小鵬汽車被罰揭開冰山一角 資料安全治理仍存卡脖子難題

近日，有多位消費者在黑貓投訴平台投訴小鵬汽車不能及時傳遞。例如一位消費者稱其于 2021 年 10 月預定小鵬 P5 460G 版本并繳納 5000 元定金，簽署購買協定，雖然銷售人員告知 11 月底或 12 月交車，但直到 2022 年 1 月 18 日才被告知配車。

這已是最近小鵬第二次成為熱門話題。

去年底，上海小鵬汽車銷售服務有限公司被徐彙區市場監督管理局罰款10萬元，處罰事由為，當事人購買具有人臉識别功能的攝像裝置22台安裝在旗下門店，以此統計進店人數并分析男女比例、年齡等。

市場監管部門的處罰決定書顯示，2021年1月至6月，小鵬汽車共采集上傳人臉照片431623張。該行為未經得消費者同意，也無明示、告知消費者收集、使用目的，違反消費者權益保護法。

這隻是資料安全隐患的冰山一角。

随着大陸數字經濟飛速發展，各類資料迅猛增長、海量聚集，相伴而生了一些新問題：點開手機上的App，使用條款中潛藏着個人資訊過度收集的風險；從網絡購物到旅行交通，使用者被大資料精準畫像；木馬病毒等造成的資料洩露帶來不勝其煩的騷擾電話、短信……

不難發現，由資料帶來的安全漏洞讓人防不勝防，而資料安全治理仍存技術硬體弱、相關标準缺乏等卡脖子難題。

安全保護較初級

随着各方對資料的挖掘和應用變得越來越頻繁，資料安全也出現了一系列問題。比如，誰搜集、誰分發、誰利用，權利和義務是什麼？企業到底是在提供服務還是打擾使用者，甚至危害使用者相應的權益，一度分不清楚。

針對上述被罰情況，小鵬汽車回應表示，“此次事件，事出上海區域的門店希望通過對于門店客流等資料的收集與分析，改善接待流程，更好地服務于到店客戶，但由于對相關法律條款的不熟悉，誤采購并使用了違反相關法律條款的第三方供應商（悠洛客）的産品。小鵬汽車對本次行政處罰表示完全服從，并對此事做出深刻檢討。”

另據《人臉識别應用場景合規報告》顯示，近半數受訪者認為人臉識别有被濫用趨勢，約八成受訪者傾向于政府設立監管機構或通過法律法規和國家标準減少風險。從年齡次元來看，随着年齡增長，使用者對于人臉識别的信賴呈現出“沙漏”特征——年齡較小和較大的受訪者普遍更不信任人臉識别。

“大陸企業的資料安全保護水準仍處于初級階段，呈現出兩個特征。”浙江大學網絡空間安全學院院長、教授任奎介紹，首先，多種資料安全防護技術快速發展，部分技術仍處于研發狀态。比如，數字血緣追蹤技術、資料字段打标簽技術等目前尚不成熟，對業務營運的影響有待進一步研究，大規模落地應用尚需時日。其次，相關領域的制度标準亟須制定，常态化監管機制有待完善。比如在資料加密、資料脫敏方面，對于資料脫敏的方法、流程以及效果等均尚未形成統一标準，各企業了解存在較大偏差，資料安全技術手段應用落地效果無法保障。

一些公司企業自身對于資料防護意識不高，防護手段不足，遇到從業人員操作失誤或者網絡攻擊就容易洩露資料資訊。根據IDC的調研報告顯示，目前一半的資料儲存在企業自身的資料中心或者租用的第三方資料中心，有22%儲存在雲服務商資料中心，19%儲存在邊緣資料中心。随着大陸資料中心使用增加，資料中心能耗大、效率低的問題日益突出，同時由于資料交換更加頻繁，核心業務資料、個人隐私資料保護等也面臨更多安全風險。

