“成人,长袖,长裤,男人,上身深紫色。”
以上特点是人脸识别软件随机捕获路人的信息,每个人在技术归集下成为数据,无处藏身。
20192月,一家人脸识别公司泄露了256万个人数据,包括身份证信息、人脸识别图像和捕获地点。
目前流行的刷脸支付的关键技术是人脸识别,它将收集用户的人脸、虹膜、指纹和声纹存储在服务器中。但一旦这些独特的生物特征数据泄露,销售、欺诈、钓鱼等安全威胁就会随之而来。
“不要轻易上网‘刷脸’。个人生物特征(人脸、指纹)DNA等)等关键数据,具有独特性和不可再生性,一旦被盗,就无法恢复和改变。“ 上海信息安全行业协会会长谈剑峰多次提醒公众警惕人脸识别风险。
好消息是,《个人信息保护法》草案已经在今年两会期间提请全国人大常委会审议,草案一旦通过审议,将对保护个人信息安全发挥重要作用。
与此同时,谈剑峰在2021年两会期间也提出了建议,建议设立国家“数据银行”,加强对人脸、指纹等唯一不可再生关键数据的控制。
保护个人数据和信息安全是各国的共识。2018年欧盟发布的《通用数据保护条例》(GDPR),俄罗斯、加拿大、新加坡、印度、巴西等国家除了开始立法外,还修订了个人数据保护法案,规范了国内外数据流动。
在全球保护个人数据的背景下,数据本地化存储的要求应运而生。在海外拓展业务的中国公司也必须遵守当地的数据管理规定。阿里巴巴云、腾讯云等为中国海外企业提供云服务的制造商,聚集了大量中国企业的数据,是当地 *** 机构关注的焦点。可以说,他们处于炮火的前沿,承担着之一个风险。
一、不小心被罚,中国出海企业太难了
在美国上市或在美国设立数据中心的中国公司可以说是“戴着镣铐跳舞”,在遵守数据保护法案的情况下,不时被指控向中国输送数据或受到中国 *** 的干预,不小心引起众议或被起诉并收到罚单。
中国短视频应用在美国很受欢迎TikTok就是“戴着镣铐跳舞”的例证。自TikTok自登陆美国以来,它一直面临着非法收集未成年用户数据、将美国用户数据传回中国的指控和质疑。
图:TikTok来源:The Siasat Daily
20192月,美国联邦贸易委员会(FTC)向TikTok以违反儿童在线隐私保护法案为由,开出价值570万美元的罚单(COPPA),未经父母同意,非法收集13岁以下用户的姓名、电子邮件等个人信息。
20192000年10月,两名重量级国会议员要求美国情报机构对待TikTok展开国家安全调查。他们说,TikTok“被迫支持和合作 *** 控制的情报工作”,将美国用户数据传回中国。
尽管TikTok美国用户的数据存储在美国,“TikTok包括中国 *** 在内的任何外国 *** 都不受影响。”但在美国仍有许多这样的质疑。
过去的2020年,TikTok由于特朗普的行政命令,它几乎面临着美国“卖身”的境地,连“下家”微软和甲骨文都找到了。紧张局势缓解后,TikTok以支付9200万美元00万美元为代价,在美国正常运营。
除了TikTok,连美国本土公司Zoom由于公司创始人袁征是华裔背景,无法逃脱数据安全的指控。
Zoom作为视频会议软件,去年因疫情引起了美国国会的关注。
2020南希,美国众议院议长4 月·佩洛西称Zoom是一个有安全隐患的中国实体。他的理由是,Zoom虽然在美国注册,但其大部分研发人员都在中国,如合肥、杭州、苏州等。
然而,Zoom 由于人工成本低,在中国设立研发地点也是如此Zoom盈利的重要原因之一。
更重要的是,一些议员向美国司法部致函Zoom和TikTok要求审查这两家公司。“司法部必须进行调查和确定Zoom和TikTok的业务关系、数据处理行为以及它们与中国的业务联系,是否对美国人构成风险。”
最后,饱受困扰的人Zoom选择“断臂求生”,在2020年8月宣布停止在中国大陆的直销业务。
二、不是美国公司吗?没关系,照顾你
