2022.09.02

《数据安全法》一周年:没有最佳实践 | 行业观察

文 | 徐文璞

编辑 | 真梓

***

01 变局

大约14个月以前,入职一家互联网大厂近5年的张杨感受到,公司的大客户广告业务产生了些许震动。

“由于广告投放的效果降低,当时从销售端看,客户分配给我们的预算少了10%。”时过一年,他向36氪回忆。

对这家每年广告收入超百亿元的大厂来说,广告业务仍是公司的现金奶牛。这其中,“KA(大客户)广告业务的营收约占40%。”张杨估计。

起因则是14个月前,也就是2021年的7-8月左右,恰逢《个人信息保护法》和《数据安全法》从颁布到生效的窗口期。

过去,出于精准营销的目的,广告行业对数据的使用处于粗放状态。

有行业人士对36氪表示,在法律逐步严格之前,广告主常用的方式是,先对用户的性别、年龄、地域等基本信息画像,再通过用户的行为数据(如用户的录音、检索内容、聊天记录)和算法,精准定位具体用户是否为潜在有购买能力的消费者。

"基本上10个推送,起码有3个会被点击,有1个可能会下单。以一个售价2万的GUCCI箱包举例,如果有100个人去买就是200万收入,广告费可能是30万,品牌商就能赚翻了。”他向36氪算了一笔账。

而在2021年下半年之后,显然,这种方式再难在合规范围内奏效。

在当年11月正式实施的《个人信息保护法》中有明确规定,处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。

于是,“公司后面新产品的测试,都不太推针对精细化人群的产品了。”张杨表示。这也是文章开篇提及的,“广告投放效果降低”的缘由所在。

而这只是围绕个人数据的部分,在当前《网络安全法》、《数据安全法》和《个人信息保护法》共同成为上位法的前提下,企业的数据合规范畴,往往超越个人信息——所以,在一些业务更关乎国计民生的基础设施领域,数据合规产生的影响比想象更深。

出行行业就是一个例子。比如,地图是地图厂商最为重要的资源,也是本地生活最为重要的流量入口之一。而测绘资质,对图商的重要性不言而喻。

地图往往涵盖敏感信息。一位图商领域的专家告诉36氪,“业内规定高塔桥梁、军事基地等地理位置,不能出现在电子地图上。”

这些数据属性意味着,随着合规要求的细化,电子地图测绘资质也成为稀缺资源。而这一资质或将对自动驾驶、智慧交通等业务造成深远影响。

2021年6月改革后,国内电子地图测绘资质分为甲级和乙级。获得甲级资质即意味着搭载其地图的车辆可以在全国畅行。乙级资质对应着省级测绘单位的认证,搭载其地图的车辆可以在特定省级辖区内畅行。

对于现在的新车,地图导航已经成为必备功能。这意味着寻求外部图商合作的整车厂,其合作对象必须要有电子地图甲级测绘资质,才能让搭载其地图的车辆在全国发售、在全国道路交通行驶。

自然资源部在今年2月、3月和8月公布的电子地图甲级测绘资质复审通过名单中,江苏智途、Momenta、晶众地图、中海庭、滴滴等显示尚未通过。高德则出现在2月复审通过名单中。

02 两种变化,两类解法

整体来看,自相关法律法规施行后,企业产生的变化可分为两类。

第一类,不少企业改变了过去做业务的方式。

张杨告诉36氪,自己所在的公司将过去广告主可自勾选的业务中,需要个人敏感信息做精准投放的选项都下线了。

这期间,多家公司也做出了相应的业务调整或者倾斜。36氪了解到,百度更加倚重广告主运营的"风云计划",以应对不能过度搜集用户数据,做精准广告投放的现状。

百度为付费客户提供免费素材在站内搭建主页。当用户以该品牌关键词搜索时,会出现占据页面篇幅60%的品牌广告。接着,它为广告主提供站内用户洞察结论,告知广告主使用怎样的物料、素材更加吸引用户的注意力。