顯然，發揮資料作為生産要素的巨大價值，最大的挑戰就是如何從資料資産安全保護提升到資料使用和資料流傳的安全防護。CBC寬帶資本合夥人楊志維表示，如果說資料資産安全是資料安全的1.0階段，是資料的存儲和傳輸安全，“資料使用安全”就是2.0階段，誰在使用資料，以及使用者在資料使用過程中是否存在違規或越權。随着資料在不同使用者和不同機構間流動，資料安全也随之進入“資料流動安全”的3.0新階段。此時需要解決資料在不同使用者、不同機構之間流轉過程中的個人資訊和機密資訊的安全問題，才能真正發揮資料價值的有效利用。

大資料殺熟何時休

算法的優化和技術的進步，本應用于為消費者提供更精準更高效的服務。但在網際網路世界中，一些經營者利用算法的高技術性和高隐蔽性，采用歧視性的算法比對侵犯消費者的權益。從市場地位次元來看，大資料殺熟是經營者濫用市場支配地位的不平等交易。

電商、打車、外賣等網際網路行業是大資料殺熟的重災區。最初，引人争議的是購買同樣規格型号的産品，使用相同商家相同距離的服務呈現不同價格，客戶消費頻率越高、對産品黏性越大則需要支付相對更高的費用，這一亂象令人苦不堪言。

目前，發生大資料殺熟的網際網路平台多是在市場上占有較多份額、在一些特定服務行業内具有相對優勢的企業。同濟大學經濟與管理學院徐濤表示，反壟斷問題一直是對網際網路平台監管的焦點。正常情況下，對于實施大資料殺熟的企業，消費者感覺到其殺熟行為後可以選擇其他平台。但一旦實施大資料殺熟的企業形成市場支配地位，消費者就無法選擇，隻能被迫繼續使用其産品或服務。

特别是線上平台所制定的異常複雜的銷售政策，通過多達上百種的價格組合使得普通消費者無法厘清實際的合理價格。在此情況下，消費者舉證難就會影響維權信心，有可能花了很長時間也無法取得有力證據。再加上一些執法者對這種新型違規行為缺乏了解和相關經驗，就會影響此類案件的受理和辦理，結果會造成反殺大資料殺熟停留在文本上。

複旦大學軟體學院副院長韓偉力表示，大資料殺熟本身就是利用各種這個消費資料，把消費資料形成标簽，這種殺熟做法在網絡商品交易裡面比較難識别，且會破壞交易的公平性，破壞了社會的公平。

要對消費者進行“計算”，必須要獲得足夠的消費者資訊。據介紹，平台對消費者資訊擷取方式仍需要完善。當下平台主要采取格式合同的方式來獲得消費者的資訊采集和使用許可，而這些合同内容複雜、條款衆多，如果不能一攬子接受格式合同則不能獲得平台服務。是以，對資訊擷取的格式合同，有關方面重新審查。

市場本身面臨着諸多技術挑戰。“算法本身其實是中立的，如何把算法變得更加善良，需要各方面參與者的共同努力。” 韓偉力說。

企業合規化轉型存難

目前，随着企業數字化轉型程序加快，新技術和新架構的演進也給企業的資料安全帶來更高的要求。

在中國資訊通信研究院雲計算與大資料研究所大資料與區塊鍊部副主任闫樹看來，資料安全監管趨嚴，企業合規難度更新，如何運用有效手段保障資料安全及合規是企業面臨的一大挑戰。

也有業界資深人士分析，目前企業在資料安全方面面臨以下挑戰：首先是資源投入的問題。對于一些業務型的中小企業來說，本身技術投入不足，對資料的合規治理會産生較大挑戰。其次，對于有能力進行合規改造的企業而言，業務部門的傳遞速度和基礎部門因合規建設帶來的延遲也是難以調和的沖突。此外，一些企業的軟體研發人員長期忽視資料安全，進行合規建設之後，會産生一個自以為的“工程師文化”和規範的流程/規則之間的沖突。

