保护数据安全,下好“全国一盘棋”
——依法履职为数据安全保护贡献检察力量
崔晓丽
游客购买景区门票不仅要出示身份证,还被强制录入人脸信息;刚办完住院手续没多久,病人就收到保险员推销的手术意外险;程序员破解知名电商平台加密算法后,公开售卖用户信息……随着大数据时代加速到来,数据在国民经济、社会发展中的作用日益凸显,一些违法违规侵害数据安全的行为,引发普遍关注,也因此进入国家治理的视野,数据安全正成为一项重要公共安全议题。
习近平总书记曾深刻指出,要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。法治是经济社会有序发展的“压舱石”,在构建数据安全治理体系的进程中,作为法律监督机关,检察机关依法能动履职,走入数据收集、存储、使用、加工、传输、公开等全流程、各环节,为保护数据安全提供法治力量。
收集数据·不得超范围索取
你是否有过这样的经历——
下载完某款App后,需要对其提供的条款“同意”“同意”再“同意”后,方可使用App。在美容院、健身房只是办理一张会员卡,却被要求提供指纹、面部、身份证等信息。很多时候,平台想要索取的信息与其提供的服务并没有关系。用户不堪其扰,却又无能为力。
为何各主体对过度采集用户信息有一种“天然冲动”?
“在当前经济发展中,数据是创新的驱动力,也是实现商业利益的重要凭借。”北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括接受记者采访时表示,个人信息蕴含巨大价值,各个主体最大限度、超越权限地获取数据资源,最终创造可观的商业利润。“特别是在数据产业方兴未艾,数据监管尚不健全的当下,过度收集信息的行为屡禁不止。”吴沈括说。
事实上,这种情况在检察办案中已有体现。
2021年初秋,来自浙江省湖州市某景区的游客通过“益心为公”检察云平台,提交了一条景区涉嫌侵害游客人脸信息的举报线索。注意到这一线索后,最高检高度重视,将该线索移交给浙江省检察院。
2021年11月初,湖州市检察院、湖州市南浔区检察院成立专案组进行立案调查,并进行电子取证。检察机关发现,景区现场购票除要求游客提供身份证外,还强制要求游客进行刷脸认证。与此同时,景区运营公司并没有对游客人脸信息进行妥善处理——对储存在服务器中的所有信息未设置定期清除机制,个人信息存在安全隐患。
“景区强制游客录入人脸信息的行为已经超过了正常经营的需要,经过聚集后的海量信息在没有严格的监管制度、技术措施保障下,面临违规使用和被泄露的风险,严重危害了社会公共利益。”承办此案的南浔区检察院第五检察部主任赵坤尧向记者解释,根据个人信息保护法的规定,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。在个人信息处理目的已经实现的情况下,应删除个人信息。“显然,景区的上述做法违反了法律的规定。”
2021年11月12日,围绕涉案人脸信息被侵害问题,浙江省三级检察院会同当地旅游度假区管委会、景区运营公司召开磋商会,并邀请浙江省消费者权益保护委员会相关工作人员和法律专家参加。
磋商会上,大家一致认为,景区运营公司应删除前期采集储存的人脸信息数据,规范人脸信息的收集和使用。同时,湖州市检察院与市网信办开展磋商,市网信办对景区运营公司提出整改要求。同年11月18日,湖州市检察院向景区运营公司制发检察建议,督促其积极整改。
为确保删除工作符合规范,有效维护公民个人信息安全,2021年11月24日,浙江省检察院组织技术力量会同办案人员赴现场开展技术勘验,湖州市检察院邀请人大代表、人民监督员到现场见证,该景区前期采集、储存的120万余条游客人脸信息被完全删除。
“现在,游客可以自由选择人脸识别、购买纸质门票、网络购票等多种方式进入景区。对于采用人脸识别进入景区的游客,景区会根据游客入园的需要合理设置人脸数据删除的期限,在游客游玩结束后自动删除人脸信息,确保游客人脸信息安全。”赵坤尧说。
