)展增加了網(wǎng)絡(luò )安全風(fēng)險，從數量劇增的網(wǎng)絡(luò )詐騙到越來(lái)越多的人為錯誤問(wèn)題，企業(yè)關(guān)鍵敏感信息受到了更大的威脅，更有甚者，一些嚴重的網(wǎng)絡(luò )安全風(fēng)險還會(huì )波及國家安全、人員的生命安全。無(wú)論是政府內部還是政府外部的高績(jì)效組織都應將網(wǎng)絡(luò )安全作為一項要求。不用猜他們是否具備適當的網(wǎng)絡(luò )安全控制措施，應該要求他們具備適當的網(wǎng)絡(luò )安全控制措施。

數據安全：大多數企業(yè)忽略的三件事

(1)不受信任的計算程序

零信任技術(shù)是什么?怎么知道某人的計算機程序、算法或分析程序是安全的?零信任技術(shù)可以完全自信地驗證，例如使用指紋，可以將商定的代碼與正在執行的代碼進(jìn)行實(shí)時(shí)比較。否則，無(wú)法對企業(yè)的合規團隊或法律團隊說(shuō)：“我們的數據始終以正確的方式使用?！?/span>

2)未經(jīng)驗證的輸入

當企業(yè)處理第一方數據(或敏感數據)時(shí)，需要絕對確定只有允許訪(fǎng)問(wèn)的數據才會(huì )被訪(fǎng)問(wèn)。企業(yè)需要一種絕對可靠的驗證技術(shù)，不僅在最初，而且在整個(gè)數據的處理和使用過(guò)程中，這樣不僅可以了解某人是如何獲得的，還可以了解發(fā)生了什么。(3)未經(jīng)授權的數據移動(dòng)或挖掘

企業(yè)需要的是能夠控制對非正式調用和數據查詢(xún)的訪(fǎng)問(wèn)，對于企業(yè)來(lái)說(shuō)，無(wú)論是在廣告技術(shù)領(lǐng)域還是其他領(lǐng)域，都需要能夠明確、一致、永久地解決這個(gè)問(wèn)題。

普普點(diǎn)評：

毫無(wú)疑問(wèn)，很多企業(yè)如今都在認真對待數據安全。有些企業(yè)甚至可能擁有強大的防火墻、完善的數據治理規則、專(zhuān)業(yè)的安全團隊以及加密等數據保護名單，因此在安全方面感覺(jué)良好。事實(shí)上，大多數企業(yè)都忽略了三個(gè)主要的數據保護風(fēng)險，這可能是有些安全和十分安全之間的區別。

云存儲——零信任的最后一道防線(xiàn)

零信任讓安全團隊自動(dòng)分割其網(wǎng)絡(luò )以防止網(wǎng)絡(luò )攻擊。為此，零信任架構構建了一個(gè)基于超粒度訪(fǎng)問(wèn)權限的安全環(huán)境，這些權限會(huì )自動(dòng)分配和實(shí)時(shí)重新分配給用戶(hù)。

這種程度的自動(dòng)化意味著(zhù)零信任可以提供增強的安全性，同時(shí)讓安全團隊不必人工分配或重新分配其企業(yè)網(wǎng)絡(luò )的訪(fǎng)問(wèn)權限。它還減少了員工安全程序的摩擦和挫敗感，因為可以保證在幾分鐘內更改權限。

這是零信任的技術(shù)清單，但在他們甚至可以考慮遷移到自動(dòng)化訪(fǎng)問(wèn)權限之前，所有團隊都應該考慮一個(gè)主要的先決條件，而這個(gè)先決條件是誰(shuí)應該首先訪(fǎng)問(wèn)哪些信息以及為什么訪(fǎng)問(wèn)。

這是一個(gè)基本問(wèn)題，但它掩蓋了安全團隊在全面實(shí)現自動(dòng)化之前必須解決的主要需求。企業(yè)需要花費大量時(shí)間對其企業(yè)內部的各個(gè)利益相關(guān)者進(jìn)行審計和細分，并審查和分解零信任架構應該識別的所有數據和流程類(lèi)別。

普普點(diǎn)評：

總之，零信任架構是最大化現有工作負載安全性并確保備份保密和安全的絕佳方式。但為了實(shí)現業(yè)務(wù)連續性的最終目的，零信任架構需要與業(yè)務(wù)日?；顒?dòng)隔離且進(jìn)行不可變的數據存儲。有了這最后一道防線(xiàn)，才能保證企業(yè)運營(yíng)的連續性和安全性。

云計算服務(wù)主要安全風(fēng)險及應對措施

云計算服務(wù)具有高性?xún)r(jià)比、高靈活性、動(dòng)態(tài)可擴展、專(zhuān)業(yè)安全服務(wù)保障等特點(diǎn)，有效助力了提升管理效率、節約成本、增強綜合安全防護能力。與此同時(shí)，云計算服務(wù)也面臨諸多挑戰，如云計算技術(shù)基礎平臺安全性、云上數據的安全管理、云計算服務(wù)安全專(zhuān)業(yè)人才匱乏等安全風(fēng)險問(wèn)題，導致云平臺數據安全事件層出不窮。對此，我國對云計算服務(wù)的網(wǎng)絡(luò )安全問(wèn)題高度重視，相繼發(fā)布了一系列相關(guān)政策。

