又是一年315,个人信息安全合规之路在何方?
2018年,欧盟出台了《通用数据保护条例》(GDPR)。
2019年,谷歌因为未获得用户许可定向发送广告收到了高额的罚单,同年也是我国个人信息保护的元年。这一年,针对个人信息保护国内监管部门开始开展了相关整治活动,公安部发布了《互联网个人信息安全保护指南》,国家互联网信息办公室发布了《数据安全管理办法》(征求意见稿)……也是从这一年开始,央视315晚会曝光了某公司违法收集用户个人信息的数据安全事件。
2020年,315晚会曝光多个手机APP的 SDK 插件窃取用户隐私,比如运营商信息、电话号码、短信记录、通讯录、传感器信息等。
2021年,同样是在315晚会上,个人信息泄露成了最重磅的主题:商家无处不在的摄像头无声无息中获取我们的人脸识别信息,数百万份个人简历信息在网上被转卖,手机清理类软件偷偷收集老人手机里的信息
又是一年315,毫无悬念,信息安全与个人信息保护连续第四年出现在晚会议题中。在今年的315晚会上,首设“315信息安全实验室”,重点关注网络信息安全和儿童互动产品的信息安全。实验室曝光的“虚假Wi-Fi连接”类App后台高频次搜集信息乱象,以及通报“2021年工业和信息化部‘聚焦违规调用手机权限,超范围收集个人信息’等APP专项整治工作”成果,再一次将数字时代消费者面临的个人信息安全和隐私保护问题放到了“聚光灯”下。正如晚会总导演尹文所言:“3·15晚会不是为了打击谁,而是给一些厂家一个善意的提醒。你在做好产品的同时,别忘了你的软件背后的安全也很重要。信息安全在万物互联时代,比产品本身更重要……”
2019-2022,连续四年都曝出消费者个人信息被违法违规收集使用的情况,我们不禁要问,难道保障个人信息安全真的这么难吗?
时至今日,我们的日常生活几乎都与互联网息息相关,我们在互联网上的每一个操作、每一次停留都可能以“痕迹”之名保留下来,甚至对应到个人的隐私信息,被称之为“用户画像”。从商业角度而言,互联网平台自然希望通过掌握用户画像,分析用户的偏好,以达到精准推送的商业目的。过去,这些成为互联网行业发展的重要动力和潜在规则。然而,随着“强化反垄断和防止资本无序扩张”被列为2021年中央经济工作会议的八项重点任务之一,《数据安全法》、《个人信息保护法》等法律法规的颁布,涉嫌过度收集和利用个人信息已成为悬在一些互联网公司头顶的达摩克利斯之剑。当然,很多互联网公司也在积极响应国家政策和法律要求,加强了关于个人信息安全合规的整改,但过程中依然存在一些问题,也面临一些难题。
在处理信息时落实“最小方式、最小范围、最短时间”的原则依然不到位。互联网公司仅从业务出发考虑数据采集和处理的问题,数据采集和处理的必要性、影响性评估不足,仍然可能存在过度收集、超范围使用等现象。
对敏感个人信息处理的重视不足。对自身采集了哪些敏感信息,实施了怎样的保护,有什么样的风险感知不足,未采取单独的保护措施或处理规则对敏感个人信息进行重点保护。
对第三方产品和服务的管理不足。第三方SDK、第三方产品和服务接入互联网平台时,互联网公司未充分尽到管理责任,也未与第三方约定好各自权利与义务,导致个人信息被多方收集,滥用和泄露的风险大增。
自我监管不足。在合规方面投入不足,内部个人信息、敏感个人信息的存储和使用不清晰,对安全合规风险的感知能力不足。
个人信息权利保障不足。仍然存在保障个人信息的可携带权、删除权等权利方面支撑不足。
数据安全合规包括个人信息安全合规,数据安全合规与信息系统、业务、场景等紧密关联,对数据安全合规进行深入地审计需要基于日志等证据数据,进行关联分析、综合评判,这就对审计机构提出了较高的要求。外部审计比较难深入业务、了解细节,可能存在审计不充分的问题,缺少刻画出数据流转、数据流向、全生命周期关联活动的技术证据,而且评估、审计等缺乏一定的时效性,监管存在滞后。
除了技术难度和业务复杂等因素,立场的问题亟需解决。在审计、评估、审查等数据处理者需要举证的环节,大多数时候是基于自证,缺少他证,影响证据的可信度。
数据作为一种“生产要素”,就确立了其在新时代中国特色社会主义经济中的地位。个人信息在《民法典》中明确为一项人格权益,面向数据安全合规特别是个人信息安全合规,引入政治可靠、技术过硬、值得信赖的第三方数据安全合规服务方势在必行。
面向互联网公司时,数据安全合规服务方作为合规服务商,提供合规风险评估、合规咨询、策略制定与管理、数据保护、持续提升等数据合规服务,帮助企业实现数据安全合规能力的提升。
面向监管时,数据安全合规方作为可信存证方、技术支撑方,提供监管所需的监管接口支撑、技术服务支撑。
面向个人用户时,数据安全合规服务商作为可信第三方,提供信任证据,增强个人用户对互联网平台的信任。
引入可信的第三方数据安全合规服务方,其面向企业提供服务、面向监管机构提供支撑、面向用户提供信任证明,最终可以形成一种可增强多方信任的数据安全合规治理架构。
作者:卫士通数据安全事业部副总经理 王龙