存储数据·提高平台技术防御能力
“非常感谢检察院和人民监督员提出的宝贵意见,我们将以此案为鉴,及时落实整改措施,切实加强平台网络安全管理,守护用户信息安全。”日前,在检察建议宣告会上,某知名社区电商平台安全部门负责人向上海市闵行区检察院表达了感谢。
就在不久前,这家电商平台还因加密算法被不法分子公开售卖,导致用户信息安全受到威胁。
陈某是一名程序员,他将从网上搜索到的相关算法和自己的技术相结合,利用辅助软件绕过某短视频平台、某社区电商平台等互联网平台的校验程序,破解了某知名社区电商加密算法,从而实现对短视频批量点赞、批量下载,还将获取的平台用户信息售卖牟利。同是程序员的周某从陈某处购买加密算法后,也获得“灵感”,将自己掌握的攻破互联网平台加密算法的“技术”在网上售卖。
这样的情况并非个例。从2020年6月起,南京的李某受黄某委托,制作、提供用于骗取停车信息的“JTC”等程序“技术”用于售卖。据悉,该款软件可以通过技术手段绕过停车平台系统安全防护机制,非法获取在停车平台系统内保存的个人车辆即时停车位置信息。
“互联网平台、企业等收集了用户的数据信息,就有责任、有义务保护好数据,加强对数据安全的技术防御能力。”闵行区检察院检察长胡春健告诉记者,他们在办理陈某、周某提供侵入计算机信息系统程序案中发现,犯罪嫌疑人的技术水平并不算太高,通过简单的学习就可破解涉案互联网平台的加密算法,并抓取用户信息,这也暴露出涉案的互联网平台网络安全技术需要提升、安全意识不足等问题。
为达到“办理一案、治理一片”的目的,针对办案中发现的问题,经过深入调研同类型、同领域互联网企业,并与相关技术人员、法学专家等充分沟通,闵行区检察院向涉案互联网平台所属企业制发企业数据安全风险管控的检察建议。于是就有了开头的一幕。
信息收集者可以通过提高技术防御能力来抵挡外来入侵者,可当自身成为泄密者,谁又来保护用户的权益?
2021年以来,江西省宜春市一些住院患者有些困惑:怎么刚办完住院手续,就有保险代理机构推荐手术意外险?到底是谁泄露了我的诊疗信息?举报线索到达宜春市检察院后,该院进行了立案办理并全面摸排核实。
原来,为精准销售手术意外险等险种,部分保险代理机构业务人员通过合作医院违法获取大量患者的姓名、手术类型、联系电话等医疗健康信息,对患者进行保险推销。
2022年7月,宜春市检察院向对此事负有监管职责的市卫健委制发行政公益诉讼诉前检察建议,要求其依法处理相关医院,采取有效整改措施,及时堵塞患者个人信息保护漏洞。市卫健委收到检察建议后,立即组织召开加强患者诊疗信息安全管理工作部署会,督促5家涉案医院限期整改,规范患者诊疗信息查询程序,堵塞信息泄露漏洞。据悉,市卫健委还在全市部署开展为期一个月的患者诊疗信息安全专项整顿活动。
经过一系列整治,如今患者终于可以安心就医,医疗机构的数据风险防范意识也有了进一步提高。
保护数据·最大限度吸收各方主体参与
数字时代,数据已经和土地、劳动力、资本、技术并列为五大生产要素之一。数据安全受到威胁,危害的不仅仅是个人隐私,还有商业秘密,甚至国家安全。
2022年6月,西北工业大学遭受境外黑客组织和不法分子网络攻击,此事引发广泛关注。经调查,攻击活动源自美国国家安全局“特定入侵行动办公室(TAO)”。近年来,TAO对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备,窃取了超过140GB的高价值数据。同年8月,媒体报道称,有黑客利用木马病毒非法控制逾2000台计算机,入侵40多家国内金融机构的内网交易数据库,非法获取交易指令和多条内幕信息,进行股票交易牟利……如何保护数据安全,已成为当下不可回避的命题。
