“成人、长袖、长裤、男、上身深紫色。”
以上特征是人脸识别软件对路人随机抓取的信息,每个人在技术归拢下成了一条条数据,无处遁形。
2019年2月,某人脸识别公司有256万条个人数据泄露,泄露的信息除了包括上述信息,还包括身份证信息、人脸识别图像及捕捉地点。
当下流行的刷脸支付使用的关键技术正是人脸识别,它将采集用户的人脸、虹膜、指纹和声纹等信息存储在服务器中。但这些具有唯一性的生物特征数据一旦泄露,买卖、欺诈、钓鱼等安全威胁随之而来。
“在网络上不要轻易‘刷脸’。个人生物特征(人脸、指纹、DNA等)等关键数据,具有唯一性和不可再生性特征,一旦被窃取,无法追回并变更。“ 上海信息安全行业协会会长谈剑峰曾多次提示公众警惕人脸识别风险。
好消息是,《个人信息保护法》草案已经在今年两会期间提请全国人大常委会审议,草案一旦通过审议,将对保护个人信息安全发挥重要作用。
同时,谈剑峰在2021年两会期间也提交了一份提案,建议设立国家“数据银行”,加强对人脸、指纹等唯一性不可再生的关键数据的管控。
保护个人数据和信息安全是当下各国的共识。2018年欧盟颁布的《通用数据保护条例》(GDPR),被称为史上最严、具有域外效力的个人信息保护法律。除了我国正着手立法,俄罗斯、加拿大、新加坡、印度、巴西等国也纷纷修订了个人数据保护法案,规范本国和全球数据流动。
在全球保护个人数据的背景下,数据本地化储存的要求应运而生,在海外拓展业务的中国公司也必须遵循当地的数据管理条例。为中国出海企业提供云服务的厂商如阿里云、腾讯云等,则因聚集了大量中国企业的数据,是当地政府机构的重点关注对象,可以说是顶在炮火最前线,承担着首道风险。
在美国上市或在美国设立数据中心的中国企业可以说是“戴着镣铐跳舞”,在遵循数据保护法案的情况下,还时不时被指责向中国输送数据或受中国政府干预,一不小心就引起众议或被起诉收到罚单。
风靡美国的中国短视频应用TikTok就是“戴着镣铐跳舞”的例证。自TikTok登陆美国起,它就一直面临违规收集未成年用户数据、将美国用户数据传回中国的指控和质疑。
图:TikTok被美国青少年父母告上法庭,来源:The Siasat Daily
2019年2月,美国联邦贸易委员会(FTC)向TikTok开出了一张价值570万美元的罚单,理由是违反儿童在线隐私保护法案(COPPA),在未经过父母同意的情况下,违规收集13岁以下用户的姓名、电子邮件以及其他个人信息。
2019年10月,两名重量级国会议员要求美国情报机构对TikTok展开国家安全调查。他们称,TikTok“被迫向中共控制的情报工作提供支持与合作”,将美国用户数据传回中国。
尽管TikTok数次严正回应美国用户的数据都存储在美国境内,“TikTok不受任何外国政府影响,包括中国政府。”但此类质疑在美国仍有不少拥趸者。
在刚刚过去的2020年,TikTok因为特朗普的行政命令,在美国几近面临“卖身”的境地,连“下家”微软和甲骨文都找好了。紧张局势缓解后,TikTok以支付9200万美元巨额和解金的代价,换回在美国正常运营。
除了TikTok,连美国本土公司Zoom都难逃数据安全的指控,只因为该公司创始人袁征是华裔背景。
Zoom作为视频会议软件,去年因为疫情大火,也因此引来了美国国会的关注。
2020年 4 月,美国众议院议长南希·佩洛西称Zoom是一家中国实体,具有安全隐患。他的理由是,Zoom虽然注册地在美国,但其大部分的研发人员却在中国,如合肥、杭州、苏州等地。
然而,Zoom 将研发地设在中国是因为其较低的人力成本,这也是Zoom能够盈利的重要原因之一。
更有甚者,有议员致函美国司法部,将Zoom和TikTok相提并论,要求对这两家公司审查。他们表示“司法部必须调查并确定Zoom和TikTok的业务关系、数据处理行为以及它们与中国的业务联系,是否对美国人构成风险。”
最后,饱受困扰的Zoom选择“断臂求生”,在2020年8月宣布停止在中国大陆的直销业务。
