首页 > 信息安全 > 正文

两会关注用户隐私保护,互联网企业如何履责

2017-03-17 09:40:19  来源:数字化企业网

摘要:3月4日,十二届全国人大五次会议大会发言人傅莹在发布会上介绍,今年将开展网络安全执法检查,关注重点之一就是加强个人信息保护。那么,企业应当如何履责?
关键词: 隐私保护 互联网 信息安全
  3月4日,十二届全国人大五次会议大会发言人傅莹在发布会上介绍,今年将开展网络安全执法检查,关注重点之一就是加强个人信息保护。
 
  她提到,“今年准备对网络安全开展执法检查,关注重点之一就是现在社会上特别关心的问题,就是非法向他人提供个人信息和网络诈骗。”
 
  从国家立法和执法的层面上,将个人隐私信息保护提高到了前所未有的高度,那么企业应当如何积极响应,切实履行保护职责呢?
 
  \
 
 图 企业应当如何履责
 
  1、隐私的范围和管控的重点
 
  在讨论隐私保护之前,我们必须知道所谓用户隐私保护,它的范围应当如何界定。最直观的感受来说,个人隐私信息应当包括:姓名、身份证号码、手机号码、邮箱,这些最为常用的信息被黑市称为四大件。从更广义的范围来说,个人隐私信息不止于此。
 
  这样的法律规定,给企业明确个人隐私保护的范围提供了切实可行的参考。
 
  在互联网行业,信息泄露的事件频频发生,据不完全统计,我国2016年全年在黑市上泄露的个人信息达到65亿条次,也就是说,在我国,平均每个人的个人信息被至少泄露了5次。
 
  而这一次个人隐私保护在人大会议上被提出,并得到如此高度的重视,笔者认为有两个原因:
 
  前期的立法准备已经完成,从刑法第九修正案、网络安全法,到准备提请审议的民法总则和电子商务法,都已经明确将个人信息的泄露、非法提供、出售定义为违法犯罪行为,并对涉及个人信息处理的企业提出了信息保护的要求;
 
  随着互联网产业的迅猛发展,企业对数据的渴望愈发激烈,这样刺激了数据交易市场的野蛮生长,正规、非法的企业鱼龙混杂,而由此催生出的数据窃取、电信诈骗、非法数据交易给社会、公民带来的损失已经触目惊心,到了不得不大力打击的阶段。
 
  2、互联网行业应当如何保护用户的个人隐私信息
 
  对于大多数的互联网公司来说,我们本身的业务并不会直接的侵犯用户的隐私,但是除了对电信诈骗、数据非法交易的直接打击,网络安全执法检查的重点同样必然会关注到企业如何切实履行好个人隐私保护的义务。
 
  接下来,笔者将从几个不同的方面,谈谈互联网企业履行用户个人隐私保护义务需要关注的一些事情。
 
  1)明确用户隐私信息范围,完善管理要求
 
  企业实施用户隐私信息保护的前提条件,是明确定义出哪些信息应当作为用户个人隐私信息进行保护。对于很多互联网公司而言,用户信息收集的视角非常之多,除了四大件之外,还可能涉及银行卡、支付宝、微信支付等网络支付信息,手机型号、电脑型号、浏览器类型等终端设备信息,甚至上网时间分布、关注信息偏好等用户个人喜好、习惯信息。
 
  关注用户隐私信息保护,需要从风险的角度,识别风险场景和信息的相关性,从而明确隐私保护的重点范围,将有限的资源分配到高风险的用户信息字段,一般而言,我们会将姓名、手机号、邮箱地址、账号密码、联系地址、银行卡信息(或其他支付渠道信息)作为重点保护的对象,这些都是非法数据交易市场中交易最为活跃的信息。
 
  在明确保护对象的基础上,企业应当建立健全用户隐私信息保护的管理制度和要求,使得企业在用户敏感信息保护方面做到有法可依。梳理用户隐私信息保护的管理制度和要求,可以从多个视角来考虑:
 
  一是从数据的生命周期角度来考虑,对数据的产生、存储、流转、使用、废弃等不同阶段涉及介质、系统、终端、人员进行识别,明确不同阶段的使用要求。
 
  另一种视角,则是从用户隐私信息涉及到的所有者、管理者、使用者的角度,分别提出不同的要求,基本要求应当包括:
 
  用户个人隐私数据的可接受使用,即哪些人通过哪些系统可以访问哪些数据(应当有数据所有者来定义);
 
  用户个人隐私数据的使用流程,即对于批量数据查询、非授权人员对用户隐私数据使用的场景应当如何通过流程进行授权管理,保证披露范围合法、可控,披露过程可追溯(使用者应当遵守的流程);
 
  用户个人隐私数据的管理流程,即从信息系统管理者的角度如何保证用户个人隐私数据不被非授权访问、隐私信息介质被妥善保护、数据访问过程可追溯、废弃数据妥善被销毁等(管理者应当执行的流程);
 
  违反个人隐私数据保护管理要求的情况下,应当受到何种处罚或惩戒。
 
  通过建立完整的用户隐私数据保护管理的制度、要求,可以形成全局性的对个人隐私保护的共识,明确不同角色、岗位人员应当承担的责任和履行的义务,最终从管理机制上形成“有法可依”的基础性保护。
 
