本文来自隐私护卫队。
数据安全执法检查,走上街头。
近日,南都记者独家报道江苏淮安一家足浴店因电脑未设置密码、未建立数据安全管理制度,被当地派出所予以“责令整改和警告”的行政处罚,此事引起多方热议。
南都记者进一步调查发现,今年5月份以来,江苏公安执法公示平台披露过上百起类似“未履行数据安全义务”的执法案例,处罚对象包括拥有较多敏感数据的物业、房产公司、酒店、医院等。这波执法还走到街边商店,多家超市、理发店、水果店、宠物店、蛋糕店、网吧等,也被纳入检查范围。
多名涉事商家表示已整改,设置了电脑开机密码等,但对于如何进一步合规,他们感到困惑:要采取何种技术措施保障数据安全?怎么建立全流程的管理制度?这会不会增加合规成本?种种问题摆在眼前,有商户直言“尚无能力履行数据安全及个人信息保护义务。”
针对此事,南都记者采访多位专家发现,有人点赞支持江苏公安的做法,称执法是最好的普法,一些商户由于缺乏数据安全保护意识,更容易泄露顾客个人信息。但也有人持反对意见,认为行政处罚可能给小微企业带来“信用污点”,数据安全监管应当“抓大放小”,避免过度执法,增加合规压力。
与此同时,针对这类小型个人信息处理者的情况,多位专家呼吁尽快制定、出台专门的个人信息保护规则或标准。
数据安全检查走到街头,超20家门店被通报
8月16日上午10点许,位于江苏淮安市淮阴区的六指情魔足浴会所,迎来一次执法检查。当地派出所的两名民警查看了该店的电脑,发现这里面存有顾客姓名、手机号码、身份证号码等敏感数据,但却没有设置密码。
执法人员进一步检查发现,该足浴店也未制定数据安全管理制度,且未采取必要措施保障数据安全,于是开出了一张行政处罚单:责令整改、警告。
事实上,这样的执法案例并非个例。8月26日晚上,南都记者登录江苏公安执法公示平台,以“不履行数据安全保护义务”为标题关键词搜索,出现123条执法数据。
南都记者梳理发现,早在去年江苏公安执法公示平台上就披露过5起“未履行数据安全保护义务”的执法案件。较早一起案例的落款时间是2022年7月19日,苏州市吴江区某电机公司因数据库存在未授权访问漏洞等问题,被警方予以警告处罚。5起案例中,泰州市医药高新区的一家研究中心在使用数据库平台过程中,存在数据安全严重隐患,被警告并处罚款5万元。
到了2023年,这类执法案件数量明显增多,达到118起。南都记者按公示时间统计,5月的案件量为23起,6月为52起,7月公布了11起,截至8月26日的数量达到32起。
为进一步了解执法情况,南都记者查阅了这些行政处罚决定书,并结合信息披露完整度等因素,选取近期公示的60起执法案例进行分析。通报显示,这类案件的执法单位遍布江苏省内多个城市,包括泰州、连云港、淮安、常州、镇江等,作出行政处罚的既有地市级公安局,也有县区分局和派出所。
从处罚对象来看,有超过20家店铺因未履行数据安全保护义务而被通报警告,包括足浴店、超市、餐饮店、美发店、网吧、水果店、药店、宠物店、珠宝店、汽车服务店等。
通报显示,8月9日,淮安市洪泽区的诚实果品店迎来一次执法检查,25岁的店主陈某因未对顾客信息尽到数据安全保护义务,而被警告。同天,位于淮安市淮阴区的畅速汽车养护服务中心,则被指收集了包含姓名、手机号码、车牌照等客户信息,但没有采取相应的加密、去标识化等安全技术措施。
8月16日,连云市公安局连云分局通报查处的两起案例显示,当地的婷婷美发店和优格宠物店均未对客户信息加密,任何工作人员无需登记均可使用该电脑上网登记、修改、下载注册会员的个人信息,且未开展数据安全相关教育培训。
可以看到,这些门店所涉问题类似,大多是因正常业务需要收集了顾客信息,但位于前台的工作电脑未设置开机密码和屏保密码,未对记录相关敏感数据的文档设置密码,没有开展相关培训,以及没有制定数据安全管理制度,未采取必要措施保障数据安全。
售楼处用人脸识别摄像头抓拍,一快递点泄露信息被罚5万
值得一提的是,南都记者统计60起执法案件发现,共有18家物业公司因未尽数据安全保护义务被通报,占比三成。可见物业是执法检查的重点目标之一,也是被处罚的“重灾区”。