由于百度站内的主页是广告主自己搭建,百度通过合规协议与广告主共享用户在广告主主页的数据。因此,百度对用户的付费洞察信息可合规共享给广告主,广告主可在站内进一步触达用户变现。

这考验的是一家公司细致的运营能力。可以说,“以往百度是躺着赚钱,现在需要小跑着赚钱。”有百度内部人士向36氪评价。

电商平台也有类似的品牌商服务方案。2021年各平台发布数据隐私政策后,被动沉淀私域已是主流方式。有平台ISV高管指出,平台鼓励品牌将用户发展成授权会员,会员在平台中可以随时触达。

品牌商也在进行自己的努力。“过去不少电商平台会主动给品牌共享包括消费者性别、年龄和地域,甚至家里是否有车、房等信息。但法律出来后,我们连性别信息都没有权利获取,只能拿到昵称和头像这些对数字化运营没有任何帮助的东西。”一位腰部零售品牌的数字化负责人告诉36氪,目前,该品牌正在升级自己的会员体系。

第二类更深入影响行业格局的情况中(如上文列举的地图),等待政策进一步明晰,可能是更合适的做法。

不久前,有高德内部人士向36氪推测,如果没有相关测绘资质的单位依然要开展相关运营活动,必须要找有资质的图商合作。"已有企业在讨论这种合作模式。"一家拥有资质的互联网公司透露。

无独有偶,这一合作方式恰好在两天前迎来转机。2022年8月30日,自然资源部官网发布《关于促进智能网联汽车发展维护测绘地理信息安全的通知》,《通知》明确仅限内资企业可依法取得地图测绘资质,外商投资的企业可委托具有相应测绘资质的单位开展测绘活动。

同样的情况还发生在跨境业务上。

美创科技CTO周杰告诉36氪,对运营商企业、金融企业、跨境企业或在美国上市的企业来说,《数据安全法》等相关法律带来的影响可能比其他行业来更大——这些企业很可能数据量较大,且要受出境政策的监管。

36氪数月前采访一家跨国企业时,对方表示,当前集团针对敏感数据的加密存储、脱敏等基本安全建设已经完备。最为迷茫的部分恰好在于跨国数据的交互,“这部分都停滞了,要等政策清晰。”这位安全负责人说。

幸运的是,几个月过去,数据出境的规定正如他所期待的一样日渐明确。

最新的变化是在8月31日晚间,国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》。

在不少解读中,这一《指南》在已正式施行的《数据出境安全评估办法》基础上,进一步明确了数据出境安全的评估细则——包括适用范围、申报方式及流程、应当提交的申报材料以及申报咨询的官方渠道等,并提供了数据出境安全评估申报书模板以及数据出境风险自评估报告模板等内容。

03 穿越阵痛期

新的变化还在持续。

比如亿邦动力报道,为保护消费者隐私,9月1日起阿里巴巴将提供虚拟号码解决方案,以切断商家与消费者订单上真实手机号的联系。

这带来的影响是,商家将无法通过平台获取消费者电话,也无法再通过外呼或短信等方式直连用户。

一个合理推断是,未来关于数据合规的动态将只多不少——这也和当下监管动态,以及不少企业的合规治理现状息息相关。

在采访中,不少从事合规业务的人士向36氪提及了“合规不起诉”。专注DPO培训业务的山竹科技CEO向丽表示,目前检察院推出了“涉案企业合规第三方监督”评估机制,即我们所说的“合规不起诉”,这个机制也适用于数据合规。“合规不起诉”即,倘若违规企业在检察院给出的整改期内,对不合规行为请第三方评估机构进行整改,整改结果受检察机关评审通过后,检察机关会作出不批准逮捕或不起诉或量刑建议等决定。

合规不起诉,对企业意味着自我修正的空间。但另一方面,合规建设可能在不同企业间产生巨大差距。

蚂蚁集团副总裁兼首席技术安全官韦韬在接受36氪专访时提到,相关法律实施近一年,行业对安全的投入依然有巨大缺口。不少企业把数字化系统应用得相当广泛,但往往能看到他们专业安全团队的建设滞后。

