​又是一年315,个人信息安全合规之路在何方?

VSole2022-03-16 16:30:10

2018年,欧盟出台了《通用数据保护条例》(GDPR)。

2019年,谷歌因为未获得用户许可定向发送广告收到了高额的罚单,同年也是我国个人信息保护的元年。这一年,针对个人信息保护国内监管部门开始开展了相关整治活动,公安部发布了《互联网个人信息安全保护指南》,国家互联网信息办公室发布了《数据安全管理办法》(征求意见稿)……也是从这一年开始,央视315晚会曝光了某公司违法收集用户个人信息的数据安全事件。

2020年,315晚会曝光多个手机APP的 SDK 插件窃取用户隐私,比如运营商信息、电话号码、短信记录、通讯录、传感器信息等。

2021年,同样是在315晚会上,个人信息泄露成了最重磅的主题:商家无处不在的摄像头无声无息中获取我们的人脸识别信息,数百万份个人简历信息在网上被转卖,手机清理类软件偷偷收集老人手机里的信息

又是一年315,毫无悬念,信息安全与个人信息保护连续第四年出现在晚会议题中。在今年的315晚会上,首设“315信息安全实验室”,重点关注网络信息安全和儿童互动产品的信息安全。实验室曝光的“虚假Wi-Fi连接”类App后台高频次搜集信息乱象,以及通报“2021年工业和信息化部‘聚焦违规调用手机权限,超范围收集个人信息’等APP专项整治工作”成果,再一次将数字时代消费者面临的个人信息安全和隐私保护问题放到了“聚光灯”下。正如晚会总导演尹文所言:“3·15晚会不是为了打击谁,而是给一些厂家一个善意的提醒。你在做好产品的同时,别忘了你的软件背后的安全也很重要。信息安全在万物互联时代,比产品本身更重要……”

2019-2022,连续四年都曝出消费者个人信息被违法违规收集使用的情况,我们不禁要问,难道保障个人信息安全真的这么难吗?

时至今日,我们的日常生活几乎都与互联网息息相关,我们在互联网上的每一个操作、每一次停留都可能以“痕迹”之名保留下来,甚至对应到个人的隐私信息,被称之为“用户画像”。从商业角度而言,互联网平台自然希望通过掌握用户画像,分析用户的偏好,以达到精准推送的商业目的。过去,这些成为互联网行业发展的重要动力和潜在规则。然而,随着“强化反垄断和防止资本无序扩张”被列为2021年中央经济工作会议的八项重点任务之一,《数据安全法》、《个人信息保护法》等法律法规的颁布,涉嫌过度收集和利用个人信息已成为悬在一些互联网公司头顶的达摩克利斯之剑。当然,很多互联网公司也在积极响应国家政策和法律要求,加强了关于个人信息安全合规的整改,但过程中依然存在一些问题,也面临一些难题。

在处理信息时落实“最小方式、最小范围、最短时间”的原则依然不到位。互联网公司仅从业务出发考虑数据采集和处理的问题,数据采集和处理的必要性、影响性评估不足,仍然可能存在过度收集、超范围使用等现象。

对敏感个人信息处理的重视不足。对自身采集了哪些敏感信息,实施了怎样的保护,有什么样的风险感知不足,未采取单独的保护措施或处理规则对敏感个人信息进行重点保护。

对第三方产品和服务的管理不足。第三方SDK、第三方产品和服务接入互联网平台时,互联网公司未充分尽到管理责任,也未与第三方约定好各自权利与义务,导致个人信息被多方收集,滥用和泄露的风险大增。

自我监管不足。在合规方面投入不足,内部个人信息、敏感个人信息的存储和使用不清晰,对安全合规风险的感知能力不足。

个人信息权利保障不足。仍然存在保障个人信息的可携带权、删除权等权利方面支撑不足。

数据安全合规包括个人信息安全合规,数据安全合规与信息系统、业务、场景等紧密关联,对数据安全合规进行深入地审计需要基于日志等证据数据,进行关联分析、综合评判,这就对审计机构提出了较高的要求。外部审计比较难深入业务、了解细节,可能存在审计不充分的问题,缺少刻画出数据流转、数据流向、全生命周期关联活动的技术证据,而且评估、审计等缺乏一定的时效性,监管存在滞后。

除了技术难度和业务复杂等因素,立场的问题亟需解决。在审计、评估、审查等数据处理者需要举证的环节,大多数时候是基于自证,缺少他证,影响证据的可信度。

数据作为一种“生产要素”,就确立了其在新时代中国特色社会主义经济中的地位。个人信息在《民法典》中明确为一项人格权益,面向数据安全合规特别是个人信息安全合规,引入政治可靠、技术过硬、值得信赖的第三方数据安全合规服务方势在必行。

面向互联网公司时,数据安全合规服务方作为合规服务商,提供合规风险评估、合规咨询、策略制定与管理、数据保护、持续提升等数据合规服务,帮助企业实现数据安全合规能力的提升。

面向监管时,数据安全合规方作为可信存证方、技术支撑方,提供监管所需的监管接口支撑、技术服务支撑。

面向个人用户时,数据安全合规服务商作为可信第三方,提供信任证据,增强个人用户对互联网平台的信任。

引入可信的第三方数据安全合规服务方,其面向企业提供服务、面向监管机构提供支撑、面向用户提供信任证明,最终可以形成一种可增强多方信任的数据安全合规治理架构。

作者:卫士通数据安全事业部副总经理 王龙 

信息安全数据安全
本作品采用《CC 协议》,转载必须注明作者和本文链接
本次年会由公安部网络安全保卫局指导,中国计算机学会主办,计算机安全专业委员会承办。网络安全作为网络强国、数字中国的底座,将在未来的发展中承担托底的重担,是我国现代化产业体系中不可或缺的部分。为办好本次大会,充分发挥专委会在服务国家网络安全战略发展需要,促进学术成果交流,提升学术研究水平的作用,本次会议的主题为“夯实网络安全防线,构建中国式现代化网络强国”。
信查查通过多年在网络安全行业的耕耘,成为了众多单位、电信、银行、电商、高等院校、医院、企业等单位的长期合作伙伴。从个人层面来看,网安问题会带来私人信息泄露,进而威胁生命、财产安全。从政企层面来看,关键数据资产的泄露可能招致国家网络信息系统被攻击的危险,尤其是针对关键性基础设施的网络攻击会导致重大国家安全事故。
构建安全数据底座,护航数字经济发展。数据已成为数字经济时代最为活跃的新型生产要素。
本指南依据《信息安全技术 数据安全能力成熟度模型》(简称DSMM)制定,以数据为核心,重点围绕数据生命周期,从组织建设、制度流程、技术工具和人员能力等四个方面,提供数据安全能力建设的具体实施指南,为组织数据安全能力建设提供参考。
指引制定背景随着近年来相关法律法规与行业标准相继出台,数据安全体系建设的监管要求日趋严格。基本原则在过程域划分原则上,指引中的数据存储阶段涵盖了数据删除和数据销毁两个环节,进行了部分环节的合并与调整。同时指引还针对数据安全管理部门、合规风控部门、业务管理部门、信息技术部门和内部审计部门明确了各部门的数据安全管理职责的责任划分,建立了数据安全工作分工协作的机制。
遇到的考验与挑战数据安全治理咨询现状数据安全治理指的是数据安全分类分级、个人数据风险评估等与数据安全相关的咨询服务。为解决客户的数据安全分类分级及数据风险评估,明朝万达提供了一整套的底层基础能力,支撑对客户的数据安全分类分级和数据风险评估的数据安全领域的咨询团队、专用工具集、方法论和经验沉淀、数据安全产品及研发团队和驻场人员。
数据时代,数据自身安全以及数据保护的安全成为关注的重点,工业化互联网数据安全成为工业互联网发展的重要基础,随着《数据安全法》的正式颁布,数据在安全体系中占据了核心地位。其中,数据信息安全强调保护数据资产不受意外或未经授权的访问、更改或破坏,确保其可用性、完整性和机密性。流入控制系统的信息必须受到充分保护,同时还要保护物理过程的安全性和弹性。
数据安全问题涉及公众利益、社会稳定与国家安全,亟需规范安全管理,加强安全防护。而数据安全标准是开展数据安全管理、规范行业数据安全要求、指导企业提升数据安全能力的重要抓手。
近年来,国内外数据泄露事件频发,大量企业的商业利益、声誉受损。数据安全法律法规相继颁布,监管力度不断升级,企业逐渐意识到数据安全治理的重要性与紧迫性。通过对2021年开展的企业数据安全治理能力评估现状进行整理,总结企业数据安全治理工作在组织建设、人才培养、技术工具等方面的现状与趋势,提供能力提升思路,以供业界参考。
作为我国数据安全领域的基础性法律、 国家安全领域的重要法律,《数据安全法》的出台体现了当前数字经济发展对安全的关键需求,为我国数据安全的发展之路提供了指引。
VSole
网络安全专家