相比街边商店,物业收集存储的业主信息更多,细致到家庭住址和门牌号,还掌握缴纳物业费信息、小区出入口车辆进出等数据。尽管如此,这些物业管理处也未采取足够措施保障数据安全。南都记者查阅工商信息发现,一些物业公司的人员规模不超过50人,所显示参保人数在个位数。
按照处罚单位分类,南都记者统计发现,除了物业外,超市和能源公司各有5家上榜;其次餐饮店和美发店,各占4家;接着是医疗机构和房地产公司,各有3家被通报;网吧、宾馆和水果店则各有两家。
由此可见,这类面向包括个体工商户在内的中小微企业的执法检查,覆盖了与人们日常生活相关的不同消费场景。在一些重点场所中,执法检查发现了不少问题。比如镇江市丹徒区上党镇的一家超市在推行智能化系统中,对产生的1.7万条会员数据未采取必要措施保障安全,存在数据泄露风险。
2020年南都记者曾报道,一些地方的售楼处私自安装人脸识别系统,以此辨别适用享受渠道优惠的顾客。为了不被无感抓拍,有人被迫戴头盔卖房。时至今日,这类现象仍旧存在。
今年6月,镇江市公安在对一家房产公司的营销中心检查时发现,该中心在未告知并征得购房者同意的情况下安装人脸识别摄像头,在公共场所采集个人信息并存储。对此,办案民警当场训诫,并责令该公司整改。
再以医疗机构为例,此次通报了四家单位包括徐州市中医院、徐州仁济医院、徐州贾汪区江庄镇卫生院、射阳县黄沙港镇海丰居委会卫生室。
一起案例显示,2023年6月13日14时许,徐州市公安局贾汪分局民警在开展检查中发现,贾汪区江庄镇卫生院内部系统服务器中产生的日志被映射至互联网,日志中包含大量病人姓名、身份证号码、检查信息等。
另一起案例指出,2023年5月31日,徐州市公安局云龙分局民警发现,徐州市中医院通过网闸映射至公网方式,将数据库内数据与合作方在互联网端使用。
根据《数据安全法》第二十七第一款,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
若违反上述规定,《数据安全法》第四十五条明确,由有关主管部门责令改正,给予警告,可以并处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处1万元到10万的罚款。
从处罚结果看,绝大多数涉事单位被警方给予警告、责令限期改正的行政处罚,整改期限有的在3天,有的是7天,有的则是10天。南都记者统计的60起执法案例中,仅有两起开出罚金。其中一起是针对个人,另一起与快递公司有关。
案例显示,今年4月30日,南京某信息科技公司员工刘某为满足自己工作便利需要,私自将当地市卫健委存储在服务器上的个人信息进行备份,并下载至本地留存。由于刘某未将个人信息泄露、出售及向他人提供,尚不构成犯罪,据此执法机构对刘某罚款1万元。
今年7月,江苏启东市公安局查处的一起案例则显示,当地一家快递公司未对扫描快递单电脑设置登录密码,致使他人半夜闯入并对上述电脑植入木马,造成大量公民个人信息被泄露,为此对该单位给予警告并处罚款5万元。
有人点赞:执法面向身边门店,有助于普法
在不少人眼中,这类数据安全执法检查对象,通常面向拥有巨量数据的大型互联网平台,或掌握关键信息基础设施的服务提供商。但是此番江苏公安“大小一起抓”——检查对象从小区物业、售楼处、快递点、乡镇卫生院,铺开到街边商铺;因为执法颗粒度较细、范围广泛,引发了诸多讨论。
此举出于何种考虑?有江苏公安方面的知情人士向南都记者透露,随着法律的完善和落地实施,一些大型企业和互联网平台的数据安全和个人信息保护水平,已有所提升,但很多小微企业和个体工商户缺乏这方面意识,所以将其也纳入检查范围。
据南都记者了解,近年来,以公民个人信息为核心,滋生出电信诈骗、骚扰电话、抢号抢票、网络水军、“人肉搜索”、“呼死你”、“薅羊毛”等黑灰产业,严重侵害公民的财产安全和人身权益。
公安部8月10日公布的数据显示,2020年以来累计侦破侵犯公民个人信息违法犯罪案件3.6万起,抓获犯罪嫌疑人6.4万名。锚定行业内部泄露源头,三年来共抓获电信运营商、医院、保险公司、房地产、物业、快递公司等行业“内鬼”2300余名。为进一步筑牢数据安全防线,在大平台之外,一些中小企业的信息收集和使用行为,也日益引起监管重视。
