《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 又是一年315,,個人信息安全合規(guī)之路在何方,?

又是一年315,個人信息安全合規(guī)之路在何方,?

2022-03-19
來源:信息安全與通信保密雜志社
關(guān)鍵詞: 信息安全

  2018年,歐盟出臺了《通用數(shù)據(jù)保護條例》(GDPR)。

  2019年,,谷歌因為未獲得用戶許可定向發(fā)送廣告收到了高額的罰單,同年也是我國個人信息保護的元年,。這一年,,針對個人信息保護國內(nèi)監(jiān)管部門開始開展了相關(guān)整治活動,公安部發(fā)布了《互聯(lián)網(wǎng)個人信息安全保護指南》,,國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《數(shù)據(jù)安全管理辦法》(征求意見稿)……也是從這一年開始,,央視315晚會曝光了某公司違法收集用戶個人信息的數(shù)據(jù)安全事件。

  2020年,,315晚會曝光多個手機APP的 SDK 插件竊取用戶隱私,,比如運營商信息、電話號碼,、短信記錄,、通訊錄、傳感器信息等,。

  2021年,,同樣是在315晚會上,個人信息泄露成了最重磅的主題:商家無處不在的攝像頭無聲無息中獲取我們的人臉識別信息,,數(shù)百萬份個人簡歷信息在網(wǎng)上被轉(zhuǎn)賣,,手機清理類軟件偷偷收集老人手機里的信息

  又是一年315,,毫無懸念,信息安全與個人信息保護連續(xù)第四年出現(xiàn)在晚會議題中,。在今年的315晚會上,,首設“315信息安全實驗室”,重點關(guān)注網(wǎng)絡信息安全和兒童互動產(chǎn)品的信息安全,。實驗室曝光的“虛假Wi-Fi連接”類App后臺高頻次搜集信息亂象,,以及通報“2021年工業(yè)和信息化部‘聚焦違規(guī)調(diào)用手機權(quán)限,超范圍收集個人信息’等APP專項整治工作”成果,,再一次將數(shù)字時代消費者面臨的個人信息安全和隱私保護問題放到了“聚光燈”下,。正如晚會總導演尹文所言:“3·15晚會不是為了打擊誰,而是給一些廠家一個善意的提醒,。你在做好產(chǎn)品的同時,,別忘了你的軟件背后的安全也很重要。信息安全在萬物互聯(lián)時代,,比產(chǎn)品本身更重要……”

  2019-2022,,連續(xù)四年都曝出消費者個人信息被違法違規(guī)收集使用的情況,我們不禁要問,,難道保障個人信息安全真的這么難嗎,?

  時至今日,我們的日常生活幾乎都與互聯(lián)網(wǎng)息息相關(guān),,我們在互聯(lián)網(wǎng)上的每一個操作,、每一次停留都可能以“痕跡”之名保留下來,甚至對應到個人的隱私信息,,被稱之為“用戶畫像”,。從商業(yè)角度而言,互聯(lián)網(wǎng)平臺自然希望通過掌握用戶畫像,,分析用戶的偏好,,以達到精準推送的商業(yè)目的。過去,,這些成為互聯(lián)網(wǎng)行業(yè)發(fā)展的重要動力和潛在規(guī)則,。然而,隨著“強化反壟斷和防止資本無序擴張”被列為2021年中央經(jīng)濟工作會議的八項重點任務之一,,《數(shù)據(jù)安全法》,、《個人信息保護法》等法律法規(guī)的頒布,涉嫌過度收集和利用個人信息已成為懸在一些互聯(lián)網(wǎng)公司頭頂?shù)倪_摩克利斯之劍,。當然,,很多互聯(lián)網(wǎng)公司也在積極響應國家政策和法律要求,加強了關(guān)于個人信息安全合規(guī)的整改,但過程中依然存在一些問題,,也面臨一些難題,。