  2)明确用户信息收集的范围和用途
 
  除了内部应当建立起用户隐私保护的管理机制外,与用户就信息的收集、使用达成一致性的共识,也是互联网企业必须关注的重点。
 
  这一要求明确提出,互联网企业在为用户提供服务之前,必须明确告知用户,在服务过程中会收集到哪些信息,以及这些信息将被用于哪些用途以及使用的范围。只有在获得用户许可的前提下,才可以收集相关的信息。
 
  尽管实际的操作过程当中,用户可能并不会逐字逐句的阅读用户协议,但是从执法机构的角度而言,这是企业对用户隐私保护的基本承诺和企业践行用户隐私保护的基本依据。
 
  同时,如果在检查的过程中,发现了企业对某些用户信息进行了收集却未在用户协议中提示,或是收集的信息超出了约定的使用范围,执法机构也会要求企业进行整改。
 
  3、选择合法的数据服务商渠道
 
  在人大发言人傅莹关于个人隐私保护的讲话中,她提到了大数据发展的背景。而当前,在提供数据服务的市场中,实际上很难对很多的数据服务提供商的数据来源进行甄别,而其中一些所谓的大数据服务公司,其实就是打着大数据的幌子从事着个人隐私数据交易的非法业务。
 
  对于很多的互联网企业来说,选择依法合规的数据服务供应商也是一个必然的选择,非法的数据交易也必然会成为执法检查和打击的重点。
 
  我们必须甄别数据服务提供商的成色,在法律文书中明确的约定数据服务提供商对于其提供的数据所应当承担的法律责任,同时,杜绝数据内容涉嫌违法的高风险交易,从而切实履行企业的个人隐私保护责任。
 
  4、建立覆盖全生命周期的用户信息保护技术体系
 
  细观当前的个人隐私数据交易市场,实际上我们可以看到非常多的数据是一些黑客通过技术手段,非法窃取的数据。
 
  对于互联网企业而言,越来越庞杂的用户互联网服务入口,也为很多技术高超的黑客留下了很多的可能性。这给企业内部的信息安全工程师提出了一个很难的课题,如何建立完整的数据安全防护体系,将用户隐私信息置于铜墙铁壁之内,这将是个不小的挑战。
 
  尽管当前市场上数据保护的安全工具很多,但如何能够使这些工具协同的发挥效力,是我们安全从业者必须考虑的问题。
 
  从笔者的角度来说,数据泄露的风险来源可以分为两个方面:
 
  外部黑客攻击导致
  内部的恶意人员的泄露
 
  这两个不同类型的风险来源,需要我们采用不同的数据安全工具的组合,以建立不同的数据防护机制。
 
  对外部黑客攻击而言,一般性的安全工具组合可能会包括:
 
  应用防火墙(WAF)
  入侵侦测系统(IPS)
  数据泄露防护系统(DLP)
  数据库防火墙(DBF)
  数据库审计工具(DBA)
  数据库加密工具
 
  通过这些工具的组合,试图对可能发生的黑客入侵行为进行预警、阻断和追溯,从而尽最大可能避免大规模的数据泄露事件发生。
 
  对内部恶意人员的泄露,一般性的安全工具组合可能包括终端安全管理工具(对数据传输接口进行限制)、终端数据泄露防护、网关数据泄露防护、虚拟桌面(数据不落地)、文档加密工具、数据加密工具、数据脱敏工具、数据库防火墙、数据库审计工具等。通过这些工具的组合,可以实现对数据库管理员、数据工程师、业务运营人员的高危数据操作风险的管理,包括数据导出、下载、外传、批量查询等。
 
  上述的两类风险的防护,需要基于用户隐私数据的动静态分布和流转进行全面的分析,识别数据的暴露节点、暴露对象、暴露途径,从而搭建起完整的防护机制,使各类工具能够协同作用,形成合力,避免木桶理论中的短板出现。
 
  5、建立用户隐私数据保护的共识和文化
 
  最后需要强调的一点是,如何在企业内部形成用户隐私信息保护的文化。
 
  如前文所述,尽管我们可以通过技术手段扎起一些篱笆,提高数据泄露的难度,但是要较为彻底的解决这个问题,需要通过培训、监督、奖惩机制形成企业员工对“用户隐私保护是我的责任”这样一种共识和文化。
 
  从培训的角度来说,除了一般性的数据隐私保护的培训之外,企业应当特别针对数据安全敏感的岗位、人员进行有针对性的培训。对于日常经常可以方便的接触到用户隐私信息的客服人员、运营人员、销售人员,他们必须知道哪些用户信息可以在什么样的范围内如何使用,哪些常见的行为是被禁止甚至是违法的,以及公司设置了怎样的技术措施来监控,从而起到震慑效果。
 
  此外,进行大数据分析的数据工程师,以及后台的数据库管理员,也应当通过培训,了解公司关于用户隐私信息的保护要求和管理流程,从而保证在处理数据服务请求时,能够做到依法、合规。
 
  需要特别提出的一点是,建立用户隐私信息保护的文化,不仅需要信息安全人员的奔走相告或是严厉的监督、惩戒机制,更需要管理层的大力推动和全员的身体力行。
责编:liuhan
分享到: