随着《网络安全法》《数据安全法》《个人信息保护法》等法律法规的陆续出台,关于数据安全宏观治理体系逐渐构建完整。数据安全和治理有通则,但行业细则更加重要。面对海量差异化的数据,行业安全状况表现如何?如何抓住行业痛点和难点保障安全?如何强化数据治理?成为数据安全行业治理需要回答和关注的问题。
9月1日《数据安全法》实施两周年之际,南方财经合规科技研究院梳理金融、医疗、汽车三个行业的数据安全法律法规及相关治理实践。
金融行业处于强监管之下,目前已经实施了多项金融数据标准,随着《中国人民银行业务领域数据安全管理办法(征求意见稿)》刚刚!央行发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称征求意见稿)的出台,金融数据安全的治理体系将更加完善。医疗数据安全关切用户个人隐私,在医疗行业数字化迅速推进的情况下,如何妥善处置医疗数据、如何强化医疗数据内部衔接与对接,成为医疗数据安全以及治理需要回答的问题。汽车数据安全方面,随着智能化、网联化的发展,汽车数据安全愈发重要,带有明显汽车产业特征的数据安全行业细则也已落地。
金融数据:合规前提下明确促进开发利用
作为一个数据密集型企业,数据对金融业的重要不言而喻。可以看到的是,金融数据具有高度敏感性,收集的信息涉及个人隐私、商业秘密,特定产业或企业的金融数据甚至涉及更高层面的机密和安全。
作为现代经济核心角色的金融行业,安全是其发展底线。金融数据安全亦是数据要素流通、创造更大价值的底线。随着中国数据要素市场的建设和发展,在明确安全底线的前提下,促进金融数据要素流动以创造更大价值,成为金融机构和社会的内在需求。
一段时间以来,监管层面频频释放信号,要求相关金融机构和产品重视金融数据安全。6月,国家金融监管总局向各地方银保监局、银行、保险、理财公司等机构下发了《关于加强第三方合作中网络和数据安全管理的通知》网银账户信息被窃取?监管出手整治银保机构外包服务!,要求各银行保险机构在与第三方商业机构开展业务合作时,应持续加强安全责任方面的跟踪监管。
8月30日,国家金融监督管理总局、中国人民银行、中国证券监督管理委员会、国家互联网信息办公室、国家外汇管理局联合发布关于规范货币经纪公司数据服务有关事项的通知,指出要加强数据治理,确保数据安全,要求货币经纪公司需履行数据安全保护义务,将数据治理纳入公司治理范畴,严格落实信息科技监管要求等。
法律法规层面,记者梳理发现,早在《数据安全法》出台之前,金融数据安全已经多个通知、指导文件,如2015年发布的《关于促进互联网金融健康发展的指导意见》提出网络与信息安全,《银行业金融机构数据治理指引》指导银行业金融机构加强数据治理,提高数据质量。标准建设方面,《信息技术安全技术信息安全管理体系》《证券期货业数据分类分级指引》《金融数据安全数据安全分级指南》一图读懂《金融数据安全数据安全分级指南》等先后出台,对于金融数据的分类分级、数据质量控制等明确相关标准,细化了规则。
当前相关金融业务发展过程中,涉及个人敏感信息、重要数据和核心数据的相关概念仍待进一步厘清;而生成式人工智能的快速发展带来新的挑战,需进一步细化的法律解释、标准等出台进行引导。
2023年7月24日,中国人民银行发布征求意见稿并公开征求意见。相关条款基于“谁管业务,谁管业务数据,谁管数据安全”原则,除与现有制度有效衔接、细化规范措施要求外,同时促进数据开发利用,明确提出鼓励数据处理者在保障安全合规前提下,积极促进数据高效流通和创新应用。征求意见稿将数据分为一般、重要、核心三级,数据项敏感性从低至高进一步分为一至五共五个层级。此外,征求意见稿多次提及自动化决策、算法评估等内容。
医疗数据:多宏观政策,安全细则需完善
随着医疗行业数字化的不断推进,来自患者方面的包含个人信息、病历等的医疗数据,来自医疗设备不断回传的数字化信息,来自医院自身数字化建设积累的信息,与医疗行业相关的数据不断积累、日益丰富。
医疗数据高度敏感,反映了特定个人健康,个人信息、诊疗信息如果泄漏,不仅个人隐私无法保障,甚至会给患者带来歧视、人身危害等。但对于商业和科研来说,这部分信息又具有非常大的价值,如何平衡医疗数据的开发和个人信息保护成为当前医疗数据面临的一个难题。涉及多个利益主体的医疗场景对于数据安全也提出了挑战。
医疗数据面临的又一个难题便是数据泄漏,出于利益诱惑,内鬼、黑客对于相关数据虎视眈眈。如2022年6月,美国医疗保健集团希尔兹(ShieldsHealthCareGroup)就此前发生的一起网络攻击事件发表公开声明,称攻击已被遏制,目前其已向联邦执法部门进行报告并展开调查。此次网络攻击导致约200万患者的医疗信息被泄露,包括姓名、身份证号、住址、诊断结果、保险编号等,但希尔兹表示暂无证据表明被泄露的信息遭到冒用或被用于诈骗。
如何强化医疗数据治理、保障医疗数据安全至关重要。记者梳理了涉及医疗数据安全的相关政策,数据治理方面,先后出台了《基本医疗卫生与健康促进法》《生物安全法》等法律法规,对于卫生健康领域的网络安全、数据安全做了宏观要求。
2022年,国家卫生健康委、国家中医药局、国家疾控局印发《医疗卫生机构网络安全管理办法》国家卫健委等三部门发布《医疗卫生机构网络安全管理办法》,对于医疗卫生机构网络安全管理作出规定。提出坚持分等级保护、突出重点;坚持积极防御、综合防护;坚持“管业务就要管安全”“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,落实网络安全责任制,明确各方责任。
在医疗数据安全中,值得关注的是人类遗传资源信息。人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料,既是战略资源又是稀缺资源。随着《人类遗传资源管理条例》《人类遗传资源管理条例实施细则》DNA遗传信息安全该如何保障?科技部相关《条例》发布!等相继出台,对于人遗信息监管的整体框架也更加完善。
目前,医疗行业数据安全的专门办法尚未出台;从相关政策梳理看来,多项政策多来自法律法规、部委文件等宏观层面,医疗数据的行业规则和落地规范仍待完善。
汽车数据:细则适应产业,明确监督信号
新一代信息技术与汽车的产业加速融合,车与车、路、人、云端的智能信息不断交换、共享,配备多项先进技术的汽车成为网联化的终端。另一方面,交互过程中的产业安全问题引发关注,上述功能的实现离不开对环境数据、个人隐私等数据的采集,汽车数据安全和风险隐患日益浮出水面。
实践中,车企数据泄漏已有相关案例。特斯拉涉及7.5万人,特斯拉“大规模”数据泄露事件,原因查明!、丰田丰田致歉!200万车主车辆数据遭泄露长达10年、蔚来蔚来数据泄露被勒索!官方回应等不同程度的出现了数据泄漏情况,今年5月,外媒报道特斯拉发生一起大规模数据泄漏事件,被泄露的信息数据量多达100G,包括员工个人信息在内的大量保密信息以及客户投诉记录被泄漏,最终确认超过7.5万人在这次事件中被影响。丰田由于云服务平台设置错误,近十年里约215万用户的车辆数据在日本或被泄露。去年12月,蔚来证实发生一起数据泄漏,2021年8月之前部分中国用户信息及车辆销售数据在网上被第三方违法出售,同时被勒索225万美元等额比特币。
数据出境是否合规同样影响着数据安全。一段时间以来,特斯拉“哨兵模式”备受关注。8月14日,特斯拉回应称,车辆出厂时,该功能默认处于关闭状态,需要车主手动开启才能使用。同时特斯拉强调,公司已在中国建立数据中心,以实现数据存储的本地化。所有在中国大陆市场销售车辆所产生的数据,都会存储在中国境内特斯拉回应数据“泄密”!。
政策监管层面,已有多项关注汽车数据安全的政策文件出台,同时在相关产业发展政策文件中,也不同程度提及要注意汽车尤其是智能网联汽车的数据安全和网络安全。
值得注意的是,2021年10月,《汽车数据安全管理若干规定(试行)》多省市网信办开展2021年度汽车数据安全管理情况收集工作(以下简称《若干规定》)正式实施,结合汽车产业特点,释放了明确的监管信号。
《若干规定》对于汽车数据的定义做了明确,是指在汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据;同时明确了重要数据的范围。在汽车数据处理方面,提出“车内处理”“默认不收集”“精度范围适用”“脱敏处理”等原则。此外,根据《若干规定》催生了汽车数据安全年报制度,很大程度上规范了汽车数据处理者对汽车数据的合理合法使用及保护。(文/郑雪吕广龙)