<dd id="xnhjr"></dd>
    1. <rp id="xnhjr"></rp>

      <tbody id="xnhjr"></tbody>

      2016年個人信息平均被泄露5次以上,有你嗎?

      BestSDK 2021-08-18 10:39:43

      3月4日,十二屆全國人大五次會議大會發言人傅瑩在發布會上介紹,今年將開展網絡安全執法檢查,關注重點之一就是加強個人信息保護。

      她提到,“今年準備對網絡安全開展執法檢查,關注重點之一就是現在社會上特別關心的問題,就是非法向他人提供個人信息和網絡詐騙?!?/span>

      從國家立法和執法的層面上,將個人隱私信息保護提高到了前所未有的高度,那么企業應當如何積極響應,切實履行保護職責呢?

      1、隱私的范圍和管控的重點

      在討論隱私保護之前,我們必須知道所謂用戶隱私保護,它的范圍應當如何界定。最直觀的感受來說,個人隱私信息應當包括:姓名、身份證號碼、手機號碼、郵箱,這些最為常用的信息被黑市稱為四大件。從更廣義的范圍來說,個人隱私信息不止于此。

      在互聯網行業,信息泄露的事件頻頻發生,據不完全統計,我國2016年全年在黑市上泄露的個人信息達到65億條次,也就是說,在我國,平均每個人的個人信息被至少泄露了5次。

      而這一次個人隱私保護在人大會議上被提出,并得到如此高度的重視,筆者認為有兩個原因:

      前期的立法準備已經完成,從刑法第九修正案、網絡安全法,到準備提請審議的民法總則和電子商務法,都已經明確將個人信息的泄露、非法提供、出售定義為違法犯罪行為,并對涉及個人信息處理的企業提出了信息保護的要求;

      隨著互聯網產業的迅猛發展,企業對數據的渴望愈發激烈,這樣刺激了數據交易市場的野蠻生長,正規、非法的企業魚龍混雜,而由此催生出的數據竊取、電信詐騙、非法數據交易給社會、公民帶來的損失已經觸目驚心,到了不得不大力打擊的階段。

      2、互聯網行業應當如何保護用戶的個人隱私信息

      接下來,筆者將從幾個不同的方面,談談互聯網企業履行用戶個人隱私保護義務需要關注的一些事情。

      1)明確用戶隱私信息范圍,完善管理要求

      企業實施用戶隱私信息保護的前提條件,是明確定義出哪些信息應當作為用戶個人隱私信息進行保護。對于很多互聯網公司而言,用戶信息收集的視角非常之多,除了四大件之外,還可能涉及銀行卡、支付寶、微信支付等網絡支付信息,手機型號、電腦型號、瀏覽器類型等終端設備信息,甚至上網時間分布、關注信息偏好等用戶個人喜好、習慣信息。

      在明確保護對象的基礎上,企業應當建立健全用戶隱私信息保護的管理制度和要求,使得企業在用戶敏感信息保護方面做到有法可依。梳理用戶隱私信息保護的管理制度和要求,可以從多個視角來考慮:

      一是從數據的生命周期角度來考慮,對數據的產生、存儲、流轉、使用、廢棄等不同階段涉及介質、系統、終端、人員進行識別,明確不同階段的使用要求。

      另一種視角,則是從用戶隱私信息涉及到的所有者、管理者、使用者的角度,分別提出不同的要求,基本要求應當包括:

      用戶個人隱私數據的可接受使用,即哪些人通過哪些系統可以訪問哪些數據(應當有數據所有者來定義);

      用戶個人隱私數據的使用流程,即對于批量數據查詢、非授權人員對用戶隱私數據使用的場景應當如何通過流程進行授權管理,保證披露范圍合法、可控,披露過程可追溯(使用者應當遵守的流程);

      用戶個人隱私數據的管理流程,即從信息系統管理者的角度如何保證用戶個人隱私數據不被非授權訪問、隱私信息介質被妥善保護、數據訪問過程可追溯、廢棄數據妥善被銷毀等(管理者應當執行的流程);

