3月4日,十二屆全國(guó)人大五次會(huì)議大會(huì)發(fā)言人傅瑩在發(fā)布會(huì)上介紹,今年將開(kāi)展網(wǎng)絡(luò)安全執(zhí)法檢查,關(guān)注重點(diǎn)之一就是加強(qiáng)個(gè)人信息保護(hù)。
她提到,“今年準(zhǔn)備對(duì)網(wǎng)絡(luò)安全開(kāi)展執(zhí)法檢查,關(guān)注重點(diǎn)之一就是現(xiàn)在社會(huì)上特別關(guān)心的問(wèn)題,就是非法向他人提供個(gè)人信息和網(wǎng)絡(luò)詐騙?!?/p>
從國(guó)家立法和執(zhí)法的層面上,將個(gè)人隱私信息保護(hù)提高到了前所未有的高度,那么企業(yè)應(yīng)當(dāng)如何積極響應(yīng),切實(shí)履行保護(hù)職責(zé)呢?
1、隱私的范圍和管控的重點(diǎn)
在討論隱私保護(hù)之前,我們必須知道所謂用戶隱私保護(hù),它的范圍應(yīng)當(dāng)如何界定。最直觀的感受來(lái)說(shuō),個(gè)人隱私信息應(yīng)當(dāng)包括:姓名、身份證號(hào)碼、手機(jī)號(hào)碼、郵箱,這些最為常用的信息被黑市稱為四大件。從更廣義的范圍來(lái)說(shuō),個(gè)人隱私信息不止于此。
這樣的法律規(guī)定,給企業(yè)明確個(gè)人隱私保護(hù)的范圍提供了切實(shí)可行的參考。
在互聯(lián)網(wǎng)行業(yè),信息泄露的事件頻頻發(fā)生,據(jù)不完全統(tǒng)計(jì),我國(guó)2016年全年在黑市上泄露的個(gè)人信息達(dá)到65億條次,也就是說(shuō),在我國(guó),平均每個(gè)人的個(gè)人信息被至少泄露了5次。
而這一次個(gè)人隱私保護(hù)在人大會(huì)議上被提出,并得到如此高度的重視,筆者認(rèn)為有兩個(gè)原因:
前期的立法準(zhǔn)備已經(jīng)完成,從刑法第九修正案、網(wǎng)絡(luò)安全法,到準(zhǔn)備提請(qǐng)審議的民法總則和電子商務(wù)法,都已經(jīng)明確將個(gè)人信息的泄露、非法提供、出售定義為違法犯罪行為,并對(duì)涉及個(gè)人信息處理的企業(yè)提出了信息保護(hù)的要求;
隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的迅猛發(fā)展,企業(yè)對(duì)數(shù)據(jù)的渴望愈發(fā)激烈,這樣刺激了數(shù)據(jù)交易市場(chǎng)的野蠻生長(zhǎng),正規(guī)、非法的企業(yè)魚(yú)龍混雜,而由此催生出的數(shù)據(jù)竊取、電信詐騙、非法數(shù)據(jù)交易給社會(huì)、公民帶來(lái)的損失已經(jīng)觸目驚心,到了不得不大力打擊的階段。
2、互聯(lián)網(wǎng)行業(yè)應(yīng)當(dāng)如何保護(hù)用戶的個(gè)人隱私信息
對(duì)于大多數(shù)的互聯(lián)網(wǎng)公司來(lái)說(shuō),我們本身的業(yè)務(wù)并不會(huì)直接的侵犯用戶的隱私,但是除了對(duì)電信詐騙、數(shù)據(jù)非法交易的直接打擊,網(wǎng)絡(luò)安全執(zhí)法檢查的重點(diǎn)同樣必然會(huì)關(guān)注到企業(yè)如何切實(shí)履行好個(gè)人隱私保護(hù)的義務(wù)。
接下來(lái),筆者將從幾個(gè)不同的方面,談?wù)劵ヂ?lián)網(wǎng)企業(yè)履行用戶個(gè)人隱私保護(hù)義務(wù)需要關(guān)注的一些事情。
1)明確用戶隱私信息范圍,完善管理要求
企業(yè)實(shí)施用戶隱私信息保護(hù)的前提條件,是明確定義出哪些信息應(yīng)當(dāng)作為用戶個(gè)人隱私信息進(jìn)行保護(hù)。對(duì)于很多互聯(lián)網(wǎng)公司而言,用戶信息收集的視角非常之多,除了四大件之外,還可能涉及銀行卡、支付寶、微信支付等網(wǎng)絡(luò)支付信息,手機(jī)型號(hào)、電腦型號(hào)、瀏覽器類型等終端設(shè)備信息,甚至上網(wǎng)時(shí)間分布、關(guān)注信息偏好等用戶個(gè)人喜好、習(xí)慣信息。