上述公司因在美国有业务或注册地而受美国管辖。
只要与美国有跨国管理法案,就可以实现跨国管理”一缕头发“,适用美国法律。这就是所谓的“长臂管辖”,俗称“手伸得太长。”
这个法案CLOUD该法案在中国被翻译为《海外数据使用权明确法》。顾名思义,它赋予了美国执法机构跨境获取数据的权利。
CLOUD该法案于2018年3月由特朗普 *** 颁布,当时微软和美国司法部正在提起5年的诉讼“赛跑”。
以毒品贩运案为由,美国 *** 要求微软在爱尔兰服务器上交出涉嫌贩毒者的电子邮件。但由于发现电子邮件违反了爱尔兰的隐私法,该搜索令被微软拒绝。
微软不仅拒绝了,还建议美国司法部利用两国签署的条约直接与爱尔兰当局谈判。
双方“拉扯”5年后,国会通过了明确美国数据 *** 的方式CLOUD该法案相当于为美国司法部提供海外数据转移指南。
“长臂管辖”遵循的原则是“更低联系”。任何个人或企业,即使不是美国公民或美国公司,只要与美国有任何联系,美国司法部都可以发布审查或逮捕令。
这种更低联系包括:在美国上市、在美国设立数据中心、使用美元交易、使用美国公司的电子邮件、包含美国生产的部件等。一旦进入长臂管辖范围,美国司法部门就有很大的自由裁量权。
因此,美国法律杂志《国家法律评论》建议,在不同地方和海外存储数据的公司应仔细评估该法案的风险。
它指出,CLOUD该法案的通过表明,美国执法部门有权获得第三方(如云服务提供商)在海外存储的数据,该法案也可用于未来获取非通信数据。该杂志建议该公司考虑云存储策略。
这让我们不禁为中国的云计算制造商汗流浃背。
以阿里云为例,阿里云从2014年开始在海外部署数据中心,到目前为止有22个(截至2020年3月)。亚太地区有13个,美国有4个,欧洲和中东有5个。
如果美国对阿里云实行长臂管辖,后者将遭受巨大损失,客户将选择本地云服务提供商,因为他们考虑数据安全。
图:阿里云拥有国际数据中心,来源:阿里云官网
三、各国如何严格遵守数据安全战线?
数据安全是一块砖,需要在哪里移动。数据安全对美国有用“砖”,指控企业威胁国家安全。
其他国家也对数据安全提出了警戒线。2018年5月,欧盟开始实施《通用数据保护条例》(GDPR),它被称为历史上最严格的隐私数据保护条例。它的条款规定了美国谷歌,Facebook欧洲其他公司的数据收集、存储和使用。
20191月,法国监管机构依据GDPR对谷歌重罚,开出5000万欧元(约合)3.8由于谷歌在向用户发送广告时缺乏透明度明度和信息不足,没有获得用户有效许可,1亿元的巨额罚款。
第二个被罚的是Facebook,它因违反意大利消费者法而被罚款1000万欧元(约777万元)。此外,苹果、推特和微软因数据违规被欧盟国家列为监管对象。
图:Facebook因违反GDPR被罚,来源:internalaudit360
除上述国际公司外,云服务提供商还具有收集和存储用户数据的特点GDPR主要监管对象。
在美国CLOUD法案出台后,欧盟讨论了法案和GDPR云服务提供商之间的相互作用。欧洲数据保护委员会EDPB以及欧洲数据保护监督员EDPS云服务提供商只有在非常有限的情况下才需要回应CLOUD法案。
因为GDPR第四十八条明确规定,除非根据司法协助条约(MLAT)作出规定,否则欧盟不会自动承认和执行外国法院的命令或行政机关的决定。
尽管云服务提供商不必回应美国法案,但欧盟决定自建“云上欧洲”。
2019年10月,德国和法国推出Gaia-X该项目由 *** 支持,开发欧洲云基础设施,帮助当地供应商与主导全球云市场的美国科技巨头竞争。
除了欧盟,印度和泰国还提出了数据本地化,要求外国企业在本地存储自己用户的数据。
在各国积极数据保护的背景下,海外展览行业的中国公司或中国云制造商应更加谨慎。除了严格遵守当地法律外,面对无端的指控和怀疑,我们还应该敢于采取强硬的态度来维护合法权益。