上述知情人士还表示,执法机构也并非一上来就罚款,而是以警告为主。如果发现典型违法行为,才会处以罚款。由于江苏注重执法信息公开,因此大家可以在相关公示平台上,集中看到这些案例。
在认真查阅了这些处罚决定书后,上海交通大学数据法律研究中心执行主任何渊称“看了大感震撼”。他以关键词查询发现,在该执法公示平台上,“未履行数据安全保护义务”有上百起,“未履行个人信息保护义务”的案例更多,达到数百起。
在何渊看来,数据安全执法不能仅仅针对大型企业,路边小店收集的个人信息与人们的生活直接相关,类似小的房产经纪门店把数据交易给健身房、装修店的现象,时常出现。一旦有这样的投诉,就应该启动相关执法。
“信息处理者不能因为(规模)小,就认为不需要履行数据安全保护义务。江苏公安这种执法相当有必要,这有助于推进个人信息保护制度的落地。”何渊说。
对于这样的执法行为,拥有多年从业经验的网络安全专家张威也持支持态度。他告诉南都记者,一些街边小店和商铺并不清楚“买卖客户信息”的法律风险,所以有必要敲打提醒。同时这种针对街边店的执法,可能也是在传达一种信号:意在提醒其他还存观望心态的企业和机构进一步重视和行动起来,加大加快开展数据安全保护的力度。
张威认为,推动数据安全保护的双轮驱动,一方面在于加强执法,另一方面需加快数据价值化落地。“而现在的问题是,一些组织和企业没有看到数据可以变现、产生实际资产价值,因此就不愿意投入成本来保护数据。”
有人质疑:行政处罚或影响征信,增加商户合规成本
在点赞支持之外,反对质疑的声浪也不小。尽管这些小微企业未被罚款,但这一行政处罚或给其带来信用“污点”,另一个核心问题则指向合规成本。
清律律师事务所首席合伙人熊定中告诉南都记者,虽然主要的处罚方式是警告和责令整改,并未涉及罚款等,但为了满足监管要求,个体工商户的合规成本势必会额外增加。
“不能说只是警告就对于商户没有影响。首先,他们后期需要整改,这种合规成本是非常高的;其次,这种行政处罚本身也是一项记录,会影响相关的征信水平。”熊定中说。
企业数据安全合规投入的高低,很大程度取决于要对数据保护到什么程度。南都记者注意到,由于对合规标准的理解不同,受访专家的观点出现分歧。
张威认为,对街边店铺而言,数据安全保护实现并不难,也无需投入过多成本——只要有足够重视的意识,用电脑里免费自带的工具对数据进行加密,和保护自身财务数据一样保护数据安全,就基本可以合规了。
何渊也认为要求商家设置电脑开机密码,告知用户收集信息行为等,这做起来并不难。同时他强调,“不能用大平台的合规标准去要求小门店”。比如让其严格建立全流程的管理制度;邀请专家在内部开展数据安全教育培训;或花一二十万元委托律所参与个人信息合规审计,这有些不现实。
中国计算机行业协会数据安全专委会委员、北京众安天下科技有限公司负责人和知名白帽专家杨蔚(花名301)也主张,执法有其必要性,但方式和力度需要灵活多变,以适应不同类型和规模的企业。
他对南都记者表示,理想的情况是希望做到更精细的颗粒度。但数据安全保护的核心,要看业务和数据要素的价值——即由数据资产价值决定“保险柜”需要买什么样的?一般认为,以数据资产价值的5%以内作为安全投入,相对合理。
杨蔚还提到,市场上动辄数十万甚至百万级的数据安全解决方案,对于中小微企业来说仍然是一种负担,这导致许多企业面临一定合规挑战。
与此同时,也有专家强调应该关注这类执法的合理性。对外经济贸易大学数字经济与法律创新研究中心主任许可认为,江苏公安此举合法但不合理。虽然总体上符合法律法规要求,但其应基于风险规制和分类分级原则,对于不同类型、不同规模的企业设定不同的合规要求,不能简单地将《数据安全法》《个人信息保护法》的规定普遍性地适用于所有的小型企业。
许可告诉南都记者,尽管目前尚无针对不同类型、不同规模企业的专门规定,根据一般的监管逻辑,相关监管要求、监管水平理应“因地制宜”,和一般性规定有所差别。
呼吁:出台针对小型个人信息处理者的规则
回到落地问题,街边的蛋糕店、水果店、足浴店,要落实数据安全合规要求,难不难?
