浅析《网络安全法》修改对数据合规与隐私计算的影响
姚明、曾钰涵、李博、袁志烨 | 洞见科技
中华人民共和国国家互联网信息办公室(以下简称“国家网信办”)于2022年9月公开征求《关于修改〈中华人民共和国网络安全法〉(以下简称<网安法>)的决定(征求意见稿)》(以下简称《意见稿》)意见的通知。这是《网安法》实施五年后的首次修改,旨在与新实施的法律衔接,聚焦对网络安全法律责任制度的修改、调整及完善。
隐私计算技术作为一种网络数据计算安全保护的措施,为保障数据安全流通与用户信息隐私的实现提供了更安全可靠的技术实现路径。本次《网安法》修改或将进一步推动隐私计算技术成为《网安法》及相关信息安全标准的技术供给,并在未来发挥更大的作用与价值。
继2017年《网安法》实施至《网安法》首次征求修改意见,我国对网络安全与数据治理的立法经验日趋成熟,我国现有对网络安全与数据治理的合规体系框架如下:
以《网络安全法》《数据安全法》《个人信息保护法》为主线搭建的网络安全与数据治理的合规体系框架已逐步形成,基于对网络数据处理行为的顶层法律规定,国家网信办等相关主管部门陆续出台了越来越多网络安全与数据治理规定,逐步建立健全网络信息安全与数据处理的合规管理制度。为了进一步推进网络安全与数据治理进程,国家、地方、行业等各界纷纷出台关于个人信息、网络数据、行业数据安全管理及处理行为的标准规范、指南,构成了自上而下、从内而外的合规体系框架。
《意见稿》对网络安全与数据治理合规体系予以完善
本次《意见稿》主要针对《网安法》中涉及的网络运行安全、用户个人信息保护、关键信息基础设施安全、网络信息安全及禁止行为等法律责任条款建议予以完善。此举将有利于进一步完善网络安全与数据治理合规体系,并避免法律规定适用冲突。
从法律责任归类出发,重新将《网安法》的主要网络安全义务对应至法律责任,形成逻辑性更强的法律责任框架体系。
总体而言,《意见稿》对应《网安法》的法定义务(网络运行安全一般规定、关键信息基础设施安全保护义务、网络信息安全保护义务、个人信息保护义务、禁止行为)规定,采用统一归类方式将同类违法行为的法律责任予以整合,使全文所涉法律义务与责任上下衔接更紧密、更具逻辑性,形成了以网络安全运行、关键信息基础设施安全、网络信息安全、个人信息保护为主的法律责任基本制度框架体系。
此外,《意见稿》建议将违反《网安法》第23条、第28条、第49条未明确列入或仅部分体现在法律责任中的情形,分别归类并明确相应处罚责任,其中,第23条针对网络关键设备和网络安全专用产品符合国家标准强制性要求以及售前/使用前须经安全认证或检测的规定,与网信部门出台的《网络关键设备和网络安全专用产品目录(第一批)》及实施的网络关键设备安全检测机制相衔接,为网络关键设备和网络安全专用产品合规整治提供行政法层面的处罚依据;第28条是为公安机关、国家安全机关维护国家安全和侦查犯罪活动提供技术支持和协助义务;第49条是要求网络运营者建立网络信息安全投诉、举报制度等,并对网信部门和有关部门依法实施的监督检查予以配合的义务。此三条均是为了便于网信部门及相关部门行使网络安全维护职责而特别加入的法律责任。
在充分采纳《个人信息保护法》《数据安全法》的立法经验和整合现有法律的共性规定的同时,增加了对网络运营者违法行为的处罚情形、种类并提高了行政处罚幅度。
与《网安法》现有规定相比,《意见稿》将现有两级行政处罚标准统一修改至三级,针对违法行为“情节特别严重”的企业,将行政处罚金额统一提升至100万元以上5000万元以下或者上一年度营业额5%以下罚款的标准。同时引入“通报批评”及“直接负责人的从业禁止”作为行政处罚措施。
但是,《意见稿》第4条建议将《网安法》第66条修改为“关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,依照有关法律、行政法规的规定处罚”。而目前《数据安全法》《关键信息基础设施安全保护条例》等法律法规尚未明确具体处罚规则,为此还待完善。
从《意见稿》的修改趋势观察,《网安法》有关网络安全保护义务的法律责任处罚力度将全面提升,意味着网络运营者应注意加强梳理网络安全与数据治理的合规体系及履行对应实际业务的各项义务,并应积极采用网络安全保护措施,以适应主管部门趋严的合规监管。
《网安法》修改对隐私计算技术的影响
《意见稿》对完善现有网络安全与数据治理合规体系具有重要意义,将进一步推进网络信息安全技术革新。隐私计算是当前网络数据计算安全保护的核心技术之一,《网络法》修改及网络安全与数据治理合规体系的建立健全,将为隐私计算技术带来更多的积极影响:
一方面,网络安全与数据处理行为的规范及趋严的问责制度,将进一步促进隐私计算技术对网络数据处理合规要求的技术供给。