  在處理信息時落實“最小方式、最小范圍,、最短時間”的原則依然不到位,。互聯(lián)網(wǎng)公司僅從業(yè)務出發(fā)考慮數(shù)據(jù)采集和處理的問題,,數(shù)據(jù)采集和處理的必要性,、影響性評估不足,仍然可能存在過度收集,、超范圍使用等現(xiàn)象,。

  對敏感個人信息處理的重視不足。對自身采集了哪些敏感信息,,實施了怎樣的保護,,有什么樣的風險感知不足,未采取單獨的保護措施或處理規(guī)則對敏感個人信息進行重點保護,。

  對第三方產(chǎn)品和服務的管理不足,。第三方SDK、第三方產(chǎn)品和服務接入互聯(lián)網(wǎng)平臺時,,互聯(lián)網(wǎng)公司未充分盡到管理責任,,也未與第三方約定好各自權(quán)利與義務,導致個人信息被多方收集,,濫用和泄露的風險大增。

  自我監(jiān)管不足,。在合規(guī)方面投入不足,,內(nèi)部個人信息、敏感個人信息的存儲和使用不清晰,,對安全合規(guī)風險的感知能力不足,。

  個人信息權(quán)利保障不足。仍然存在保障個人信息的可攜帶權(quán),、刪除權(quán)等權(quán)利方面支撐不足,。

  數(shù)據(jù)安全合規(guī)包括個人信息安全合規(guī),數(shù)據(jù)安全合規(guī)與信息系統(tǒng),、業(yè)務,、場景等緊密關(guān)聯(lián),對數(shù)據(jù)安全合規(guī)進行深入地審計需要基于日志等證據(jù)數(shù)據(jù),,進行關(guān)聯(lián)分析,、綜合評判,這就對審計機構(gòu)提出了較高的要求。外部審計比較難深入業(yè)務,、了解細節(jié),,可能存在審計不充分的問題,缺少刻畫出數(shù)據(jù)流轉(zhuǎn),、數(shù)據(jù)流向,、全生命周期關(guān)聯(lián)活動的技術(shù)證據(jù),而且評估,、審計等缺乏一定的時效性,,監(jiān)管存在滯后。

  除了技術(shù)難度和業(yè)務復雜等因素,,立場的問題亟需解決,。在審計、評估,、審查等數(shù)據(jù)處理者需要舉證的環(huán)節(jié),,大多數(shù)時候是基于自證,缺少他證,,影響證據(jù)的可信度,。

  數(shù)據(jù)作為一種“生產(chǎn)要素”,就確立了其在新時代中國特色社會主義經(jīng)濟中的地位,。個人信息在《民法典》中明確為一項人格權(quán)益,,面向數(shù)據(jù)安全合規(guī)特別是個人信息安全合規(guī),引入政治可靠,、技術(shù)過硬,、值得信賴的第三方數(shù)據(jù)安全合規(guī)服務方勢在必行。

  面向互聯(lián)網(wǎng)公司時,,數(shù)據(jù)安全合規(guī)服務方作為合規(guī)服務商,,提供合規(guī)風險評估、合規(guī)咨詢,、策略制定與管理,、數(shù)據(jù)保護、持續(xù)提升等數(shù)據(jù)合規(guī)服務,,幫助企業(yè)實現(xiàn)數(shù)據(jù)安全合規(guī)能力的提升,。

  面向監(jiān)管時,數(shù)據(jù)安全合規(guī)方作為可信存證方,、技術(shù)支撐方,,提供監(jiān)管所需的監(jiān)管接口支撐、技術(shù)服務支撐,。

  面向個人用戶時,,數(shù)據(jù)安全合規(guī)服務商作為可信第三方,,提供信任證據(jù),增強個人用戶對互聯(lián)網(wǎng)平臺的信任,。

  引入可信的第三方數(shù)據(jù)安全合規(guī)服務方,,其面向企業(yè)提供服務、面向監(jiān)管機構(gòu)提供支撐,、面向用戶提供信任證明,,最終可以形成一種可增強多方信任的數(shù)據(jù)安全合規(guī)治理架構(gòu)。




微信圖片_20220318121103.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。