南都记者尝试联系了多家涉事商户,他们大多表示愿意接受处罚,但同时表达了相关的困惑。一名商家称,其店内电脑中存储客户个人信息的系统本就设有密码,非店内员工无法登录。然而,该店仍被视为未采取足够的数据安全保护措施,被责令要求额外设置电脑开机密码。
还有一名涉事商家表示,(民警)说的(店里客户信息)没有经过加密处理是事实。但此前并未从任何监管部门处得知,需要对客户个人信息进行加密。除了加设电脑开机密码外,目前并不知道如何通过技术手段来实现加密处理。
同时,针对行政处罚书提到的“未制定数据安全管理制度”和“未采取必要措施保障数据安全”两项问题,多位店主表示执法人员并未给出明确指导,“没具体说到底需要整改哪些。”
由此可见,当数据安全执法下沉时,一个摆在眼前的现实问题是,如何帮助小微企业合规——要采取何种措施、做到什么程度,才算履行了数据安全保护义务?这是当前各方高度关注的焦点。
或许,普法是破题的第一步。许可认为,由于包括个体工商户在内的大部分小企业缺乏数据安全以及个人信息保护意识,因此有必要加强宣传教育,形成一种“全民守法”的氛围。
信息安全从业者杨蔚也建议,与反诈骗宣传类似,应当将《数据安全法》和《个人信息保护法》的普及也纳入宣传重点工作。同时,鼓励产业界推出更多适用于小微企业的数据安全解决方案。
何渊则结合上海的实践案例提到,近期上海市网信部门和市场监管部门先后聚焦“扫码点餐”和“扫码支付停车费”两大重点消费场景,开展专门的执法行动。通过征集举报线索、约谈指导、普法培训、出台合规指引、现场执法等方式,要求上海餐饮企业和商场停车场,不得强行索要消费者个人信息,诱导关注公众号等。
“江苏的做法是执法下沉,在县市级层面普法落地。上海的经验是针对个人信息收集的重点场景,作出示范性方案。我认为这两种思路可以相互融合、借鉴,在执法上做更多创新。”何渊说。
具体而言,他认为执法机构可以先通过约谈、推出实施指南等柔性执法方式,引导中小微企业合规。之后再采取硬性执法——但不要一上来就对小门店进行执法,可以适用“首违不罚、轻微免罚”的行政处罚原则,给予小门店改过自新的机会。如果仍然不改且造成数据泄露危害的,则需强化执法。
值得一提的是,多位专家呼吁,尽快针对小型个人信息处理者,制定和出台专门的个人信息保护规则、标准。这也是《个人信息保护法》第六十二条明确的,由国家网信部门统筹协调推进的一项个人信息保护工作。
这项工作如何落地?许可建议,不仅要在立法层面进一步落实《个人信息保护法》中有关小型个人信息处理者豁免的规定,还要在执法层面出台更多规则,细化监管执法的标准,比如规定如何对顾客的个人信息进行加密才算合规等。
在许可看来,“对于小微企业而言,有必要在能力范围之内采取可行的安全保障措施,但具体包括哪些安全措施还需要业界的共同探索,有待监管达成共识——完全豁免显然也是不合理的。”
