中國國家互聯網應急中心發佈的數據顯示，2021年10月，網站安全方面，中國境內被篡改網站數量為9532個，較9月增長近3成;境內被植入後門的網站數量為2932個，較9月增長2.4%。 按網站類型統計，被植入後門數量最多的是. COM功能變數名稱類網站。 按地區分佈統計，被植入後門的網站數量排名前三位的分別是北京市、廣東省和浙江省。

問題可能遠不止於此。 10月，木馬或殭屍網路惡意活動情況方面，中國境內近442萬個IP地址對應的主機被木馬或殭屍程式控制，與9月相比增長4成。 按地區分佈感染數量排名前三位的分別是廣東省、江蘇省和河南省。

數據安全問題仍在不斷發生。

11月8日，美國一款應用程式Robinhood有關負責人表示，一名入侵者上周（11月3日）進入了該公司的系統，盜竊了數百萬用戶的個人資訊。 包括大約500萬使用者的電子郵件位址外洩，另外200萬使用者的全名外洩。 入侵者還獲取了超過300個使用者更廣泛的個人資訊。

Robinhood經過調查後在其官網宣稱，「我們仍然認為該清單不包含社會安全號碼、銀行帳號或轉帳卡號碼，並且沒有因事件給任何客戶造成經濟損失。 ”

個人資訊作為數據安全的重要表現，Robinhood的這次個人信息洩露事件只是數據安全問題的一個縮影。 因為不僅公司、機構內部存在洩露風險，外部攻擊也是數據安全問題的重要威脅。

針對潛存的數據安全問題，我國先後頒布實施了相關法律。 11月1日，《中華人民共和國個人信息保護法》正式實施。 全國人大常委會法工委經濟法室副主任楊合慶解讀稱，個人信息保護法確立了個人資訊處理應遵循的基本原則，構建了以”告知-同意”為核心的處理規則，規範個人資訊處理行為，為個人資訊的利用提供了公開、透明、可預期的法律環境。

其實，面對無處不在的網路數據安全風險，我國近年來先後頒布出臺了相關的法律法規。 比如今年9月1日，《中華人民共和國數據安全法》正式實施。 4年前，《網路安全法》已開始實施。

作為重要的風險源頭，那些掌握著大量數據的互聯網公司、快遞公司、金融科技公司等面對實施的新法是否準備好了？ 做好風險防範可能面對什麼挑戰？

“缺乏數據安全意識”

王岩飛是北京市京師（深圳）律師事務所聯合創始人、數據合規研究院執行院長。 他接觸的客戶有頭部的平台企業，也有中小規模的互聯網企業，以及一些實體企業。

王岩飛告訴新京智庫，他們最近接了一家製造業上市公司的新專案，這家公司涉及的個人信息數據量非常少，主要是內部員工的資訊，但這家公司提出一定要做好個人資訊保護的合規工作，”他們的合規意識很強，但有一點過於擔心了”。

實際上，有很多企業，包括一些巨頭的數據合規意識還很淡薄。 這些企業的商業模式運轉了這麼多年，他們粗放式的數據運營和資訊使用模式一時半會也難以改變。 “老闆、高管和公司員工對於個人信息保護的法律認知還沒有到這個程度，這可能與執法還沒有跟上有關”，王岩飛說。

以快遞行業為例，2018年5月1日起實施的《快遞暫行條例》第34條規定，經營快遞業務的企業應當建立快遞運單及電子數據管理制度，妥善保管使用者資訊等電子數據，定期銷毀快遞運單，採取有效技術手段保證用戶資訊安全。

新京智庫觀察發現，有一些快遞公司已將寄、收雙方手機號的中間四位數位隱去，但有一些快遞公司的快遞單仍然顯示詳細的寄、收雙方的手機號碼。

第34條還規定，經營快遞業務的企業及其從業人員不得出售、洩露或者非法提供快遞服務過程中知悉的用戶資訊。 發生或者可能發生使用者信息洩露的，經營快遞業務的企業應當立即採取補救措施，並向所在地郵政管理部門報告。

