國家網信辦對滴滴作出網絡安全審查相關行政處罰

7月21日，國家互聯網信息辦公室依據《網絡安全法》《數據安全法》《個人信息保護法》《行政處罰法》等法律法規(guī)，對滴滴全球股份有限公司處人民幣80.26億元罰款，對滴滴全球股份有限公司董事長兼CEO程維、總裁柳青各處人民幣100萬元罰款。經查明，滴滴公司共存在16項違法事實，歸納起來主要是8個方面。一是違法收集用戶手機相冊中的截圖信息1196.39萬條；二是過度收集用戶剪切板信息、應用列表信息83.23億條；三是過度收集乘客人臉識別信息1.07億條、年齡段信息5350.92萬條、職業(yè)信息1633.56萬條、親情關系信息138.29萬條、“家”和“公司”打車地址信息1.53億條；四是過度收集乘客評價代駕服務時、App后臺運行時、手機連接桔視記錄儀設備時的精準位置（經緯度）信息1.67億條；五是過度收集司機學歷信息14.29萬條，以明文形式存儲司機身份證號信息5780.26萬條；六是在未明確告知乘客情況下分析乘客出行意圖信息539.76億條、常駐城市信息15.38億條、異地商務/異地旅游信息3.04億條；七是在乘客使用順風車服務時頻繁索取無關的“電話權限”；八是未準確、清晰說明用戶設備信息等19項個人信息處理目的。

普普點評：

近年來，國家不斷加強對網絡安全、數據安全、個人信息的保護力度，先后頒布了《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》《數據出境安全評估辦法》等法律法規(guī)。網信部門將依法加大網絡安全、數據安全、個人信息保護等領域執(zhí)法力度，打擊危害國家網絡安全、數據安全、侵害公民個人信息等違法行為，切實維護國家網絡安全、數據安全和社會公共利益，有力保障廣大人民群眾合法權益。

遭境外大規(guī)模網絡攻擊，阿爾巴尼亞政府IT系統(tǒng)癱瘓

網絡安全是數字經濟發(fā)展的基石，同時也是緊抓自主創(chuàng)新的關鍵領域。實現網絡安全核心技術突破、關鍵信息基礎設施的安全保護，是網絡安全產業(yè)發(fā)展的重中之重。

隨著數字化、網絡化、智能化成為數字經濟時代發(fā)展的重要特征，網絡安全越來越成為數智時代下企業(yè)業(yè)務發(fā)展的重要課題。如何實現業(yè)務與本周一，阿爾巴尼亞政府證實，該國上周末遭受了大規(guī)模網絡攻擊，有境外黑客攻擊了阿爾巴尼亞的國家信息社會局的服務器（負責處理政府服務），致使該國幾乎所有政府服務都陷入了癱瘓，如總理辦公室、議會和公共服務政府門戶網站等。

“阿爾巴尼亞正遭受著前所未有的攻擊，這種犯罪網絡攻擊是從境外同步進行的，” 阿爾巴尼亞國家信息社會局在新聞稿中說明道，“為了不讓這次攻擊破壞我們的信息系統(tǒng)，國家信息社會局暫時關閉了在線服務和其他政府網站?！蹦壳霸搰鵀槊癖娞峁┑拇蠖鄶捣斩继幱谥袛酄顟B(tài)，只剩一些由非攻擊目標的服務器提供的服務，如在線報稅，仍然有效。另外值得一提的是，在去年十二月，阿爾巴尼亞曾發(fā)生一起大規(guī)模數據泄露事件，約637000人的個人身份證號碼、就業(yè)和工資數據外泄。

普普點評：

技術發(fā)展增加了網絡安全風險，從數量劇增的網絡詐騙到越來越多的人為錯誤問題，企業(yè)關鍵敏感信息受到了更大的威脅，更有甚者，一些嚴重的網絡安全風險還會波及國家安全、人員的生命安全。無論是政府內部還是政府外部的高績效組織都應將網絡安全作為一項要求。不用猜他們是否具備適當的網絡安全控制措施，應該要求他們具備適當的網絡安全控制措施。