關(guān)注用戶隱私信息保護(hù),需要從風(fēng)險(xiǎn)的角度,識(shí)別風(fēng)險(xiǎn)場(chǎng)景和信息的相關(guān)性,從而明確隱私保護(hù)的重點(diǎn)范圍,將有限的資源分配到高風(fēng)險(xiǎn)的用戶信息字段,一般而言,我們會(huì)將姓名、手機(jī)號(hào)、郵箱地址、賬號(hào)密碼、聯(lián)系地址、銀行卡信息(或其他支付渠道信息)作為重點(diǎn)保護(hù)的對(duì)象,這些都是非法數(shù)據(jù)交易市場(chǎng)中交易最為活躍的信息。
在明確保護(hù)對(duì)象的基礎(chǔ)上,企業(yè)應(yīng)當(dāng)建立健全用戶隱私信息保護(hù)的管理制度和要求,使得企業(yè)在用戶敏感信息保護(hù)方面做到有法可依。梳理用戶隱私信息保護(hù)的管理制度和要求,可以從多個(gè)視角來(lái)考慮:
一是從數(shù)據(jù)的生命周期角度來(lái)考慮,對(duì)數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、流轉(zhuǎn)、使用、廢棄等不同階段涉及介質(zhì)、系統(tǒng)、終端、人員進(jìn)行識(shí)別,明確不同階段的使用要求。
另一種視角,則是從用戶隱私信息涉及到的所有者、管理者、使用者的角度,分別提出不同的要求,基本要求應(yīng)當(dāng)包括:
用戶個(gè)人隱私數(shù)據(jù)的可接受使用,即哪些人通過(guò)哪些系統(tǒng)可以訪問(wèn)哪些數(shù)據(jù)(應(yīng)當(dāng)有數(shù)據(jù)所有者來(lái)定義);
用戶個(gè)人隱私數(shù)據(jù)的使用流程,即對(duì)于批量數(shù)據(jù)查詢、非授權(quán)人員對(duì)用戶隱私數(shù)據(jù)使用的場(chǎng)景應(yīng)當(dāng)如何通過(guò)流程進(jìn)行授權(quán)管理,保證披露范圍合法、可控,披露過(guò)程可追溯(使用者應(yīng)當(dāng)遵守的流程);
用戶個(gè)人隱私數(shù)據(jù)的管理流程,即從信息系統(tǒng)管理者的角度如何保證用戶個(gè)人隱私數(shù)據(jù)不被非授權(quán)訪問(wèn)、隱私信息介質(zhì)被妥善保護(hù)、數(shù)據(jù)訪問(wèn)過(guò)程可追溯、廢棄數(shù)據(jù)妥善被銷毀等(管理者應(yīng)當(dāng)執(zhí)行的流程);
違反個(gè)人隱私數(shù)據(jù)保護(hù)管理要求的情況下,應(yīng)當(dāng)受到何種處罰或懲戒。
通過(guò)建立完整的用戶隱私數(shù)據(jù)保護(hù)管理的制度、要求,可以形成全局性的對(duì)個(gè)人隱私保護(hù)的共識(shí),明確不同角色、崗位人員應(yīng)當(dāng)承擔(dān)的責(zé)任和履行的義務(wù),最終從管理機(jī)制上形成“有法可依”的基礎(chǔ)性保護(hù)。
2)明確用戶信息收集的范圍和用途
除了內(nèi)部應(yīng)當(dāng)建立起用戶隱私保護(hù)的管理機(jī)制外,與用戶就信息的收集、使用達(dá)成一致性的共識(shí),也是互聯(lián)網(wǎng)企業(yè)必須關(guān)注的重點(diǎn)。
這一要求明確提出,互聯(lián)網(wǎng)企業(yè)在為用戶提供服務(wù)之前,必須明確告知用戶,在服務(wù)過(guò)程中會(huì)收集到哪些信息,以及這些信息將被用于哪些用途以及使用的范圍。只有在獲得用戶許可的前提下,才可以收集相關(guān)的信息。
盡管實(shí)際的操作過(guò)程當(dāng)中,用戶可能并不會(huì)逐字逐句的閱讀用戶協(xié)議,但是從執(zhí)法機(jī)構(gòu)的角度而言,這是企業(yè)對(duì)用戶隱私保護(hù)的基本承諾和企業(yè)踐行用戶隱私保護(hù)的基本依據(jù)。