新京智庫梳理髮現，仍有一些快遞公司的用戶資訊在被販賣。 2021年11月7日《南方都市報》報導，該報記者通過一款即時通訊軟體聯繫了多位買家，其中一名叫”橘子”的人報價，實時面單超過1000張每張價格3.5元，精品面單每張4元;而歷史面單隻收車載、童裝童鞋、化妝品類的，每張1.5元。

另一名叫「悟空」的賣家聲稱，他手裡有幾十萬歷史快遞面單，貨源是一家物流「雲倉」;為了證明自己的實力，他還給記者發了一份文檔，裡面按照化妝品、母嬰、服裝等進行分門別類，其中包括上百位消費者的姓名、所購商品、家庭住址和電話號碼等隱私資訊，甚至還有商品的價格。

中國政法大學傳播法研究中心副主任朱巍對新京智庫表示，《個人信息保護法》施行前，加密、去標識化的隱私面單還可以視為行業內的宣導，但隨著該法的生效，加密、去標識化等安全技術措施已經成為快遞平台必須履行的法定義務，因此隱私面單功能就必須強制推行。

中國科學院大學網路空間安全學院教授張銳告訴新京智庫，其實技術上完全可以做到，只需要在原始程式碼中加入若干行相關程式碼而已，而且”真的很簡單”。

現實是，「大老闆認識不到，這事肯定做不好」，廣東工業大學計算機學院特聘教授劉文印告訴新京智庫，企業如何在管理過程中加強對公司數據、員工數據、產品用戶數據的合法以及綜合管理，有時會發現投入大量人力資源可能有些問題也無法解決。

代碼裡的「貓鼠遊戲」

新京智庫梳理髮現，隨著《個人信息保護法》的生效，幾乎所有App、網站都更新了”隱私政策”——都有彈出相應彈窗需要使用者按下”同意”鍵。 尷尬的是，很多人可能是直接選擇”同意”，而不會花時間去閱讀這些網站或App的隱私政策到底都是什麼內容。

“我也不看。 因為你不同意的話他就直接退出，無法’正常使用'”，上海大邦律師事務所高級合夥人游雲庭告訴新京智庫，使用者看不看是使用者的事情，但應用開發運營者必須告知使用者權利義務，這是他們的責任。 由於商業模式的多樣性，這種事情也沒法特別簡化，現在的模式應該說，是目前情況下可以做到的比較好的方式。

新法實施下，企業該如何做到「無瑕疵」守法還存在類似的技術難題。 劉文印表示，我國頒布的《個人信息保護法》被外媒稱為”世界上最嚴格隱私法之一”。 在此之前，歐盟《一般資料保護規範》（GDPR）被稱為史上最嚴的隱私法。

《個人信息保護法》規定，收集和處理個人資訊應取得個人的充分同意，在23、29、39條中，共5種特殊場景中，要求”取得個人的單獨同意”，給使用者充分的”知情權”和”決定權”，個人有權要求演算法說明具體資訊，有權知道兩個第三方之間在用”我個人的什麼資訊，沒有我個人授權，他們之間無權使用我的個人資訊”。

“很多場景下，獲取’單獨同意’是非常困難的”，劉文印表示，是”發郵件，親手簽字，還是要本人認證？ 這些資訊溝通怎麼自動解析？ 精度和效率怎麼保證” 但是，如果使用已經開發的基於「登錄易」的生態系統架構，網站每次都把「單獨同意」的請求發到手機登錄易App，即，可信使用者代理，或個人資訊管理終端，用戶點擊”同意”后，就帶著目的地網站的帳號密碼去調用部署在目的地的API（應用程式介面），目的地網站收到后，驗證賬號密碼”對”就表示確實是使用者本人”同意”，很容易自動完成。

