3月4日,十二屆全國人大五次會(huì)議大會(huì)發(fā)言人傅瑩在發(fā)布會(huì)上介紹,今年將開展網(wǎng)絡(luò)安全執(zhí)法檢查,關(guān)注重點(diǎn)之一就是加強(qiáng)個(gè)人信息保護(hù)。
她提到,“今年準(zhǔn)備對網(wǎng)絡(luò)安全開展執(zhí)法檢查,關(guān)注重點(diǎn)之一就是現(xiàn)在社會(huì)上特別關(guān)心的問題,就是非法向他人提供個(gè)人信息和網(wǎng)絡(luò)詐騙。”
從國家立法和執(zhí)法的層面上,將個(gè)人隱私信息保護(hù)提高到了前所未有的高度,那么企業(yè)應(yīng)當(dāng)如何積極響應(yīng),切實(shí)履行保護(hù)職責(zé)呢?
1、隱私的范圍和管控的重點(diǎn)
在討論隱私保護(hù)之前,我們必須知道所謂用戶隱私保護(hù),它的范圍應(yīng)當(dāng)如何界定。最直觀的感受來說,個(gè)人隱私信息應(yīng)當(dāng)包括:姓名、身份證號(hào)碼、手機(jī)號(hào)碼、郵箱,這些最為常用的信息被黑市稱為四大件。從更廣義的范圍來說,個(gè)人隱私信息不止于此。
這樣的法律規(guī)定,給企業(yè)明確個(gè)人隱私保護(hù)的范圍提供了切實(shí)可行的參考。
在互聯(lián)網(wǎng)行業(yè),信息泄露的事件頻頻發(fā)生,據(jù)不完全統(tǒng)計(jì),我國2016年全年在黑市上泄露的個(gè)人信息達(dá)到65億條次,也就是說,在我國,平均每個(gè)人的個(gè)人信息被至少泄露了5次。
而這一次個(gè)人隱私保護(hù)在人大會(huì)議上被提出,并得到如此高度的重視,筆者認(rèn)為有兩個(gè)原因:
前期的立法準(zhǔn)備已經(jīng)完成,從刑法第九修正案、網(wǎng)絡(luò)安全法,到準(zhǔn)備提請審議的民法總則和電子商務(wù)法,都已經(jīng)明確將個(gè)人信息的泄露、非法提供、出售定義為違法犯罪行為,并對涉及個(gè)人信息處理的企業(yè)提出了信息保護(hù)的要求;
隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的迅猛發(fā)展,企業(yè)對數(shù)據(jù)的渴望愈發(fā)激烈,這樣刺激了數(shù)據(jù)交易市場的野蠻生長,正規(guī)、非法的企業(yè)魚龍混雜,而由此催生出的數(shù)據(jù)竊取、電信詐騙、非法數(shù)據(jù)交易給社會(huì)、公民帶來的損失已經(jīng)觸目驚心,到了不得不大力打擊的階段。
2、互聯(lián)網(wǎng)行業(yè)應(yīng)當(dāng)如何保護(hù)用戶的個(gè)人隱私信息
對于大多數(shù)的互聯(lián)網(wǎng)公司來說,我們本身的業(yè)務(wù)并不會(huì)直接的侵犯用戶的隱私,但是除了對電信詐騙、數(shù)據(jù)非法交易的直接打擊,網(wǎng)絡(luò)安全執(zhí)法檢查的重點(diǎn)同樣必然會(huì)關(guān)注到企業(yè)如何切實(shí)履行好個(gè)人隱私保護(hù)的義務(wù)。
接下來,筆者將從幾個(gè)不同的方面,談?wù)劵ヂ?lián)網(wǎng)企業(yè)履行用戶個(gè)人隱私保護(hù)義務(wù)需要關(guān)注的一些事情。
1)明確用戶隱私信息范圍,完善管理要求
企業(yè)實(shí)施用戶隱私信息保護(hù)的前提條件,是明確定義出哪些信息應(yīng)當(dāng)作為用戶個(gè)人隱私信息進(jìn)行保護(hù)。對于很多互聯(lián)網(wǎng)公司而言,用戶信息收集的視角非常之多,除了四大件之外,還可能涉及銀行卡、支付寶、微信支付等網(wǎng)絡(luò)支付信息,手機(jī)型號(hào)、電腦型號(hào)、瀏覽器類型等終端設(shè)備信息,甚至上網(wǎng)時(shí)間分布、關(guān)注信息偏好等用戶個(gè)人喜好、習(xí)慣信息。
關(guān)注用戶隱私信息保護(hù),需要從風(fēng)險(xiǎn)的角度,識(shí)別風(fēng)險(xiǎn)場景和信息的相關(guān)性,從而明確隱私保護(hù)的重點(diǎn)范圍,將有限的資源分配到高風(fēng)險(xiǎn)的用戶信息字段,一般而言,我們會(huì)將姓名、手機(jī)號(hào)、郵箱地址、賬號(hào)密碼、聯(lián)系地址、銀行卡信息(或其他支付渠道信息)作為重點(diǎn)保護(hù)的對象,這些都是非法數(shù)據(jù)交易市場中交易最為活躍的信息。
在明確保護(hù)對象的基礎(chǔ)上,企業(yè)應(yīng)當(dāng)建立健全用戶隱私信息保護(hù)的管理制度和要求,使得企業(yè)在用戶敏感信息保護(hù)方面做到有法可依。梳理用戶隱私信息保護(hù)的管理制度和要求,可以從多個(gè)視角來考慮:
一是從數(shù)據(jù)的生命周期角度來考慮,對數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、流轉(zhuǎn)、使用、廢棄等不同階段涉及介質(zhì)、系統(tǒng)、終端、人員進(jìn)行識(shí)別,明確不同階段的使用要求。
另一種視角,則是從用戶隱私信息涉及到的所有者、管理者、使用者的角度,分別提出不同的要求,基本要求應(yīng)當(dāng)包括:
用戶個(gè)人隱私數(shù)據(jù)的可接受使用,即哪些人通過哪些系統(tǒng)可以訪問哪些數(shù)據(jù)(應(yīng)當(dāng)有數(shù)據(jù)所有者來定義);
用戶個(gè)人隱私數(shù)據(jù)的使用流程,即對于批量數(shù)據(jù)查詢、非授權(quán)人員對用戶隱私數(shù)據(jù)使用的場景應(yīng)當(dāng)如何通過流程進(jìn)行授權(quán)管理,保證披露范圍合法、可控,披露過程可追溯(使用者應(yīng)當(dāng)遵守的流程);
用戶個(gè)人隱私數(shù)據(jù)的管理流程,即從信息系統(tǒng)管理者的角度如何保證用戶個(gè)人隱私數(shù)據(jù)不被非授權(quán)訪問、隱私信息介質(zhì)被妥善保護(hù)、數(shù)據(jù)訪問過程可追溯、廢棄數(shù)據(jù)妥善被銷毀等(管理者應(yīng)當(dāng)執(zhí)行的流程);
違反個(gè)人隱私數(shù)據(jù)保護(hù)管理要求的情況下,應(yīng)當(dāng)受到何種處罰或懲戒。
通過建立完整的用戶隱私數(shù)據(jù)保護(hù)管理的制度、要求,可以形成全局性的對個(gè)人隱私保護(hù)的共識(shí),明確不同角色、崗位人員應(yīng)當(dāng)承擔(dān)的責(zé)任和履行的義務(wù),最終從管理機(jī)制上形成“有法可依”的基礎(chǔ)性保護(hù)。
2)明確用戶信息收集的范圍和用途
除了內(nèi)部應(yīng)當(dāng)建立起用戶隱私保護(hù)的管理機(jī)制外,與用戶就信息的收集、使用達(dá)成一致性的共識(shí),也是互聯(lián)網(wǎng)企業(yè)必須關(guān)注的重點(diǎn)。
這一要求明確提出,互聯(lián)網(wǎng)企業(yè)在為用戶提供服務(wù)之前,必須明確告知用戶,在服務(wù)過程中會(huì)收集到哪些信息,以及這些信息將被用于哪些用途以及使用的范圍。只有在獲得用戶許可的前提下,才可以收集相關(guān)的信息。
盡管實(shí)際的操作過程當(dāng)中,用戶可能并不會(huì)逐字逐句的閱讀用戶協(xié)議,但是從執(zhí)法機(jī)構(gòu)的角度而言,這是企業(yè)對用戶隱私保護(hù)的基本承諾和企業(yè)踐行用戶隱私保護(hù)的基本依據(jù)。
同時(shí),如果在檢查的過程中,發(fā)現(xiàn)了企業(yè)對某些用戶信息進(jìn)行了收集卻未在用戶協(xié)議中提示,或是收集的信息超出了約定的使用范圍,執(zhí)法機(jī)構(gòu)也會(huì)要求企業(yè)進(jìn)行整改。
3、選擇合法的數(shù)據(jù)服務(wù)商渠道
在人大發(fā)言人傅瑩關(guān)于個(gè)人隱私保護(hù)的講話中,她提到了大數(shù)據(jù)發(fā)展的背景。而當(dāng)前,在提供數(shù)據(jù)服務(wù)的市場中,實(shí)際上很難對很多的數(shù)據(jù)服務(wù)提供商的數(shù)據(jù)來源進(jìn)行甄別,而其中一些所謂的大數(shù)據(jù)服務(wù)公司,其實(shí)就是打著大數(shù)據(jù)的幌子從事著個(gè)人隱私數(shù)據(jù)交易的非法業(yè)務(wù)。
對于很多的互聯(lián)網(wǎng)企業(yè)來說,選擇依法合規(guī)的數(shù)據(jù)服務(wù)供應(yīng)商也是一個(gè)必然的選擇,非法的數(shù)據(jù)交易也必然會(huì)成為執(zhí)法檢查和打擊的重點(diǎn)。
我們必須甄別數(shù)據(jù)服務(wù)提供商的成色,在法律文書中明確的約定數(shù)據(jù)服務(wù)提供商對于其提供的數(shù)據(jù)所應(yīng)當(dāng)承擔(dān)的法律責(zé)任,同時(shí),杜絕數(shù)據(jù)內(nèi)容涉嫌違法的高風(fēng)險(xiǎn)交易,從而切實(shí)履行企業(yè)的個(gè)人隱私保護(hù)責(zé)任。
4、建立覆蓋全生命周期的用戶信息保護(hù)技術(shù)體系
細(xì)觀當(dāng)前的個(gè)人隱私數(shù)據(jù)交易市場,實(shí)際上我們可以看到非常多的數(shù)據(jù)是一些黑客通過技術(shù)手段,非法竊取的數(shù)據(jù)。
對于互聯(lián)網(wǎng)企業(yè)而言,越來越龐雜的用戶互聯(lián)網(wǎng)服務(wù)入口,也為很多技術(shù)高超的黑客留下了很多的可能性。這給企業(yè)內(nèi)部的信息安全工程師提出了一個(gè)很難的課題,如何建立完整的數(shù)據(jù)安全防護(hù)體系,將用戶隱私信息置于銅墻鐵壁之內(nèi),這將是個(gè)不小的挑戰(zhàn)。
盡管當(dāng)前市場上數(shù)據(jù)保護(hù)的安全工具很多,但如何能夠使這些工具協(xié)同的發(fā)揮效力,是我們安全從業(yè)者必須考慮的問題。
從筆者的角度來說,數(shù)據(jù)泄露的風(fēng)險(xiǎn)來源可以分為兩個(gè)方面:
外部黑客攻擊導(dǎo)致
內(nèi)部的惡意人員的泄露
這兩個(gè)不同類型的風(fēng)險(xiǎn)來源,需要我們采用不同的數(shù)據(jù)安全工具的組合,以建立不同的數(shù)據(jù)防護(hù)機(jī)制。
對外部黑客攻擊而言,一般性的安全工具組合可能會(huì)包括:
應(yīng)用防火墻(WAF)
入侵偵測系統(tǒng)(IPS)
數(shù)據(jù)泄露防護(hù)系統(tǒng)(DLP)
數(shù)據(jù)庫防火墻(DBF)
數(shù)據(jù)庫審計(jì)工具(DBA)
數(shù)據(jù)庫加密工具
通過這些工具的組合,試圖對可能發(fā)生的黑客入侵行為進(jìn)行預(yù)警、阻斷和追溯,從而盡最大可能避免大規(guī)模的數(shù)據(jù)泄露事件發(fā)生。
對內(nèi)部惡意人員的泄露,一般性的安全工具組合可能包括終端安全管理工具(對數(shù)據(jù)傳輸接口進(jìn)行限制)、終端數(shù)據(jù)泄露防護(hù)、網(wǎng)關(guān)數(shù)據(jù)泄露防護(hù)、虛擬桌面(數(shù)據(jù)不落地)、文檔加密工具、數(shù)據(jù)加密工具、數(shù)據(jù)脫敏工具、數(shù)據(jù)庫防火墻、數(shù)據(jù)庫審計(jì)工具等。通過這些工具的組合,可以實(shí)現(xiàn)對數(shù)據(jù)庫管理員、數(shù)據(jù)工程師、業(yè)務(wù)運(yùn)營人員的高危數(shù)據(jù)操作風(fēng)險(xiǎn)的管理,包括數(shù)據(jù)導(dǎo)出、下載、外傳、批量查詢等。