如果说上述公司是因为在美国有业务或者注册地在美国,所以受美国管辖。
那有一部法案,可以实现跨国管理,只要和美国有”一缕头发丝的联系“,那就适用美国的法律。这就是所谓的“长臂管辖”,俗称“手伸得太长。”
这部法案就是CLOUD法案,在国内被译为《海外数据使用权明确法》。顾名思义,它赋予了美国执法机构跨境调取数据的权力。
CLOUD法案是特朗普政府在2018年3月颁布的,当时微软和美国司法部正在进行长达5年的诉讼“赛跑”。
美国政府以毒品贩运案为由,要求微软交出涉嫌贩毒者在爱尔兰服务器上的电子邮件。但该搜查令被微软拒绝,理由是检索电子邮件违反爱尔兰的隐私法。
微软不光拒绝,还给美国司法部出主意,建议美国司法部利用两国签订的条约直接与爱尔兰当局谈判。
双方“拉扯”5年后,国会通过了明确美国数据主权的CLOUD法案,这相当于给美国司法部提供了海外数据调取指南。
“长臂管辖”遵循的原理是“最低联系”。任何个体或企业,哪怕不是美国籍或美国公司,只要和美国有一丝一毫联系,美国司法部就可对其发布审查或逮捕令。
这种最低联系包括:在美国上市、在美国设立数据中心、使用美元交易、用美国公司的邮箱、产品含有美国生产的元器件等等。而一旦进入长臂管辖范围,美国司法部门就拥有极大的自由裁量权。
所以美国法律杂志《国家法律评论》提示,在异地和海外存储数据的公司,需要谨慎评估该法案带来的风险。
它指出,CLOUD法案的通过预示着,美国执法部门获取第三方(如云服务商)在海外存储的数据的权力,并且在未来,该法案还可能被用于获取非通信数据。该杂志建议公司考虑云存储策略。
这让我们不禁为中国的云计算厂商捏一把汗。
以阿里云为例,阿里云从2014年开始在海外部署数据中心,到目前为止有22个(截至2020年3月)。其中13个在亚太地区,4个在美国,剩下5个在欧洲和中东。
如果美国借因对阿里云实施长臂管辖,那后者将遭受不小损失,客户也会因为考虑数据安全问题转而选择本土云服务商。
图:阿里云拥有的国际数据中心,来源:阿里云官网
数据安全是块砖,哪里需要哪里搬。对美国来说,数据安全就是块有用的“砖”,动辄指控企业威胁国家安全。
其他国家也对数据安全拉起了警戒线。欧盟在2018年5月开始实施《通用数据保护条例》(GDPR),被称为史上最严的隐私数据保护条例。它的条款规制了美国谷歌、Facebook等公司在欧洲地区的数据收集、存储和使用。
2019年1月,法国监管机构就依据GDPR对谷歌重罚,开出了5000万欧元(约合3.8亿元人民币)的巨额罚单,理由是谷歌在向用户定向发送广告时缺乏透明度、信息不足,且未获得用户有效许可。
第二个被罚的是Facebook,它因违反意大利消费者法律被处以两笔罚款,总计1000万欧元(约合7777万元人民币)。另外,苹果、推特、微软都因数据违规被欧盟各国列为监管对象。
图:Facebook因违反GDPR被罚,来源:internalaudit360
除了上述国际公司,云服务商因为自身收集、存储用户数据的特性,也是GDPR的主要监管对象。
在美国CLOUD法案出台后,欧盟曾讨论过该法案和GDPR之间对云服务商的相互作用。欧洲数据保护委员会EDPB和欧洲数据保护监督员EDPS认为,只有在非常有限的情况下,云服务商才需要响应CLOUD法案。
因为GDPR第48条明确规定,除非根据《司法协助条约》(MLAT)作出规定,否则外国法院的命令或行政机关的决定将不会在欧盟自动得到承认和执行。
尽管云服务商不必响应美国法案,但欧盟还是决定自建“云上欧洲”。
德国和法国在2019年10月推出Gaia-X项目,该项目由政府支持,开发欧洲云基础设施,帮助当地供应商与主导全球云市场的美国科技巨头竞争。
在欧盟之外,印度和泰国也提出了数据本地化,要求外国企业将本国用户的数据存储在本地。
在各国都积极进行数据保护的背景下,在海外展业的中国公司或中国云厂商更应该谨慎行事。除了严格遵守当地法律,在面对无端指控和质疑时,要敢于拿出强硬的态度维护合法权益。