借鉴国外数据保护的立法经验,我国《网安法》第20条有关网络安全等级保护制度中要求网络运营者应履行“采取数据分类、重要数据备份和加密等措施”的安全保护义务;第42条第2款规定“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、损毁、丢失”;《数据安全法》第3条也强调了“采取必要措施”保护数据安全的要求;另外,《个人信息保护法》第51条对个人信息处理者进一步提出应“采取相应的加密、去标识化等安全技术措施”。《意见稿》明确了违反《网安法》第20条、第42条的法律责任且加大了对单位违法行为的处罚幅度,此举将促使网络运营者、网络数据处理者加强对用户数据采取安全措施的重视程度并尽快优化和更新加密、去标识化的技术措施。
根据中国信息通信研究院发布的《隐私计算白皮书(2021年)》,隐私计算(Privacy-Preserving Computation)的定义是“在保证数据提供方不泄露原始数据的前提下,对数据进行分析计算的一系列信息技术,保证数据在流通和融合过程中的可用不可见”,隐私计算技术集合包括多方安全计算、联邦学习、可信执行环境等多个技术子集,本质上都是避免原始数据泄露的安全保护措施,实现数据计算过程结果的隐私保护;与传统的加密、去标识化单一技术相比,隐私计算因融合了密码学、统计学等交叉学科,为解决复杂数据处理过程中的隐私保护问题提供了更高效、更安全的解决方案。
与此同时,隐私计算对信息安全保护的技术供给能力已得到数据处理相关国家或行业标准的认定与推荐。如GB/T37964-2019《信息安全技术个人信息去标识化指南》第5.4.2款预处理中规定“增加或扰乱数据,改变数据集的真实性”“同态加密”“同态加密共享”“差分隐私模型”等去标识化合规技术手段等。
《意见稿》对《网安法》及其网络安全与数据治理体系的问责制度完善,势必推动网络运营者、网络数据处理者对安全技术措施予以更新迭代,进而加快隐私计算的合规技术供给。
另一方面,随着合规引导下网络运营者(网络数据处理者)对隐私计算技术的应用探索加强,该类技术将在协同数据安全共享方面,充分发挥数据安全保障和促进数据安全流通的效能,为数据智能的应用提供更多合规创新案例。
隐私计算作为促进数据安全流通的技术措施,同样在国家及地方的数据合规流通政策中得到肯定与支持。如中国人民银行2021年12月发布的《金融科技发展规划(2022-2025年)》指出“应用多方安全计算、联邦学习等隐私计算技术探索建立跨主体数据安全共享隐私计算平台”;科技部、教育部、工业和信息化部、交通运输部、农业农村部、国家卫生健康委员会2022年7月29日联合发布的《关于加快场景创新以人工智能高质量发展的指导意见》在“聚集人工智能场景数据资源”中明确强调“采用区块链、隐私计算等新技术,在确保数据安全的前提下,为人工智能典型应用场景提供数据开放服务”。
网络运营者、网络数据处理者以及隐私计算厂商正在积极寻求应用合规与商业利益的平衡。目前隐私计算技术已逐渐在互联网相关领域多个场景中得到应用,例如:
在互联网广告投放场景,隐私计算技术主要用于实现目标客户的精准推荐和新客户拓展,在保护用户隐私及实现数据方用户信息可用不可见的前提下,安全拓宽数据样本量及数据维度,帮助网络运营者实现潜在客户高效触达,提升模型预测能力,利用模型预测效果匹配吸引投放平台的目标客户群,提高客户转化率,优化精准营销效果,从技术上为互联网广告提供了安全保障与数据合规利用并行的解决方案。
在金融领域的网络风控场景,通过隐私计算技术能够实现金融机构自身数据网络与外部机构数据网络的安全融合,在各方原始数据不出域的前提下,联合建立数字化风险信用评级模型,实现实时预测,提升风控质量。在信息核验时,通过隐私计算能够实现多方黑名单数据在内外部网络间的安全共享,对电诈、洗钱、骗贷等行为的黑名单用户进行匿踪识别,保障数据方在不能获知查询的具体内容的前提下,提升客户背景调查的安全可信程度,以技术信任的方式实现在金融网络与外部互联网中数据价值的合规应用与用户隐私的安全保护。
结语
在《网安法》修改及相关法律法规对网络安全保护要求趋严的背景下,隐私计算技术将得到更广泛的应用,为网络数据安全保护与数据价值合规应用提供更适配的供给与协同,网络运营者、网络数据处理者将积极探索将隐私计算技术与其应用场景密切结合的安全合规路径,避免因网络安全措施不当或缺失而导致的违法违规风险。
诚然,隐私计算作为一种中立的技术方案,并不能为网络数据处理的所有合规要求提供技术供给,网络运营者、网络数据处理者以及隐私计算技术厂商仍应遵循合规规定,在隐私计算应用场景中全局考虑、设计合规流程和解决方案,注重隐私计算技术与其他合规要求的协同。
作者简介:
姚明
曾钰涵
李博
袁志烨
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