上述的兩類風(fēng)險(xiǎn)的防護(hù),需要基于用戶隱私數(shù)據(jù)的動(dòng)靜態(tài)分布和流轉(zhuǎn)進(jìn)行全面的分析,識(shí)別數(shù)據(jù)的暴露節(jié)點(diǎn)、暴露對象、暴露途徑,從而搭建起完整的防護(hù)機(jī)制,使各類工具能夠協(xié)同作用,形成合力,避免木桶理論中的短板出現(xiàn)。
5、建立用戶隱私數(shù)據(jù)保護(hù)的共識(shí)和文化
最后需要強(qiáng)調(diào)的一點(diǎn)是,如何在企業(yè)內(nèi)部形成用戶隱私信息保護(hù)的文化。
如前文所述,盡管我們可以通過技術(shù)手段扎起一些籬笆,提高數(shù)據(jù)泄露的難度,但是要較為徹底的解決這個(gè)問題,需要通過培訓(xùn)、監(jiān)督、獎(jiǎng)懲機(jī)制形成企業(yè)員工對“用戶隱私保護(hù)是我的責(zé)任”這樣一種共識(shí)和文化。
從培訓(xùn)的角度來說,除了一般性的數(shù)據(jù)隱私保護(hù)的培訓(xùn)之外,企業(yè)應(yīng)當(dāng)特別針對數(shù)據(jù)安全敏感的崗位、人員進(jìn)行有針對性的培訓(xùn)。對于日常經(jīng)??梢苑奖愕慕佑|到用戶隱私信息的客服人員、運(yùn)營人員、銷售人員,他們必須知道哪些用戶信息可以在什么樣的范圍內(nèi)如何使用,哪些常見的行為是被禁止甚至是違法的,以及公司設(shè)置了怎樣的技術(shù)措施來監(jiān)控,從而起到震懾效果。
此外,進(jìn)行大數(shù)據(jù)分析的數(shù)據(jù)工程師,以及后臺(tái)的數(shù)據(jù)庫管理員,也應(yīng)當(dāng)通過培訓(xùn),了解公司關(guān)于用戶隱私信息的保護(hù)要求和管理流程,從而保證在處理數(shù)據(jù)服務(wù)請求時(shí),能夠做到依法、合規(guī)。
需要特別提出的一點(diǎn)是,建立用戶隱私信息保護(hù)的文化,不僅需要信息安全人員的奔走相告或是嚴(yán)厲的監(jiān)督、懲戒機(jī)制,更需要管理層的大力推動(dòng)和全員的身體力行。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 從量子威脅到人工智能防御:2025年網(wǎng)絡(luò)安全將如何發(fā)展
- 后人工智能時(shí)代:2025年,在紛擾中重塑數(shù)據(jù)、洞察和行動(dòng)
- 2025年展望:人工智能推動(dòng)IT整合
- 量子計(jì)算:商業(yè)世界的新前沿與設(shè)計(jì)思維的融合
- IDC:三季度全球以太網(wǎng)交換機(jī)收入同比下降7.9%、環(huán)比增長6.6%
- Fortinet李宏凱:2025年在中國大陸啟動(dòng)SASE PoP節(jié)點(diǎn)部署 助力企業(yè)出海
- Fortinet李宏凱:2024年Fortinet全球客戶已超80萬
- 央國企采購管理升級(jí),合合信息旗下啟信慧眼以科技破局難點(diǎn)
- Apache Struts重大漏洞被黑客利用,遠(yuǎn)程代碼執(zhí)行風(fēng)險(xiǎn)加劇
- Crunchbase:2024年AI網(wǎng)絡(luò)安全行業(yè)風(fēng)險(xiǎn)投資超過26億美元
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。