以上特征是人臉識別軟件對路人隨機抓取的信息,每個人在技術歸攏下成了一條條數據,無處遁形。
2019年2月,某人臉識別公司有256萬條個人數據泄露,泄露的信息除了包括上述信息,還包括身份證信息、人臉識別圖像及捕捉地點。
當下流行的刷臉支付使用的關鍵技術正是人臉識別,它將采集用戶的人臉、虹膜、指紋和聲紋等信息存儲在服務器中。但這些具有唯一性的生物特征數據一旦泄露,買賣、欺詐、釣魚等安全威脅隨之而來。
“在網絡上不要輕易‘刷臉’。個人生物特征(人臉、指紋、DNA等)等關鍵數據,具有唯一性和不可再生性特征,一旦被竊取,無法追回并變更。“上海信息安全行業協會會長談劍峰曾多次提示公眾警惕人臉識別風險。
好消息是,《個人信息保護法》草案已經在今年兩會期間提請全國人大常委會審議,草案一旦通過審議,將對保護個人信息安全發揮重要作用。
同時,談劍峰在2021年兩會期間也提交了一份提案,建議設立國家“數據銀行”,加強對人臉、指紋等唯一性不可再生的關鍵數據的管控。
保護個人數據和信息安全是當下各國的共識。2018年歐盟頒布的《通用數據保護條例》(GDPR),被稱為史上最嚴、具有域外效力的個人信息保護法律。除了我國正著手立法,俄羅斯、加拿大、新加坡、印度、巴西等國也紛紛修訂了個人數據保護法案,規范本國和全球數據流動。
在全球保護個人數據的背景下,數據本地化儲存的要求應運而生,在海外拓展業務的中國公司也必須遵循當地的數據管理條例。為中國出海企業提供云服務的廠商如阿里云、騰訊云等,則因聚集了大量中國企業的數據,是當地政府機構的重點關注對象,可以說是頂在炮火最前線,承擔著首道風險。
一、一不小心就被罰,中國出海企業太難了
在美國上市或在美國設立數據中心的中國企業可以說是“戴著鐐銬跳舞”,在遵循數據保護法案的情況下,還時不時被指責向中國輸送數據或受中國政府干預,一不小心就引起眾議或被起訴收到罰單。
風靡美國的中國短視頻應用TikTok就是“戴著鐐銬跳舞”的例證。自TikTok登陸美國起,它就一直面臨違規收集未成年用戶數據、將美國用戶數據傳回中國的指控和質疑。
圖:TikTok被美國青少年父母告上法庭,來源:TheSiasatDaily
2019年2月,美國聯邦貿易委員會(FTC)向TikTok開出了一張價值570萬美元的罰單,理由是違反兒童在線隱私保護法案(COPPA),在未經過父母同意的情況下,違規收集13歲以下用戶的姓名、電子郵件以及其他個人信息。
2019年10月,兩名重量級國會議員要求美國情報機構對TikTok展開國家安全調查。他們稱,TikTok“被迫向中共控制的情報工作提供支持與合作”,將美國用戶數據傳回中國。
盡管TikTok數次嚴正回應美國用戶的數據都存儲在美國境內,“TikTok不受任何外國政府影響,包括中國政府。”但此類質疑在美國仍有不少擁躉者。
在剛剛過去的2020年,TikTok因為特朗普的行政命令,在美國幾近面臨“賣身”的境地,連“下家”微軟和甲骨文都找好了。緊張局勢緩解后,TikTok以支付9200萬美元巨額和解金的代價,換回在美國正常運營。
除了TikTok,連美國本土公司Zoom都難逃數據安全的指控,只因為該公司創始人袁征是華裔背景。
Zoom作為視頻會議軟件,去年因為疫情大火,也因此引來了美國國會的關注。
2020年4月,美國眾議院議長南希·佩洛西稱Zoom是一家中國實體,具有安全隱患。他的理由是,Zoom雖然注冊地在美國,但其大部分的研發人員卻在中國,如合肥、杭州、蘇州等地。
然而,Zoom將研發地設在中國是因為其較低的人力成本,這也是Zoom能夠盈利的重要原因之一。
更有甚者,有議員致函美國司法部,將Zoom和TikTok相提并論,要求對這兩家公司審查。他們表示“司法部必須調查并確定Zoom和TikTok的業務關系、數據處理行為以及它們與中國的業務聯系,是否對美國人構成風險。”
最后,飽受困擾的Zoom選擇“斷臂求生”,在2020年8月宣布停止在中國大陸的直銷業務。
二、不是美國公司?沒關系,照樣管你