有时我需要处理键/值数据。我不喜欢使用数组,因为它们在大小上没有限制(很容易不小心添加超过2个项目,而且您最终需要稍后验证大小)。此外,0和1的索引变成了魔数(MagicNumber),并且在传达含义方面做得很差(“当我说0时,我的意思是head...”)。散列也不合适,因为可能会不小心添加额外的条目。我写了下面的类来解决这个问题:classPairattr_accessor:head,:taildefinitialize(h,t)@head,@tail=h,tendend它工作得很好并且解决了问题,但我很想知道:Ruby标准库是否已经带有这样一个类? 最佳
我有带有Logo图像的公司模型has_attached_file:logo我用他们的Logo创建了许多公司。现在,我需要添加新样式has_attached_file:logo,:styles=>{:small=>"30x15>",:medium=>"155x85>"}我是否应该重新上传所有旧数据以重新生成新样式?我不这么认为……或者有什么rake任务可以重新生成样式吗? 最佳答案 参见Thumbnail-Generation.如果rake任务不适合你,你应该能够在控制台中使用一个片段来调用重新处理!关于相关公司
在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?
我正在尝试使用Curbgem执行以下POST以解析云curl-XPOST\-H"X-Parse-Application-Id:PARSE_APP_ID"\-H"X-Parse-REST-API-Key:PARSE_API_KEY"\-H"Content-Type:image/jpeg"\--data-binary'@myPicture.jpg'\https://api.parse.com/1/files/pic.jpg用这个:curl=Curl::Easy.new("https://api.parse.com/1/files/lion.jpg")curl.multipart_form_
无论您是想搭建桌面端、WEB端或者移动端APP应用,HOOPSPlatform组件都可以为您提供弹性的3D集成架构,同时,由工业领域3D技术专家组成的HOOPS技术团队也能为您提供技术支持服务。如果您的客户期望有一种在多个平台(桌面/WEB/APP,而且某些客户端是“瘦”客户端)快速、方便地将数据接入到3D应用系统的解决方案,并且当访问数据时,在各个平台上的性能和用户体验保持一致,HOOPSPlatform将帮助您完成。利用HOOPSPlatform,您可以开发在任何环境下的3D基础应用架构。HOOPSPlatform可以帮您打造3D创新型产品,HOOPSSDK包含的技术有:快速且准确的CAD
本教程将在Unity3D中混合Optitrack与数据手套的数据流,在人体运动的基础上,添加双手手指部分的运动。双手手背的角度仍由Optitrack提供,数据手套提供双手手指的角度。 01 客户端软件分别安装MotiveBody与MotionVenus并校准人体与数据手套。MotiveBodyMotionVenus数据手套使用、校准流程参照:https://gitee.com/foheart_1/foheart-h1-data-summary.git02 数据转发打开MotiveBody软件的Streaming,开始向Unity3D广播数据;MotionVenus中设置->选项选择Unit
文章目录一、概述简介原理模块二、配置Mysql使用版本环境要求1.操作系统2.mysql要求三、配置canal-server离线下载在线下载上传解压修改配置单机配置集群配置分库分表配置1.修改全局配置2.实例配置垂直分库水平分库3.修改group-instance.xml4.启动监听四、配置canal-adapter1修改启动配置2配置映射文件3启动ES数据同步查询所有订阅同步数据同步开关启动4.验证五、配置canal-admin一、概述简介canal是Alibaba旗下的一款开源项目,Java开发。基于数据库增量日志解析,提供增量数据订阅&消费。Git地址:https://github.co
我正在尝试在Rails上安装ruby,到目前为止一切都已安装,但是当我尝试使用rakedb:create创建数据库时,我收到一个奇怪的错误:dyld:lazysymbolbindingfailed:Symbolnotfound:_mysql_get_client_infoReferencedfrom:/Library/Ruby/Gems/1.8/gems/mysql2-0.3.11/lib/mysql2/mysql2.bundleExpectedin:flatnamespacedyld:Symbolnotfound:_mysql_get_client_infoReferencedf
