原标题:滴滴们遭遇安全审查 问题来了:区块链如何为数据安全保驾护航?
滴滴出行在美国刚刚“低调”上市,国家网信办的安全审查就接踵而至。7月4日,国家互联网信息办公室通报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题,已通知应用商店下架该APP,要求滴滴出行认真整改。
消息一出,就引起社会各界的广泛关注和讨论。滴滴出行究竟犯了哪些错?能否安全渡劫?《数据安全法》的颁布实施,又将为区块链企业带来哪些发展机遇?
网络安全审查将成为常态
6月30日,滴滴出行在美国纽交所正式挂牌上市,股票代码为“DIDI”,发行定价为14美元/ADS。滴滴首日开盘价为18美元/ADS,较发行价上涨28.5%。或受网安审查事件影响,滴滴股价连日下跌,目前价格为15.53美元/股。
对于网络安全审查,滴滴出行回应称,滴滴将积极配合网络安全审查。审查期间,公司将在相关部门的监督指导下,全面梳理和排查网络安全风险,持续完善网络安全体系和技术能力。
事实上,此次遭遇安全审查的不止滴滴出行一家。
7月5日,网络安全审查办公室发布公告,为防范国家数据安全风险,维护国家安全,保障公共利益,对“运满满”、“货车帮”、“BOSS直聘”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“运满满”、“货车帮”、“BOSS直聘”停止新用户注册。
滴滴出行们究竟犯了哪些错?为什么会被进行网络安全审查?
“包括滴滴等本次被提出审查的公司,都是6月在美国上市的公司。我专门查看了滴滴公司的招股说明书,按照美国境外上市公司信息批量制度要求,滴滴公司承认存在数据安全风险。”清华x-lab数权经济实验室主任钟宏向《链新》表示。
招股书中明确表明,滴滴拥有大量数据,并因此成为网络攻击的重要对象,虽尽量符合数据伦理与所在国的网络及数据安全法律法规要求,实施了技术及制度措施,但公司无法确保数据安全保护措施的 安全性。
伴随着2020年6月1日《网络安全审查办法》实施,和今年9月1日即将实施的《数据安全法》,我国全面加强网络安全与数据安全,以保护国家数据主权和数据安全。
“因此,面对在美上市企业进行依法依规审查与监管,将成为常态。”钟宏向《链新》表示。
匿名匹配技术可解决难题
“实际上,无论是客户数据还是道路数据,滴滴即便‘可用不可见’,也 不影响平台现有的服务功能,因为平台的核心是算法调度,只要给到数据即可获得最优解,能否拿到数据并不重要。对于打车业务本身来说,滴滴无需知道这个用户是谁,只要知道他能否支付、起始位置和终点位置即可。”宇链科技CEO罗骁向《链新》表示。
罗骁认为,在可信的隐私计算的环境下,客户完全可以只需在调度智能合约进行付款,再由智能合约按分成比例转给司机和平台方足矣,全程匿名对业务不会有任何影响。
值得关注的是,网络安全审查的适用对象为关键信息基础设施的运营者。这意味着要启动网络安全审查,其主体必须符合该要求。根据滴滴出行的行业属性,其属于公路水路运输行业领域的关键信息基础设施的运营者。
罗骁认为,道路数据确实是不可缺少的信息基础设施,但是数据发挥的作用,并不需要平台“知晓”该数据为基本前提。“在隐私计算框架下,道路数据完全可以封装为一个独立的数据库,提供API接口,算法根据客户请求,快速匹配就近车辆、计算优化路径,预估时间和价格等等。”
“只要国家法律要求这部分数据不得泄露,道路数据服务可成为独立封闭的数据库,用区块链的术语来说,就是将数据所有权直接上交国家相关部门,提供相应的数据接口,所有平台均可以成为应用方。这个也是‘可信不可见’的基础逻辑。”罗骁表示。