“一些企业买了安全产品,有了安全报警,却没人管,这不在少数。”韦韬说。

与此相对的是监管科技的进步。无讼网络科技CEO孔令欣认为,国内的数据安全监管还会往前走,会比欧盟和美国更加先进。

“中国的特色是用技术实现弯道超车,今天很多审计单位已经在用代码级或者数据库级的技术,监察各个公司的数据采集体系和交易体系。从大趋势判断,数据安全监管还会更严。留给企业自行整改的时间窗口,或在不远的将来关闭。”

故事的另一面是,不少在这一时间段内进行合规建设企业,也会遇到现实挑战。

美创科技CTO周杰观察到,《数据安全法》《个人信息保护法》颁布一年多了,但总体来说,不少企业的合规还处于一个比较初期的探索阶段。“我们很多客户都困惑于,现在数据合规从法律到技术落地之间还缺少细则。目前看,这可能要根据企业所处行业的敏感度区分,高敏感度行业的细则可能会来得更快。”

在更为实操的层面,当企业走到业务和产品层面的合规整改阶段时,往往需要用技术手段解决最终问题——如何把法律语言转化为技术语言,并最低程度减少对业务的影响,也是它们当下面临的主要难点之一。"对于法律意见的解读,技术人员可能看不明白。"有企业对36氪坦言。

对此,全数据安全服务商云集至的联合创始人宣淦淼认为:“安全厂商有责任带头探索通过技术落地合规要求,在这方面也更有经验优势。通过大家丰富的经验,结合对法律法规的深刻理解,制定可供参考的行业技术标准和规范,从而让数据安全合规落地更专业、更高效。”

从更现实的角度,合规建设可能涉及咨询、培训、相关系统改造和升级等多项支出。一位从事合规咨询的业内人士强调:"合规是一件需要成本的事。"

他向36氪讲述,自身所在的公司曾以90万元报价竞标某消费电子品牌的合规咨询,但品牌商选择了报价75万元的一家四大财务咨询公司。但尽管如此,该品牌后来依然发生了数据合规问题,并导致了相关产品的下架。

这导致的一个现象是,当前有着强合规压力和建设动力的企业,往往是数字化水平较高、财力和技术能力靠前的公司。也就是说,虽然我们常常看到很多互联网头部企业被约谈、处罚,但其实,这类企业的数据合规基建往往已是行业前沿水平。

这是一个非常复杂的语境,当前这件事可能没有最佳实践。”在帮助近百家企业开展数据合规建设后,无讼合作律师、世辉律师事务所合伙人王新锐坦言,“这就是我们在参与立法和监管工作中,经常听到的,‘能力越大,责任越大’。一个企业能拿到多少数据,就要承担多少责任。”

一个背景是,跨越互联网、移动互联网时代,数据已经被各行各业视为一种“资产”,也成为与土地、劳动力、资本、技术并列的新“生产要素”。从这个角度,在数字化大势所趋的当下,通过法律、技术的双重作用,让国内企业补上过去安全能力建设的缺失之处,大概率是一场必修课。

在《数据安全法》施行一周年的节点,一切才刚刚开始。

(完)

*感谢悠易科技、红途科技对本文的支持。

部分内容来自六度专家访谈

文中张杨为化名

参考链接:

境内外上市企业的数据合规策略https://mp.weixin.qq.com/s/FDLSFfmQCgaA3GLzPk0ZQw

淘宝挥刀!2天后,商家再也拿不到消费者手机号了https://mp.weixin.qq.com/s/Dj1XoAmjtIWmWrkTEa3vlQ

657款App曾被工信部通报违规 有多少在“偷听”https://www.chinanews.com.cn/cj/2021/02-08/9407384.shtml

文中提及相关法规政策:

《关于促进智能网联汽车发展维护测绘地理信息安全的通知》(https://www.mnr.gov.cn/dt/ywbb/202208/t20220831_2758156.html)

 《数据出境安全评估申报指南(第一版)》(http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm)



上一篇:隐私保护功能,怎么就成为了跟踪用户的帮凶

下一篇:CVSS评分机制会将企业漏洞管理引入歧途吗?