數據安全：大多數企業(yè)忽略的三件事

(1)不受信任的計算程序

零信任技術是什么?怎么知道某人的計算機程序、算法或分析程序是安全的?零信任技術可以完全自信地驗證，例如使用指紋，可以將商定的代碼與正在執(zhí)行的代碼進行實時比較。否則，無法對企業(yè)的合規(guī)團隊或法律團隊說：“我們的數據始終以正確的方式使用?！?/span>

2)未經驗證的輸入

當企業(yè)處理第一方數據(或敏感數據)時，需要絕對確定只有允許訪問的數據才會被訪問。企業(yè)需要一種絕對可靠的驗證技術，不僅在最初，而且在整個數據的處理和使用過程中，這樣不僅可以了解某人是如何獲得的，還可以了解發(fā)生了什么。(3)未經授權的數據移動或挖掘

企業(yè)需要的是能夠控制對非正式調用和數據查詢的訪問，對于企業(yè)來說，無論是在廣告技術領域還是其他領域，都需要能夠明確、一致、永久地解決這個問題。

普普點評：

毫無疑問，很多企業(yè)如今都在認真對待數據安全。有些企業(yè)甚至可能擁有強大的防火墻、完善的數據治理規(guī)則、專業(yè)的安全團隊以及加密等數據保護名單，因此在安全方面感覺良好。事實上，大多數企業(yè)都忽略了三個主要的數據保護風險，這可能是有些安全和十分安全之間的區(qū)別。

云存儲——零信任的最后一道防線

零信任讓安全團隊自動分割其網絡以防止網絡攻擊。為此，零信任架構構建了一個基于超粒度訪問權限的安全環(huán)境，這些權限會自動分配和實時重新分配給用戶。

這種程度的自動化意味著零信任可以提供增強的安全性，同時讓安全團隊不必人工分配或重新分配其企業(yè)網絡的訪問權限。它還減少了員工安全程序的摩擦和挫敗感，因為可以保證在幾分鐘內更改權限。

這是零信任的技術清單，但在他們甚至可以考慮遷移到自動化訪問權限之前，所有團隊都應該考慮一個主要的先決條件，而這個先決條件是誰應該首先訪問哪些信息以及為什么訪問。

這是一個基本問題，但它掩蓋了安全團隊在全面實現自動化之前必須解決的主要需求。企業(yè)需要花費大量時間對其企業(yè)內部的各個利益相關者進行審計和細分，并審查和分解零信任架構應該識別的所有數據和流程類別。

普普點評：

總之，零信任架構是最大化現有工作負載安全性并確保備份保密和安全的絕佳方式。但為了實現業(yè)務連續(xù)性的最終目的，零信任架構需要與業(yè)務日常活動隔離且進行不可變的數據存儲。有了這最后一道防線，才能保證企業(yè)運營的連續(xù)性和安全性。

云計算服務主要安全風險及應對措施

云計算服務具有高性價比、高靈活性、動態(tài)可擴展、專業(yè)安全服務保障等特點，有效助力了提升管理效率、節(jié)約成本、增強綜合安全防護能力。與此同時，云計算服務也面臨諸多挑戰(zhàn)，如云計算技術基礎平臺安全性、云上數據的安全管理、云計算服務安全專業(yè)人才匱乏等安全風險問題，導致云平臺數據安全事件層出不窮。對此，我國對云計算服務的網絡安全問題高度重視，相繼發(fā)布了一系列相關政策。

2019年7月，為提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平，國家互聯網信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部和財政部聯合發(fā)布《云計算服務安全評估辦法》。2021年8月，國務院發(fā)布《法制政府建設實施綱要（2021-2025年）》提出，要及時跟進研究數字經濟、互聯網金融、人工智能、大數據、云計算等相關法律法規(guī)。