罗骁坦言,依靠“可信第三方”的方式获取数据,会带来一定的数据效率折损,但不影响业务本身。“‘可信第三方’更像是数据存储方和提供者,更应该由国家部门或者机构担任,可能会完全变革当前平台的商业模式。”
无论是社交媒体平台还是应用型平台,都是依靠用户数据带来的广告收入为主,如果数据丧失则意味平台失去“数据垄断”的壁垒,进而带来更好的充分竞争,也会涌现更多滴滴、支付宝类似的企业,带来更高质量的服务和体验。
数据确权和维权是全球化挑战
“数据作为新的生产要素,其开发利用和流通交易,必须以保护数据安全、维护数据主体权益为基本准则,但数据权属确认与权益保护对全球而言都是新的挑战。”钟宏向《链新》表示。
从追求利润的角度,企业希望数据的开发和利用最大化。但现实中,数据产权边界不清晰,数据产权的权利范围和利用规则也不甚明确。
“数据确权和维权是无法回避的问题。”国研智库科学园数权经济创新发展中心运营负责人黄蓉向《链新》表示,当前,国内有很多对于数据流通交易的探索,如通过可用不可见的技术来进行数据流通等,短期内对于促进数据流通起到了积极的作用,但仍然不能解决根本问题。
据黄蓉了解,一些积极创新的数据交易所也提出来对数据资产进行登记,主要思路是探索通过一些技术手段,建立数据的排他性,及与主体的对应关系等。但是,技术层面的登记不等于确权,技术的规则如果不能与法律衔接,无法受到法律的认可和保护,是无法实现确权和维权的。
当前,现有法律和即将实施的《数据安全法》尚未对数据权属和权益进行明晰,地方法规正在做有益的探索。
黄蓉认为:“未来,通过立法来明晰还需要一些时间。但是,司法力量始终存在。”
根据最高人民法院的指示精神,互联网法院积极确立完善互联网新兴领域裁判规则,对数据权属与交易、算法规则等前沿司法问题做出积极回应,妥善处理纠纷维护个案公正,确立司法规则,明确权利义务,规范产业发展。
“发挥好司法力量,将为破解当前困局,促进数据要素市场爆发发挥至关重要的作用。”黄蓉向《链新》表示。
《数据安全法》将于9月1日正式实施,据了解,该法是数据安全领域最高位阶的专门法,它基于一个总体的国家安全观,把数据的主权纳入了国家主权的范畴。
“伴随《数据安全法》出台,数据安全利用、个人信息保护、算法伦理审查与市场反垄断监管都需要科技工具与治理方案的支撑。”钟宏向《链新》表示。
《数据安全法》对数据有明确的定义,数据是指以电子或者其他方式对信息的记录。按照此定义,目前一些基于区块链的数字资产应当属于《数据安全法》调整的范畴。
6月27日,数据权益保护课题组发起了“司法保护链”启动共建仪式,该课题组由清华x-lab、北京互联网法院、国网区块链科技公司等共同组建。
“司法保护链是构建我国数据资产确权与流通保障体系的科技基础设施,同时,也是政府部门、行业组织开展数据要素全生命周期安全监督,促进数据有序流通,鼓励数据合规利用的技术平台。”钟宏表示。
据介绍,“司法保护链”采用区块链跨链技术,链接北京互联网法院“天平链”、国网区块链司法鉴定中心“国网链”及全国仲裁、公证处等司法机构,各方基于数据交易格式合同,签署数据开发利用的数字合同并在链上司法存证,一旦发生数据侵权和纠纷,可以启动一键立案、快速仲裁等裁决流程,有效降低数据安全合规成本和维权难度。
“司法保护链是整合司法力量、技术力量、生态力量的科技治理体系,通过专家研究,将数据要素市场的市场规律、行业规范、法律规则进行统一,形成数据交易格式合同在链上签署、存证,并链接法院、仲裁机构,形成纠纷处置机制,从而为数据资产的确权、维权提供强有力的支撑。”黄蓉表示。