劉文印表示，如果「拒絕」，甚至可以自動投訴到監管機構。 如果在登錄易中設置自動授權”同意”的條件，自動檢查資訊請求是否滿足，就可以自動授權，提高效率，同時留下”單次通知知情-單次同意”的日誌記錄，作為證據。

然而，「很多企業還不知道如何才能自動合規，實現上述規則，尤其是單獨」同意『的規則在實踐中如何落地」，劉文印表示，因為這是一個全新規則，比普通的”同意”更難獲得，需要有單獨的通知，讓使用者知情，並明確授權”同意”，不能一開始在使用者協定或隱私政策一次性打鉤就算永久”同意”，”授權”了。

因為數量上加上技術上客觀存在的難題，遊雲庭介紹，多數情況下，互聯網公司會做「踩線」的事，比如在產品設計時就把它設計成一個容易混淆，方便他們在接受審

查時有退路的架構，處理成一個看似合規合理的模式。

為什麼這麼做？ 遊雲庭表示，因為這涉及一個監管部門的審計能力問題。 因為目前我們的監管機構缺乏相應的審計能力，即如何判定互聯網公司的某個設計是否違法，或者一旦發生數據安全違法事件，如何判定違法還需要查看相應的產品設計方案及程式源代碼。

“如果要加強執法的話，其實要提升相應的數據審計能力，這個成本由誰來承擔”，遊雲庭表示，如果由平臺公司承擔，那就變成了一個”貓鼠遊戲”，把”老鼠”都抓光了，”貓”也就不用活了。

數據出境到底怎麼出

一個可能更為棘手的問題是，涉外企業的數據出境問題該如何解決？

王岩飛介紹，他所感受到的是，企業對於數據出境問題還是有很多急需法律普及的盲點。 “很多企業暫時不知道怎麼做，而且有的是跨國公司”。

作為高校教師，劉文印所在的網路安全圈子也經常遇到來自企業界的類似困惑。 因為很多境內外都有業務（或者國內運營，使用者主要在境外）的公司就會遇到”數據出境”和”個人信息保護”的雙重問題。

涉及這類業務的不僅有外資企業，還有中資企業，比如在境外設有子公司的，或境外只有貿易業務的。 以外資企業為例，國家統計局《中國統計年鑒2021》的數據顯示，2020年，我國共有外商投資企業戶數總計63.54萬家，同比增長1.3%。

隨著數字經濟全球化的推進，數字貿易日益成為區域經貿協定的重要內容，我國數位貿易金額也越來越大。 商務部的數據顯示，「十三五」時期我國數字貿易額由2015年的2000億美元增長到2020年的2947.6億美元（約合人民幣2萬億元），增長47.4%，占服務貿易的比重從30.6%增長至44.5%。

“比如，有一家叫’XX思維’的在線教育App，因為收集了太多個人資訊，三天兩頭收到監管部門的通知整改”，劉文印說，因為該App的不少使用者在境外，不僅要符合中國的法律，海外也得合規，包括符合歐盟GDPR的規定。

對於金融企業來說，也有一些問題亟待解決。 王岩飛介紹，金融企業不僅要履行反洗錢法律責任，如果某家商業銀行是在海外註冊的，不僅要做好反洗錢合規工作，基於其歸屬地的法律，還需要把資訊對沖過去，就又涉及數據出境問題在不同法律之間怎麼協調處理問題。 “我覺得是個難點”。

急需解決的問題不僅於此。 遊雲庭表示，當企業在為數據出境感到困惑時，我們的監管部門力量還無法匹配。 即當所有涉及數據出境的企業都要求到監管部門備案時，監管部門能否都及時審批過來？ 如果不能，那企業數據出境業務怎麼開展？