據IDC預測，2018年到2025年之間，全球産生的資料量将會從33 ZB增長到175 ZB，其中超過80%的資料都會是非結構化資料。如果說結構化資料是機器可讀的資料，那麼非結構化資料就是人類可讀的資料，由人類活動所産生，包括圖檔、視訊、語音和文字等。

相較傳統的結構化資料和半結構化資料，非結構化資料資料量龐大（總量大3個數量級以上），增長速度更快（每1KB 結構化資料産生的同時，約有1GB非結構化資料産生），并且采集管道廣泛，資料的處理鍊路非常長。這些都給非結構化資料的安全防護帶來挑戰。

上述業界資深人士表示，“非結構化資料的處理有一個核心的沖突點是，資料處理者（業務方）有海量的資料和資料價值挖掘的需求，但這些業務型企業的技術投入往往不足。是以這類企業在建構資料安全解決方案時，需要積極引入整個生命周期内不同角色的解決方案來協同工作。”

“盡管資料安全對企業至關重要，但許多企業對資料安全仍未産生深刻認知，安全措施不到位，未将資料安全置于企業經營的優先地位，這都為企業日後埋下了重大安全隐患。”任奎說。

此外，闫樹還認為，安全與發展并重，企業對于二者的協調經驗相對不足。如何平衡資料使用和資料保護之間的平衡關系，是一個挑戰。待解決的問題包括提升對資料安全重要性的認知，形成常态化的資料安全工作與運作機制；加強資料資産、風險威脅梳理，厘清敏感資料資産，做到有效安全防護；關注人員安全管理，提升全員安全意識，防範内部違規資料通路行為等。

人才力量支撐薄弱

在資料安全人才方面，資料安全後備力量支撐薄弱。“資料安全從業人員大都由網絡與資訊安全人才轉化而來，人才儲備嚴重不足。”闫樹說。

根據《網絡安全産業人才發展報告》（2021年版）顯示，由于新冠肺炎疫情影響，2020年網絡安全行業的人才需求和供給明顯下降。然而，2019年和2021年網絡安全行業的人才需求，較前一年同期相比增幅顯著，尤其是複工複産的後疫情時代，伴随着經濟回溫，企業對網絡安全人才的需求也随之升溫。2021年上半年增幅達到39.87%，反映了網絡安全在各行業的滲透率全面提高，在人才需求結構中的重要性顯著上升。

在網安人才需求持續升溫的人才市場狀态下，網絡安全人才供給雖每年在穩步遞增，但網安人才市場仍供小于求。招聘集團瀚納仕中國執行總監王曉群說，“在相關法律法規相繼落地之後，行業的爆發性發展将更加凸顯甲方企業和乙方供應商在專業人才招聘上面臨的壓力，不僅是在軟體供應商、網絡安全、雲服務、社交媒體等細分行業，随着各行各業數字化程序的加速，如金融科技、生物制藥、出行等行業均面臨安全領域人才的短缺。”

另據《2021瀚納仕亞洲薪酬指南》顯示，網絡安全相關基層從業人員的年薪在30萬元到80萬元區間浮動，薪資水準很可能還會有30%左右的提高空間，但人才儲備不足的情況短期内難以解決。“目前的情況是‘全線缺人’，全線的人才需求都大于供應。”王曉群補充道。

除了人才短缺，行業還存在人才“不好用”的問題，且數字技術的持續進步和實體經濟的數字化改造，離不開掌握數字技術、能夠科學分析處理資料的專業化創新型人才。随着政府與企業對資料安全的要求逐漸提升，對人才能力的需求也水漲船高。

王曉群認為，資料安全和此前的軟體開發很像，将成為市場必不可少的基礎設施行業，未來的崗位也将更為細分化，招聘需求和就業前景在很長一段時間内都将保持熱度。

“面對資料安全的複雜挑戰，政府、企業需要在組織、管理和技術上做出變革，不僅要保障資料安全，而且讓資料安全真正服務和推動市場發展。”楊志維表示。

責任編輯 | 洪宇