      違反個人隱私數據保護管理要求的情況下,應當受到何種處罰或懲戒。

      2)明確用戶信息收集的范圍和用途

      除了內部應當建立起用戶隱私保護的管理機制外,與用戶就信息的收集、使用達成一致性的共識,也是互聯網企業必須關注的重點。

      這一要求明確提出,互聯網企業在為用戶提供服務之前,必須明確告知用戶,在服務過程中會收集到哪些信息,以及這些信息將被用于哪些用途以及使用的范圍。只有在獲得用戶許可的前提下,才可以收集相關的信息。

      盡管實際的操作過程當中,用戶可能并不會逐字逐句的閱讀用戶協議,但是從執法機構的角度而言,這是企業對用戶隱私保護的基本承諾和企業踐行用戶隱私保護的基本依據。

      3、選擇合法的數據服務商渠道

      在人大發言人傅瑩關于個人隱私保護的講話中,她提到了大數據發展的背景。而當前,在提供數據服務的市場中,實際上很難對很多的數據服務提供商的數據來源進行甄別,而其中一些所謂的大數據服務公司,其實就是打著大數據的幌子從事著個人隱私數據交易的非法業務。

      對于很多的互聯網企業來說,選擇依法合規的數據服務供應商也是一個必然的選擇,非法的數據交易也必然會成為執法檢查和打擊的重點。

      4、建立覆蓋全生命周期的用戶信息保護技術體系

      細觀當前的個人隱私數據交易市場,實際上我們可以看到非常多的數據是一些黑客通過技術手段,非法竊取的數據。

      對于互聯網企業而言,越來越龐雜的用戶互聯網服務入口,也為很多技術高超的黑客留下了很多的可能性。這給企業內部的信息安全工程師提出了一個很難的課題,如何建立完整的數據安全防護體系,將用戶隱私信息置于銅墻鐵壁之內,這將是個不小的挑戰。

      盡管當前市場上數據保護的安全工具很多,但如何能夠使這些工具協同的發揮效力,是我們安全從業者必須考慮的問題。

      。這兩個不同類型的風險來源,需要我們采用不同的數據安全工具的組合,以建立不同的數據防護機制。

      對外部黑客攻擊而言,一般性的安全工具組合可能會包括:應用防火墻(WAF)、入侵偵測系統(IPS)、數據泄露防護系統(DLP)、數據庫防火墻(DBF)、數據庫審計工具(DBA)、數據庫加密工具通過這些工具的組合,試圖對可能發生的黑客入侵行為進行預警、阻斷和追溯,從而盡最大可能避免大規模的數據泄露事件發生。

      對內部惡意人員的泄露,一般性的安全工具組合可能包括終端安全管理工具(對數據傳輸接口進行限制)、終端數據泄露防護、網關數據泄露防護、虛擬桌面、文檔加密工具、數據加密工具、數據脫敏工具、數據庫防火墻、數據庫審計工具等。通過這些工具的組合,可以實現對數據庫管理員、數據工程師、業務運營人員的高危數據操作風險的管理,包括數據導出、下載、外傳、批量查詢等。

      5、建立用戶隱私數據保護的共識和文化

      最后需要強調的一點是,如何在企業內部形成用戶隱私信息保護的文化。

      如前文所述,盡管我們可以通過技術手段扎起一些籬笆,提高數據泄露的難度,但是要較為徹底的解決這個問題,需要通過培訓、監督、獎懲機制形成企業員工對“用戶隱私保護是我的責任”這樣一種共識和文化。

      此外,進行大數據分析的數據工程師,以及后臺的數據庫管理員,也應當通過培訓,了解公司關于用戶隱私信息的保護要求和管理流程,從而保證在處理數據服務請求時,能夠做到依法、合規。

      Copyright ? 華為手機價格交流組@2017