同時(shí),如果在檢查的過(guò)程中,發(fā)現(xiàn)了企業(yè)對(duì)某些用戶信息進(jìn)行了收集卻未在用戶協(xié)議中提示,或是收集的信息超出了約定的使用范圍,執(zhí)法機(jī)構(gòu)也會(huì)要求企業(yè)進(jìn)行整改。
3、選擇合法的數(shù)據(jù)服務(wù)商渠道
在人大發(fā)言人傅瑩關(guān)于個(gè)人隱私保護(hù)的講話中,她提到了大數(shù)據(jù)發(fā)展的背景。而當(dāng)前,在提供數(shù)據(jù)服務(wù)的市場(chǎng)中,實(shí)際上很難對(duì)很多的數(shù)據(jù)服務(wù)提供商的數(shù)據(jù)來(lái)源進(jìn)行甄別,而其中一些所謂的大數(shù)據(jù)服務(wù)公司,其實(shí)就是打著大數(shù)據(jù)的幌子從事著個(gè)人隱私數(shù)據(jù)交易的非法業(yè)務(wù)。
對(duì)于很多的互聯(lián)網(wǎng)企業(yè)來(lái)說(shuō),選擇依法合規(guī)的數(shù)據(jù)服務(wù)供應(yīng)商也是一個(gè)必然的選擇,非法的數(shù)據(jù)交易也必然會(huì)成為執(zhí)法檢查和打擊的重點(diǎn)。
我們必須甄別數(shù)據(jù)服務(wù)提供商的成色,在法律文書中明確的約定數(shù)據(jù)服務(wù)提供商對(duì)于其提供的數(shù)據(jù)所應(yīng)當(dāng)承擔(dān)的法律責(zé)任,同時(shí),杜絕數(shù)據(jù)內(nèi)容涉嫌違法的高風(fēng)險(xiǎn)交易,從而切實(shí)履行企業(yè)的個(gè)人隱私保護(hù)責(zé)任。
4、建立覆蓋全生命周期的用戶信息保護(hù)技術(shù)體系
細(xì)觀當(dāng)前的個(gè)人隱私數(shù)據(jù)交易市場(chǎng),實(shí)際上我們可以看到非常多的數(shù)據(jù)是一些黑客通過(guò)技術(shù)手段,非法竊取的數(shù)據(jù)。
對(duì)于互聯(lián)網(wǎng)企業(yè)而言,越來(lái)越龐雜的用戶互聯(lián)網(wǎng)服務(wù)入口,也為很多技術(shù)高超的黑客留下了很多的可能性。這給企業(yè)內(nèi)部的信息安全工程師提出了一個(gè)很難的課題,如何建立完整的數(shù)據(jù)安全防護(hù)體系,將用戶隱私信息置于銅墻鐵壁之內(nèi),這將是個(gè)不小的挑戰(zhàn)。
盡管當(dāng)前市場(chǎng)上數(shù)據(jù)保護(hù)的安全工具很多,但如何能夠使這些工具協(xié)同的發(fā)揮效力,是我們安全從業(yè)者必須考慮的問(wèn)題。
從筆者的角度來(lái)說(shuō),數(shù)據(jù)泄露的風(fēng)險(xiǎn)來(lái)源可以分為兩個(gè)方面:
外部黑客攻擊導(dǎo)致
內(nèi)部的惡意人員的泄露
這兩個(gè)不同類型的風(fēng)險(xiǎn)來(lái)源,需要我們采用不同的數(shù)據(jù)安全工具的組合,以建立不同的數(shù)據(jù)防護(hù)機(jī)制。
對(duì)外部黑客攻擊而言,一般性的安全工具組合可能會(huì)包括:
應(yīng)用防火墻(WAF)
入侵偵測(cè)系統(tǒng)(IPS)
數(shù)據(jù)泄露防護(hù)系統(tǒng)(DLP)
數(shù)據(jù)庫(kù)防火墻(DBF)
數(shù)據(jù)庫(kù)審計(jì)工具(DBA)
數(shù)據(jù)庫(kù)加密工具
通過(guò)這些工具的組合,試圖對(duì)可能發(fā)生的黑客入侵行為進(jìn)行預(yù)警、阻斷和追溯,從而盡最大可能避免大規(guī)模的數(shù)據(jù)泄露事件發(fā)生。
