文章图片

资料图 。 图/unsplash
中国国家互联网应急中心发布的数据显示 ， 2021年10月 ， 网站安全方面 ， 中国境内被篡改网站数量为9532个 ， 较9月增长近3成；境内被植入后门的网站数量为2932个 ， 较9月增长2.4% 。 按网站类型统计 ， 被植入后门数量最多的是.COM域名类网站 。 按地区分布统计 ， 被植入后门的网站数量排名前三位的分别是北京市、广东省和浙江省 。
【公司数据合规到底难在哪】问题可能远不止于此 。 10月 ， 木马或僵尸网络恶意活动情况方面 ， 中国境内近442万个IP地址对应的主机被木马或僵尸程序控制 ， 与9月相比增长4成 。 按地区分布感染数量排名前三位的分别是广东省、江苏省和河南省 。
数据安全问题仍在不断发生 。
11月8日 ， 美国一款应用程序Robinhood有关负责人表示 ， 一名入侵者上周（11月3日）进入了该公司的系统 ， 盗窃了数百万用户的个人信息 。 包括大约500万用户的电子邮件地址外泄 ， 另外200万用户的全名外泄 。 入侵者还获取了超过300个用户更广泛的个人信息 。
Robinhood经过调查后在其官网宣称 ， “我们仍然认为该列表不包含社会安全号码、银行账号或借记卡号码 ， 并且没有因事件给任何客户造成经济损失 。 ”
个人信息作为数据安全的重要表现 ， Robinhood的这次个人信息泄露事件只是数据安全问题的一个缩影 。 因为不仅公司、机构内部存在泄露风险 ， 外部攻击也是数据安全问题的重要威胁 。
针对潜存的数据安全问题 ， 我国先后颁布实施了相关法律 。 11月1日 ， 《中华人民共和国个人信息保护法》正式实施 。 全国人大常委会法工委经济法室副主任杨合庆解读称 ， 个人信息保护法确立了个人信息处理应遵循的基本原则 ， 构建了以“告知-同意”为核心的处理规则 ， 规范个人信息处理行为 ， 为个人信息的利用提供了公开、透明、可预期的法律环境 。
其实 ， 面对无处不在的网络数据安全风险 ， 我国近年来先后颁布出台了相关的法律法规 。 比如今年9月1日 ， 《中华人民共和国数据安全法》正式实施 。 4年前 ， 《网络安全法》已开始实施 。
作为重要的风险源头 ， 那些掌握着大量数据的互联网公司、快递公司、金融科技公司等面对实施的新法是否准备好了？做好风险防范可能面对什么挑战？
“缺乏数据安全意识”
王岩飞是北京市京师（深圳）律师事务所联合创始人、数据合规研究院执行院长 。 他接触的客户有头部的平台企业 ， 也有中小规模的互联网企业 ， 以及一些实体企业 。
王岩飞告诉新京智库 ， 他们最近接了一家制造业上市公司的新项目 ， 这家公司涉及的个人信息数据量非常少 ， 主要是内部员工的信息 ， 但这家公司提出一定要做好个人信息保护的合规工作 ， “他们的合规意识很强 ， 但有一点过于担心了” 。
实际上 ， 有很多企业 ， 包括一些巨头的数据合规意识还很淡薄 。 这些企业的商业模式运转了这么多年 ， 他们粗放式的数据运营和信息使用模式一时半会也难以改变 。 “老板、高管和公司员工对于个人信息保护的法律认知还没有到这个程度 ， 这可能与执法还没有跟上有关” ， 王岩飞说 。
以快递行业为例 ， 2018年5月1日起实施的《快递暂行条例》第34条规定 ， 经营快递业务的企业应当建立快递运单及电子数据管理制度 ， 妥善保管用户信息等电子数据 ， 定期销毁快递运单 ， 采取有效技术手段保证用户信息安全 。