在吴沈括看来,数据安全的全面实现需要三方面的努力,“一是技术要素层面,要积极研发和引入各类保护数据安全的相关技术,利用好包括隐私计算、脱敏加密等在内的各类技术解决方案,实现技术层面的保护;二是组织管理层面,需要制定全流程的数据流转规则,通过规则的利用来引导各方主体,遵循共同的业务准则、行为准则;三是数据安全保护要注意合法性、安全性和伦理性的融合,最大限度地吸收、激励、推动各方主体参与数据安全治理,形成良性的、可持续的安全治理生态。”
胡春健对此表示赞同。在他看来,数据安全治理是一项复杂的系统工程,需要政府、企业、用户等多元主体协同发力,统筹推进。“政府监管部门要充分发挥在数据安全保护中的顶层设计和统筹协调作用,使保护数据安全形成‘全国一盘棋’;企业作为信息传输、储存、使用的主体,必须不断更新技术,加强防御能力;各平台用户也要加强自身的安全防范意识,不能轻易授权他人获取个人信息。”胡春健表示,只有全社会形成数据安全保护意识,才能在互联网时代做好数据安全保护。
赵坤尧从打击涉数据安全犯罪出发,建议检察机关注重部门协作,充分发挥“四大检察”职能,在开展刑事打击的同时,同步推进民事检察、行政检察、公益诉讼检察等工作。“同时,检察机关要不断加强外部协作,督促强化个人信息等领域的行政执法,形成数据安全的预防、打击和治理合力。”赵坤尧补充道。
采访中,多位专家均提到,保护数据安全需要法律提供强有力的保障。网络安全法、数据安全法、个人信息保护法等相继出台,表明国家高度重视数据安全法律体系的完善。就在不久前,最高检印发《关于加强新时代检察机关网络法治工作的意见》,提到检察机关要依法严惩网络黑客非法侵入、非法控制、破坏计算机信息系统特别是涉及国家安全、民生重要领域计算机信息系统等犯罪。
值得注意的是,数据安全保护工作早已提上日程。2021年7月,针对侵害用户权益、威胁数据安全等行为,工业和信息化部组织开展互联网行业专项整治行动。今年初,工信部与国家互联网信息办公室等十六部门联合印发《关于促进数据安全产业发展的指导意见》,从供给侧为保障国家数据安全提供技术、产品和服务支撑。前不久,中共中央、国务院印发了《党和国家机构改革方案》,正式确立组建国家数据局,这意味着数字中国建设将得到更多的制度保障,更加规范有序。
司法办案·做好数据分级分类保护
数字中国建设是覆盖全社会各领域的一项体系化、科学化的重大基础性工程。随着司法信息化的推进,大数据、人工智能等新型技术在司法中的广泛运用,司法机关在打击涉数据安全犯罪的同时,保护好自身领域的数据安全同样重要。
“《中共中央关于加强新时代检察机关法律监督工作的意见》要求,加强检察机关信息化、智能化建设,运用大数据、区块链等技术推进公安机关、检察机关、审判机关、司法行政机关等跨部门大数据协同办案。可见,推动跨部门协同办案、促进执法司法大数据信息共享是大势所趋,也是检察大数据赋能新时代法律监督的重要路径,在此过程中,必须做好数据安全保护工作。”胡春健认为,重点要做好三个“防”。一是加强“人防”,检察干警作为案件数据的掌控者,要提高数据安全意识和对案件信息的敏感性;二是做到“数防”,不同层级的案件信息公开的程度不同,怎样做好司法数据的分级分类保护,引导办案人员合理合规地使用数据,需要在数字检察建设中不断完善;三是加强“技防”,检察机关要不断提高自身技术防御能力,不仅要出台技术安全的相关规范,同时基层检察机关也需培养专业人才。
上海市检察院第二分院三级高级检察官孙慧芳对在检察办案中加强个人信息保护格外重视。“检察机关在履职过程中会涉及大量个人信息,这些信息不仅有姓名、年龄、性别等一般意义上的个人信息,还可能会涉及遗传或生物特征、健康数据等个人敏感信息。在检察大数据应用中,要充分考虑个人身份使用的必要性以及数据挖掘目的、手段和结果应用的正当性。如无必要,不进行基于个人身份的数据挖掘。如必须这么做,在处理个人信息时,要通过合理的技术或组织手段,保障个人信息的安全。”
时代巨轮滚滚向前,数字中国建设如火如荼。大数据时代,在数据收集、存储、使用、加工、传输、公开等全流程、各环节,运用法治力量,筑牢数据安全底线,必将助推中国式现代化高质量发展!