普普點評：

云計算技術作為快速迭代的新興技術，云平臺在設計、應用、測試和部署時對安全性考慮仍顯不足，在資源高度集中的運行環(huán)境下，云平臺容易成為黑客的攻擊目標，與傳統(tǒng)企業(yè)的網絡環(huán)境相比，云平臺所面臨的攻擊威脅更大，產生的影響更大。

為數字政府構建智能化網絡安全管控體系

當前，隨著數字經濟的蓬勃發(fā)展，我國數字政府建設也進入加速發(fā)展階段。而在政府數字化轉型和數字化改革中，作為底層重要基石的政務網絡安全其重要性也被提升至新高度。目前，基層政務網絡已經形成了點多面廣、風險隱蔽復雜的應用特點，在網絡空間安全的指揮、制度、技術、運營、監(jiān)管等方面都面臨著新的挑戰(zhàn)。

政務網絡支撐各級政務部門業(yè)務應用、資源共享、業(yè)務協(xié)同和公共服務等，接入單位多應用范圍廣，安全風險隱蔽復雜，需建立系統(tǒng)化的安全管控體系，以技治網，實現網絡安全管理智能化，達到“資產清晰、邊界完整、數據可控、風險量化、處置高效”的安全治理目標。

政務網絡安全是數字化改革的根基和底線，事關數字化改革全局。隨著數字化改革的推進，基層政務網形成了點多面廣、風險隱蔽復雜的特點，在網絡空間安全的指揮、制度、技術、運營、監(jiān)管等方面都面臨著新的挑戰(zhàn)。

普普點評：

安全運營體系依托網絡安全技術和制度規(guī)范兩大維度，開展資產管理、監(jiān)測預警、通報處置、安全檢測、整改加固、考核評價、安全培訓和運維管理等網絡安全運營工作，形成閉環(huán)安全運營體系，充分發(fā)揮人在網絡安全中的主體地位，有效對安全威脅事件進行綜合研判和及時處置并不斷閉環(huán)對運營體系進行優(yōu)化，有效保障網絡安全技術、管理制度規(guī)范要求落地。

國家網絡安全底線不容觸碰 公民合法權益不容侵犯

從目前披露的信息觀察，滴滴在網絡安全、數據安全、個人信息保護方面暴露出的問題觸目驚心：不僅在收集和使用用戶信息方面存在諸多風險隱患，更涉及嚴重影響國家安全的數據處理活動，且拒不履行監(jiān)管部門的明確要求，陽奉陰違、惡意逃避監(jiān)管。

不以規(guī)矩，不能成方圓。國家監(jiān)管部門履行職責依法對滴滴予以重罰，是切實維護國家網絡安全、數據安全和社會公共利益的有力舉措，是保障廣大用戶合法權益的及時行動，也是規(guī)范平臺經濟、促進其健康有序發(fā)展的必然要求。

對廣大互聯網企業(yè)尤其是平臺型公司而言，這一案例具有重要警示意義。企業(yè)發(fā)展要有創(chuàng)新思維、開拓精神，但更要強化底線意識、法治觀念，以用戶為中心，有所為有所不為。無論何時，國家安全底線不容觸碰?；ヂ摼W科技也好，共享新概念也罷，都不能成為平臺企業(yè)竊取用戶數據、違規(guī)牟利的借口，更不能成為逾越法律、危及國家安全以及公共安全的工具。

普普點評：

依法經營、健康發(fā)展始終是平臺經濟的立身之本。只有堅持市場化原則、法治化原則，平臺經濟才有美好未來。廣大平臺型企業(yè)應引以為戒，堅持安全與發(fā)展并重，在進一步加強網絡安全、數據安全、個人信息保護的基礎上，努力回歸服務實體經濟和人民群眾的本源，更好地把握平臺經濟發(fā)展規(guī)律，在守正創(chuàng)新中激發(fā)市場活力和科技創(chuàng)新能力。如此，才能行穩(wěn)致遠。