滴滴之后,《网安法》下,企业大数据合规路在何方?

中信网安认证2018-12-05 12:57:28

事件背景

近日,滴滴事件热度持续,又一名20岁女孩乘坐顺风车时光天化日之下遭奸杀,而滴滴第一时间拒绝为提供给警方数据,耽误了援救时间,整件事情情节恶劣,引起全国范围内公众的质疑和愤怒。


事件回顾

8月24日,浙江温州,一名女孩乘坐滴滴顺风车,光天化日遭司机奸杀。

 

8 月 26 日消息,今天上午 11 点,滴滴出行官方发布了《关于乐清顺风车事件的自查进展》,进展中做出了三点决定,其中第一点决定尤为引人注目,声称滴滴出行将在全国范围内下线顺风车业务,自 8 月 27 日零时起执行。


27日,发改委:开展交通出行领域严重失信行为专项治理工作。


27日,抓获嫌疑人后,警方公布:犯罪嫌疑人称未临时伪造车牌,与滴滴官方声明矛盾。


至此,距离上次河南郑州一名空姐乘坐滴滴顺风车遭司机奸杀事件仅过去4个月。


网友评论

网友纷纷评论:

三个月前滴滴整顿旗下的顺风车平台,如今看来效果甚微,滴滴并没有真正自省。所以还需要相关部门的积极介入,对滴滴平台进行严厉的处罚。


更有网友评论说,滴滴拒不提供数据的行为,耽误了宝贵的施救事件,直接造成了女孩失去生命的最终后果。


滴滴解释

关于“为何没有第一时间将车主信息提供给家属”的问题,滴滴方面的解释是“由于平台每天会接到大量他人询问乘客或车主的个人信息的客服电话,而我们无法短时间内核实来电人身份的真实性,也无法确认用户本人是否愿意平台将相关信息给到他人。”滴滴称,在接到警方依法调证的需求后,已及时提交了相关信息。


刑警热贴

对于前述提到的拒绝为警方和查询亲属提供数据的行为,本文在此补充一个在最近同样被炒火的帖子:《办案刑警怒批斗滴滴公司:我必须让大家看清这家公司的嘴脸》


文中提到:

“我立刻开了全套手续(人民警察证复印件,调取证据通知书和介绍信)去滴滴市区的公司调资料。”

 

“前台一工作人员接待了我,说警察调东西必须联系公司安全部,但是安全部已经下班,接着给我了一个电话,说是安全部主管,我就给他打电话,他说他在北京开会,车牌号他不能告诉我,让我带着手续买机票去北京的滴滴公司总部调取。”

 

“旁边一个年轻小伙子拉了我一下,悄悄说他也觉得公司这样做不对,然后塞了一张纸条给我,我出门打开一看,车牌号。我当时更加生气了,这玩儿意明明就是公司里随便谁都能在系统里调出来的信息,非得和我们警察对着干,到底是出于什么目的?”


双方矛盾

在企业解释、警察无奈、网友愤怒的此案件中,可以看出企业和警方两者的矛盾点在于:


1.就企业而言。

企业为了遵循《网络安全法》,保护公民隐私,从而拒绝提供数据给警方和查询人司机信息。

2.就警方而言。

需要企业提出的数据才能侦破案件,因而向企业索取个人信息和数据。


根据《中华人民共和国网络安全法》

第四十条,网络运营者应当对其收集的用户信息严格保密;

第四十二条,网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。

第二十八条,网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。


就法律依据而言,双方观点看起来似乎都无可厚非。


网安观点


网安认为,在双方“应该提供”“不得提供”看似矛盾的争执中,《网络安全法》中对于官方、企业、个人数据的查询确权方面似乎需要更为明确的规定,即:

 

1.明确企业在什么情况下需要向政府需要提供数据。

2.明确政府在什么情况下可以调取企业数据。

3.明确数据所有权归属方(公民)在什么情况下必须提供数据。

 

但换个角度,在温州女孩遇害整个事件中,也许可以从“数字身份认证”的角度提供解决思路。


假设企业在已采用“可信数字身份认证”的前提下:


1.第一阶段,亲属联系不到乘车人,需要第一时间确定“车辆位置”或“车辆的行车轨迹”。在企业遵循《网络安全法》,不提供司机真实身份信息的情况下,一个“数字身份标识”+“行车轨迹信息”就可以解决。


即可信数字身份认证的“匿名身份”特点——以“个人数字身份标识”替代真实身份信息


(可信数字身份认证在使用过程中通常不再需要全程披露用户身份信息,姓名、身份证号等个人隐私信息。换言之,用户使用可信数字身份身份认证时不需要向网络产品或服务的开发商或运营商提供其他个人信息,仅需提供网络电子身份标识以及验证密钥)


2.当警方需要再进一步确认司机真实身份资料时,可通过“公安部公民网络身份识别系统”根据其“数字身份标识”进行后台追溯定位,无需企业提供


即“可信数字身份认证”的“前台匿名,后台可追溯”特点。


(个人网络数字身份标识所对应的个人信息,包括姓名、身份证号码等身份信息,即可信身份认证的根,是保存在公安部公民身份证制证库。PKI加密技术的不对称性确保了身份核验中的准确性,而同时使用公钥和私钥的行为授权方式也同时提供了不可抵赖的授权确认,使之具备身份可追溯性。)


这也正是国际通行的e公民身份认证体系一直倡导的认证宗旨。








Copyright © 古田计算器虚拟社区@2017