遊雲庭表示，新法普及確實增加了企業運營成本，而且部分企業也出現了一些恐慌，尤其是做境內外投資的。 現在找他們律師諮詢或做合規工作的是還有錢的企業，如果本身就是微利經營，手裡沒有現金流的企業，”它可能就不做了”。

企業做好數據合規面臨的挑戰

面對新規，企業做好個人資訊保護，數據合規又可能面臨哪些挑戰？

上市公司索信達控股有限公司（下稱”索信達”）數據管理領域專家韋海晗告訴新京智庫，新監管趨勢及行業趨勢對數據安全管理提出了更高要求，但像銀行業要做好數據安全工作還面臨不小的挑戰。 比如，要求管理內容更豐富，具體體現在非結構化數據納入管理範疇、客戶隱私數據保護成為重點、數據安全分級管理成為必要、海量數據脫敏比較關注、分散式的基礎設施災備、更多相關的法律法規保證等。

同時，對金融公司也提出了更高的管理能力要求。 韋海晗介紹，比如對數據安全要求更高，數據洩露影響也更大，面對海量的數據進行全面的安全分級管理。 一些新的大數據產品對於數據安全設計存在缺陷，更多依賴於企業自身數據安全管理能力，分散式的災備和恢復要求也越來越多。

如果管理能力沒有相應”升級”可能面對的就是管理成本急劇上升。 IBM公司今年7月底發佈的《2021年數據洩露成本報告》數據顯示，數據洩露的平均成本從上一年度的386萬美元上升到424萬美元，同比增長近10%。 這是近七年來最大的單年成本增長。 也是IBM發佈該報告17年來的最高成本。

該報告進一步指出，與無關遠端工作的數據洩露相比，與遠端工作有關的數據洩露事件的平均成本高出107萬美元。 因遠端工作而導致數據洩露的企業百分比為17.5%。 此外，與遠端工作人員最多為50%的組織相比，遠端工作人超過50%的組織識別和遏制數據洩露事件所需的時間要多出58天。

從行業來看，該報告指出，醫療保健行業的數據洩露平均總成本從2020年的713萬美元增加到2021年的923萬美元，增幅近3成。 醫療保健行業的數據洩露成本連續11年位居首位。

“這就要求管理技術也要更先進”，韋海晗說，比如利用大數據技術獲取企業不同類型的安全數據，識別潛在的數據安全風險和威脅，非結構化數據的安全保護策略和技術實現方案，分散式的數據加密技術、數據脫敏技術，以及更全面、靈活的數據文件訪問技術，基礎設施災備和恢復技術等。

因而，韋海晗認為，數據安全管理的工作是貫穿於整個數據管理體系之中的，關係到整個數據管理體系的搭建。 從整個數據管理角度看，數據安全管理工作包括數據安全管理標準、數據安全事故處理、數據安全分級、數據安全審計。

“數據安全分級是數據安全管理體系構建的重點核心，數據分類又是數據安全分級的基礎和依據”，韋海晗建議，在系統技術支撐上，可以將數據安全分級管理體系嵌入到類似元數據平臺、數據資產管理平臺上去做。

而張銳表示，很多平台企業，即便是科技企業在技術上的投入還是太少，他們的系統也沒有太先進。 很多公司實際上的先進技術研發人員遠沒有他們所宣稱的那麼多，”可能是幹體力活的居多”。

企業在做好數據合規工作時不僅內部，外部也同樣面臨挑戰。

遊雲庭表示，在《數據安全法》和《個保法》等新的法律規範生效之下，執法能力不強也在一定程度上限制了企業的發展。 比如，有的企業有數據跨境需求，但當他們諮詢或者請相關部門予以指導時，相關部門告知”這塊暫時不管”，因為這是”優化營商環境”的範疇。

遊雲庭介紹，這是他在《數據安全法》生效后兩三天遇到的真實經歷。 他認為，這說明相關的監管部門不能說沒有準備，而是新法生效后，一下子湧現那麼多企業需要辦理數據合規的相關業務，他們受理不過來。 “他們也不會去接（企業）鍋的，萬一你（企業）這些數據有問題呢？”