2019年7月，為提高黨政機關(guān)、關(guān)鍵信息基礎設施運營(yíng)者采購使用云計算服務(wù)的安全可控水平，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會(huì )、工業(yè)和信息化部和財政部聯(lián)合發(fā)布《云計算服務(wù)安全評估辦法》。2021年8月，國務(wù)院發(fā)布《法制政府建設實(shí)施綱要（2021-2025年）》提出，要及時(shí)跟進(jìn)研究數字經(jīng)濟、互聯(lián)網(wǎng)金融、人工智能、大數據、云計算等相關(guān)法律法規。

普普點(diǎn)評：

云計算技術(shù)作為快速迭代的新興技術(shù)，云平臺在設計、應用、測試和部署時(shí)對安全性考慮仍顯不足，在資源高度集中的運行環(huán)境下，云平臺容易成為黑客的攻擊目標，與傳統企業(yè)的網(wǎng)絡(luò )環(huán)境相比，云平臺所面臨的攻擊威脅更大，產(chǎn)生的影響更大。

為數字政府構建智能化網(wǎng)絡(luò )安全管控體系

當前，隨著(zhù)數字經(jīng)濟的蓬勃發(fā)展，我國數字政府建設也進(jìn)入加速發(fā)展階段。而在政府數字化轉型和數字化改革中，作為底層重要基石的政務(wù)網(wǎng)絡(luò )安全其重要性也被提升至新高度。目前，基層政務(wù)網(wǎng)絡(luò )已經(jīng)形成了點(diǎn)多面廣、風(fēng)險隱蔽復雜的應用特點(diǎn)，在網(wǎng)絡(luò )空間安全的指揮、制度、技術(shù)、運營(yíng)、監管等方面都面臨著(zhù)新的挑戰。

政務(wù)網(wǎng)絡(luò )支撐各級政務(wù)部門(mén)業(yè)務(wù)應用、資源共享、業(yè)務(wù)協(xié)同和公共服務(wù)等，接入單位多應用范圍廣，安全風(fēng)險隱蔽復雜，需建立系統化的安全管控體系，以技治網(wǎng)，實(shí)現網(wǎng)絡(luò )安全管理智能化，達到“資產(chǎn)清晰、邊界完整、數據可控、風(fēng)險量化、處置高效”的安全治理目標。

政務(wù)網(wǎng)絡(luò )安全是數字化改革的根基和底線(xiàn)，事關(guān)數字化改革全局。隨著(zhù)數字化改革的推進(jìn)，基層政務(wù)網(wǎng)形成了點(diǎn)多面廣、風(fēng)險隱蔽復雜的特點(diǎn)，在網(wǎng)絡(luò )空間安全的指揮、制度、技術(shù)、運營(yíng)、監管等方面都面臨著(zhù)新的挑戰。

普普點(diǎn)評：

安全運營(yíng)體系依托網(wǎng)絡(luò )安全技術(shù)和制度規范兩大維度，開(kāi)展資產(chǎn)管理、監測預警、通報處置、安全檢測、整改加固、考核評價(jià)、安全培訓和運維管理等網(wǎng)絡(luò )安全運營(yíng)工作，形成閉環(huán)安全運營(yíng)體系，充分發(fā)揮人在網(wǎng)絡(luò )安全中的主體地位，有效對安全威脅事件進(jìn)行綜合研判和及時(shí)處置并不斷閉環(huán)對運營(yíng)體系進(jìn)行優(yōu)化，有效保障網(wǎng)絡(luò )安全技術(shù)、管理制度規范要求落地。

國家網(wǎng)絡(luò )安全底線(xiàn)不容觸碰 公民合法權益不容侵犯

從目前披露的信息觀(guān)察，滴滴在網(wǎng)絡(luò )安全、數據安全、個(gè)人信息保護方面暴露出的問(wèn)題觸目驚心：不僅在收集和使用用戶(hù)信息方面存在諸多風(fēng)險隱患，更涉及嚴重影響國家安全的數據處理活動(dòng)，且拒不履行監管部門(mén)的明確要求，陽(yáng)奉陰違、惡意逃避監管。

不以規矩，不能成方圓。國家監管部門(mén)履行職責依法對滴滴予以重罰，是切實(shí)維護國家網(wǎng)絡(luò )安全、數據安全和社會(huì )公共利益的有力舉措，是保障廣大用戶(hù)合法權益的及時(shí)行動(dòng)，也是規范平臺經(jīng)濟、促進(jìn)其健康有序發(fā)展的必然要求。

對廣大互聯(lián)網(wǎng)企業(yè)尤其是平臺型公司而言，這一案例具有重要警示意義。企業(yè)發(fā)展要有創(chuàng )新思維、開(kāi)拓精神，但更要強化底線(xiàn)意識、法治觀(guān)念，以用戶(hù)為中心，有所為有所不為。無(wú)論何時(shí)，國家安全底線(xiàn)不容觸碰?；ヂ?lián)網(wǎng)科技也好，共享新概念也罷，都不能成為平臺企業(yè)竊取用戶(hù)數據、違規牟利的借口，更不能成為逾越法律、危及國家安全以及公共安全的工具。

普普點(diǎn)評：

依法經(jīng)營(yíng)、健康發(fā)展始終是平臺經(jīng)濟的立身之本。只有堅持市場(chǎng)化原則、法治化原則，平臺經(jīng)濟才有美好未來(lái)。廣大平臺型企業(yè)應引以為戒，堅持安全與發(fā)展并重，在進(jìn)一步加強網(wǎng)絡(luò )安全、數據安全、個(gè)人信息保護的基礎上，努力回歸服務(wù)實(shí)體經(jīng)濟和人民群眾的本源，更好地把握平臺經(jīng)濟發(fā)展規律，在守正創(chuàng )新中激發(fā)市場(chǎng)活力和科技創(chuàng )新能力。如此，才能行穩致遠。