每日優鮮危機背後:隱藏的數據安全“冰山”值得重視
21世紀經濟報道 見習記者鍾雨欣 北京報道
“生鮮電商第一股”每日優鮮近期頻頻傳出“壞消息”。
7月28日,有網友曝出每日優鮮“就地解散”,對此,每日優鮮回應稱在實現盈利的大目標下,公司對業務及組織進行調整,部分員工離職。在“解散”傳聞發生之前,每日優鮮App曾因“超範圍收集個人信息”且未按要求完成整改,被工信部通報。
年報“難產”、股價大跌、業務暫停、員工討薪……每日優鮮多次登上熱搜,站在輿論的風口浪尖。在其風波背後,還有一些延伸問題值得思考:當身陷困境之時,互聯網平臺應如何合規處理用戶數據?如何避免數據安全風險?
數據安全問題不可忽視
據北京市消協網站,針對近日“每日優鮮”無法正常經營引發大量消費者投訴的情況,8月4日下午,北京市消協約談北京每日優鮮電子商務有限公司,並要求每日優鮮務必妥善處理消費者投訴,及時公佈退費方案和登記方式;積極配合消協組織的工作;三個工作日內將情況說明和整改方案書面反饋至市消協。8月12日,每日優鮮稱已向北京消協提交整改方案。
據國家企業信用信息公示系統顯示,每日優鮮旗下兩家子公司,北京每日優鮮科技有限公司、上海每日優鮮電子商務有限公司,因登記的住所或者經營場所無法聯繫,分別被當地市場監督管理部門於8月1日、8月3日列入經營異常名錄。此外,浙江每日優鮮電子商務有限公司於8月4日進行註銷備案,註銷原因爲決議解散,現正在進行債權人公告,債權人自公告之日起45日內可向清算組申報債權。
四面楚歌,風雨欲來,等待每日優鮮的是潰敗還是重生,仍不得而知。一個不可忽視的問題是:當擁有海量用戶信息的互聯網平臺身陷危機之時,如何保障其數據安全?
《個人信息保護法》第二十二條就企業因合併、分立、解散、被宣告破產等特殊情形下轉移個人信息的情形,做出了提供方的告知義務及信息接收方應繼續履行相關義務的規定:“個人信息處理者因合併、分立、解散、被宣告破產等原因需要轉移個人信息的,應當向個人告知接收方的名稱或者姓名和聯繫方式。接收方應當繼續履行個人信息處理者的義務。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。”
浙江墾丁律師事務所合夥人李晉沅表示,對於互聯網企業來說,用戶數據往往構成其核心資產的重要組成部分。“當互聯網企業停止經營,根據《個人信息保護法》等法律法規,對於用戶提供的原生數據,企業需要停止使用並銷燬,而經過企業再加工後形成的衍生數據在進行脫敏處理後,可以作爲數據資產進行轉移。”
建立健全數據合規長效機制
“互聯網平臺會因不同業務而涉及到很多種類的個人信息數據,在日常經營中需要對數據進行分類分級處理,涉及到金融類的數據如用戶銀行卡信息則需要更高層級的保護。”李晉沅向21世紀經濟報道記者表示。
《個人信息保護法》規定,個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。此外,《個人信息保護法》對企業內部管理制度和操作規程、分類管理、安全技術措施、操作權限、教育培訓、個人信息安全事件應急預案等也作出相關要求,強調企業對於個人信息保護的主體責任。這意味着企業作爲個人信息處理者,需要在個人信息的全生命週期完善合規保障措施,彌補相應環節短板。
互聯網平臺擁有大量商業經營數據和個人信息數據,在日常運營中需要築牢數據保護屏障,一旦發生泄露情況,對個人權益和企業商業運營都將造成不良影響。
據廣州市公安局,今年7月廣州一家技術公司在開發一款App系統後,因未履行數據安全保護義務,導致該系統安全漏洞被不法分子利用,1070餘萬條公民個人信息面臨泄露風險,被警方行政立案,罰款5萬元。
該公司開發的“駕培平臺”存儲了駕校培訓學員的姓名、身份證號、手機號、個人照片等信息1070萬餘條,但並未建立數據安全管理制度和操作規程,對於日常經營活動採集到的駕校學員個人信息未採取去標識化和加密措施,系統存在未授權訪問漏洞等嚴重數據安全隱患。有關部門表示,該公司系統平臺一旦被不法分子突破竊取,將導致大量駕校學員個人信息泄露,給廣大人民羣衆個人利益造成重大影響。根據《數據安全法》的有關規定,廣州警方對該公司未履行數據安全保護義務的違法行爲,依法處以警告並處罰款人民幣5萬元的行政處罰。這是廣東警方適用《數據安全法》的首批案例之一。
相關警方特別提醒:網絡安全事關國家安全,所有單位與個人都有保護數據安全的責任與義務,特別是持有、掌握大量公民個人信息的單位,更應該嚴格依法採取保護措施,有效保障公民個人信息安全。
如果相關信息被泄露,個人應當如何維權?李晉沅表示,在實踐中個人通過自身力量維權可能面臨維權成本高、維權週期長等問題,《個人信息保護法》設置了公益訴訟條款,加強了對侵犯個人信息行爲的法律規制。未來個人信息保護公益訴訟與私益訴訟需要做好銜接,形成保護合力。
據最高人民檢察院工作報告顯示,2021年我國檢察機關共辦理個人信息保護領域公益訴訟2000餘件,同比上升近3倍。2021年4月,最高人民檢察院發佈檢察機關個人信息保護公益訴訟典型案例,包括浙江省杭州市餘杭區檢察院訴某網絡科技有限公司侵害公民個人信息民事公益訴訟案等11件。發佈透露,對互聯網企業未履行個人信息管理和保護義務的,檢察機關將通過公益訴訟要求其承擔公益損害責任,推動落實企業主體責任。
數據安全是數字經濟發展不可忽視的議題。近年來,《網絡安全法》《數據安全法》《個人信息保護法》等相關法律法規加速落地,配套的相關規則不斷完善,企業談論數據安全的語境也在發生變化。“企業正在從被動配合轉向主動合規,越來越多的企業積極參與到各類標準建設當中,發揮技術優勢,爲數據安全貢獻力量,形成良性互動,促進行業共同發展。”李晉沅表示。
(作者:鍾雨欣)