企業要有國家安全思維

那企業該如何做到合規經營？

中國資訊通信研究院互聯網法律研究中心主任方禹向新京智庫表示，企業首先要強化數據合規意識。 《個人信息保護法》所構建的很多規則，在一定程度上是對企業進行”補課”，過去”重發展、輕保護”的經營思路需要做較大調整，而調整的起點就是個人資訊保護意識的形成和強化。

“還要持續合規”，方禹說，個人信息保護本身具有動態性，合規也是一項持續性動作，企業確定個人資訊保護總體框架后，需要結合技術發展、業務變化等持續開展合規工作，以符合個人資訊保護的安全狀態。

從技術操作層面而言，劉文印建議，企業需要優先梳理、盤點自己的數據資產。 首先要知道自己都有什麼（數據），才能有針對性地提出管理和合規的策略。 同時，通過合規性檢測來確定自身的問題點，然後再制定適當的、有效的治理手段和風險管理方式和目標計劃，從而有效執行實現合規化。

“網络安全治理和風險管控每一個步驟都是為了減少安全威脅”，劉文印認為，企業經過有效的梳理後進行集中治理並定期不斷循環升級，從而形成一種生態模式。 網路安全的鏈條很長，主要涉及三個要素，即人員、流程和技術。 因此，企業在培訓和優化流程時，也需要在技術上提高，特別是著重提高可以優化、減少人員犯錯流程的技術和能自動執行合規的技術。

對於金融機構而言，索信達的數據治理專家魏強向新京智庫表示，需建立個人資訊保護的制度體系，明確工作職責，規範工作流程，完善IT系統，設計並實施覆蓋個人資訊全生命週期的安全保護策略，需要從敏感個人金融資訊的收集、傳輸、存儲、使用、刪除、銷毀等處理的整個過程採取措施進行全生命週期的保護。 比如遵循明確和最小必要原則對個人資訊收集進行規範;採用加密等安全措施傳輸和存儲個人敏感資訊，避免洩露等”

王岩飛認為，做好新時代下的數據合規，企業還需樹立兩種思維。 首先是樹立國家安全思維，這對很多企業來說都是非常重要的，但是大部分企業都沒有。 因為平臺企業採集的信息，不僅包括用戶個人資訊，還可能包括天氣、地理等數據，只有樹立了國家安全思維，才能在數據出境工作中不踩國家安全”紅線”。

其次是樹立刑事風險的思維。 很多企業家可能都會想，如果可以賺10億元，但只罰3000萬元，那他就願意去冒違法的風險。 但是他們忽略了一個問題，就是《刑法》中有好幾個涉及個人資訊保護、數據安全的罪名。

有些違法行為可能就不只是罰錢了事，「我們去年接手的幾起刑事案件，就是金融企業各板塊的員工相互導數據，他們完全沒有意識，認為這是合理的」，王岩飛說。

北京大學法學院教授薛軍向新京智庫表示，企業在遵守《個人信息保護法》，包括《數據安全法》的過程中，需要有一定的意識，即促進統一的執法標準的形成，比如一些指導性意見或行業準則的出臺。 這樣才能使得大家在一個”水位線”上，在同等的、合規的標準上來展開競爭，這樣才能真正促進行業的健康、良性發展。 “特別是在個人信息保護的合規監管力度、標準的拿捏上，是不是能夠實現一體的、統一的執法標準”。

方禹建議，從監管角度來說，行政指導就尤為重要。 大多數國家和地區都組建了個人資訊保護專門機構，其關鍵作用之一是對個人資訊保護進行指導。 行政指導的相對柔性，能夠與法律的相對剛性實現有機結合，促進個人信息保護複雜性的解決。 基於指導經驗，將一些成熟的做法、普遍接受的做法固化為監管細則。