如果說上述公司是因為在美國有業務或者注冊地在美國,所以受美國管轄。
那有一部法案,可以實現跨國管理,只要和美國有”一縷頭發絲的聯系“,那就適用美國的法律。這就是所謂的“長臂管轄”,俗稱“手伸得太長。”
這部法案就是CLOUD法案,在國內被譯為《海外數據使用權明確法》。顧名思義,它賦予了美國執法機構跨境調取數據的權力。
CLOUD法案是特朗普政府在2018年3月頒布的,當時微軟和美國司法部正在進行長達5年的訴訟“賽跑”。
美國政府以毒品販運案為由,要求微軟交出涉嫌販毒者在愛爾蘭服務器上的電子郵件。但該搜查令被微軟拒絕,理由是檢索電子郵件違反愛爾蘭的隱私法。
微軟不光拒絕,還給美國司法部出主意,建議美國司法部利用兩國簽訂的條約直接與愛爾蘭當局談判。
雙方“拉扯”5年后,國會通過了明確美國數據主權的CLOUD法案,這相當于給美國司法部提供了海外數據調取指南。
“長臂管轄”遵循的原理是“最低聯系”。任何個體或企業,哪怕不是美國籍或美國公司,只要和美國有一絲一毫聯系,美國司法部就可對其發布審查或逮捕令。
這種最低聯系包括:在美國上市、在美國設立數據中心、使用美元交易、用美國公司的郵箱、產品含有美國生產的元器件等等。而一旦進入長臂管轄范圍,美國司法部門就擁有極大的自由裁量權。
所以美國法律雜志《國家法律評論》提示,在異地和海外存儲數據的公司,需要謹慎評估該法案帶來的風險。
它指出,CLOUD法案的通過預示著,美國執法部門獲取第三方(如云服務商)在海外存儲的數據的權力,并且在未來,該法案還可能被用于獲取非通信數據。該雜志建議公司考慮云存儲策略。
這讓我們不禁為中國的云計算廠商捏一把汗。
以阿里云為例,阿里云從2014年開始在海外部署數據中心,到目前為止有22個(截至2020年3月)。其中13個在亞太地區,4個在美國,剩下5個在歐洲和中東。
如果美國借因對阿里云實施長臂管轄,那后者將遭受不小損失,客戶也會因為考慮數據安全問題轉而選擇本土云服務商。
圖:阿里云擁有的國際數據中心,來源:阿里云官網
三、各國如何嚴守數據安全戰線?
數據安全是塊磚,哪里需要哪里搬。對美國來說,數據安全就是塊有用的“磚”,動輒指控企業威脅國家安全。
其他國家也對數據安全拉起了警戒線。歐盟在2018年5月開始實施《通用數據保護條例》(GDPR),被稱為史上最嚴的隱私數據保護條例。它的條款規制了美國谷歌、Facebook等公司在歐洲地區的數據收集、存儲和使用。
2019年1月,法國監管機構就依據GDPR對谷歌重罰,開出了5000萬歐元(約合3.8億元人民幣)的巨額罰單,理由是谷歌在向用戶定向發送廣告時缺乏透明度、信息不足,且未獲得用戶有效許可。
第二個被罰的是Facebook,它因違反意大利消費者法律被處以兩筆罰款,總計1000萬歐元(約合7777萬元人民幣)。另外,蘋果、推特、微軟都因數據違規被歐盟各國列為監管對象。
圖:Facebook因違反GDPR被罰,來源:internalaudit360
除了上述國際公司,云服務商因為自身收集、存儲用戶數據的特性,也是GDPR的主要監管對象。
在美國CLOUD法案出臺后,歐盟曾討論過該法案和GDPR之間對云服務商的相互作用。歐洲數據保護委員會EDPB和歐洲數據保護監督員EDPS認為,只有在非常有限的情況下,云服務商才需要響應CLOUD法案。
因為GDPR第48條明確規定,除非根據《司法協助條約》(MLAT)作出規定,否則外國法院的命令或行政機關的決定將不會在歐盟自動得到承認和執行。
盡管云服務商不必響應美國法案,但歐盟還是決定自建“云上歐洲”。
德國和法國在2019年10月推出Gaia-X項目,該項目由政府支持,開發歐洲云基礎設施,幫助當地供應商與主導全球云市場的美國科技巨頭競爭。
在歐盟之外,印度和泰國也提出了數據本地化,要求外國企業將本國用戶的數據存儲在本地。
在各國都積極進行數據保護的背景下,在海外展業的中國公司或中國云廠商更應該謹慎行事。除了嚴格遵守當地法律,在面對無端指控和質疑時,要敢于拿出強硬的態度維護合法權益。