對(duì)內(nèi)部惡意人員的泄露,一般性的安全工具組合可能包括終端安全管理工具(對(duì)數(shù)據(jù)傳輸接口進(jìn)行限制)、終端數(shù)據(jù)泄露防護(hù)、網(wǎng)關(guān)數(shù)據(jù)泄露防護(hù)、虛擬桌面(數(shù)據(jù)不落地)、文檔加密工具、數(shù)據(jù)加密工具、數(shù)據(jù)脫敏工具、數(shù)據(jù)庫(kù)防火墻、數(shù)據(jù)庫(kù)審計(jì)工具等。通過(guò)這些工具的組合,可以實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)管理員、數(shù)據(jù)工程師、業(yè)務(wù)運(yùn)營(yíng)人員的高危數(shù)據(jù)操作風(fēng)險(xiǎn)的管理,包括數(shù)據(jù)導(dǎo)出、下載、外傳、批量查詢等。
上述的兩類風(fēng)險(xiǎn)的防護(hù),需要基于用戶隱私數(shù)據(jù)的動(dòng)靜態(tài)分布和流轉(zhuǎn)進(jìn)行全面的分析,識(shí)別數(shù)據(jù)的暴露節(jié)點(diǎn)、暴露對(duì)象、暴露途徑,從而搭建起完整的防護(hù)機(jī)制,使各類工具能夠協(xié)同作用,形成合力,避免木桶理論中的短板出現(xiàn)。
5、建立用戶隱私數(shù)據(jù)保護(hù)的共識(shí)和文化
最后需要強(qiáng)調(diào)的一點(diǎn)是,如何在企業(yè)內(nèi)部形成用戶隱私信息保護(hù)的文化。
如前文所述,盡管我們可以通過(guò)技術(shù)手段扎起一些籬笆,提高數(shù)據(jù)泄露的難度,但是要較為徹底的解決這個(gè)問(wèn)題,需要通過(guò)培訓(xùn)、監(jiān)督、獎(jiǎng)懲機(jī)制形成企業(yè)員工對(duì)“用戶隱私保護(hù)是我的責(zé)任”這樣一種共識(shí)和文化。
從培訓(xùn)的角度來(lái)說(shuō),除了一般性的數(shù)據(jù)隱私保護(hù)的培訓(xùn)之外,企業(yè)應(yīng)當(dāng)特別針對(duì)數(shù)據(jù)安全敏感的崗位、人員進(jìn)行有針對(duì)性的培訓(xùn)。對(duì)于日常經(jīng)??梢苑奖愕慕佑|到用戶隱私信息的客服人員、運(yùn)營(yíng)人員、銷售人員,他們必須知道哪些用戶信息可以在什么樣的范圍內(nèi)如何使用,哪些常見(jiàn)的行為是被禁止甚至是違法的,以及公司設(shè)置了怎樣的技術(shù)措施來(lái)監(jiān)控,從而起到震懾效果。
此外,進(jìn)行大數(shù)據(jù)分析的數(shù)據(jù)工程師,以及后臺(tái)的數(shù)據(jù)庫(kù)管理員,也應(yīng)當(dāng)通過(guò)培訓(xùn),了解公司關(guān)于用戶隱私信息的保護(hù)要求和管理流程,從而保證在處理數(shù)據(jù)服務(wù)請(qǐng)求時(shí),能夠做到依法、合規(guī)。
需要特別提出的一點(diǎn)是,建立用戶隱私信息保護(hù)的文化,不僅需要信息安全人員的奔走相告或是嚴(yán)厲的監(jiān)督、懲戒機(jī)制,更需要管理層的大力推動(dòng)和全員的身體力行。
- 特朗普宣布200億美元投資計(jì)劃,在美國(guó)多地建設(shè)數(shù)據(jù)中心
- 工信部:“點(diǎn)、鏈、網(wǎng)、面”體系化推進(jìn)算力網(wǎng)絡(luò)工作 持續(xù)提升算網(wǎng)綜合供給能力
- 2025年超融合基礎(chǔ)設(shè)施的4大趨勢(shì)
- 2025年將影響數(shù)據(jù)中心的5個(gè)云計(jì)算趨勢(shì)
- 80萬(wàn)輛大眾汽車因AWS云配置錯(cuò)誤導(dǎo)致數(shù)據(jù)泄露,包含“高精度”位置記錄
- 名創(chuàng)優(yōu)品超4000家門店接入“碰一下”支付,引爆年輕消費(fèi)熱潮
- 免稅店也能用“碰一下”支付了!中免海南免稅店:碰一下就優(yōu)惠
- 報(bào)告:人工智能推動(dòng)數(shù)據(jù)中心系統(tǒng)支出激增25%
- 密態(tài)計(jì)算技術(shù)助力農(nóng)村普惠金融 螞蟻密算、網(wǎng)商銀行項(xiàng)目入選大數(shù)據(jù)“星河”案例
- 專利糾紛升級(jí)!Netflix就虛擬機(jī)專利侵權(quán)起訴博通及VMware
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。