對於個人信息保護,大衆都會有一個“刻板印象”,我們默認網絡運營者會保護他們收集到的個人信息不被泄露。
雖然,網絡安全法規定網絡運營者有責任和義務保護客戶的個人信息。
但是,法律歸法律,現實是現實。
比如,在2018年,某原新三板掛牌公司涉嫌非法竊取 30 億條用戶數據,操控用戶賬號進行微博、微信、QQ、抖音等社交平臺的加粉、刷量、加羣、違規推廣,從中獲利.
涉及包括百度、阿里、騰訊、今日頭條在內的全國 96 家互聯網公司。該公司一年營收就超過 3000 萬元。
30 億條數據,多麼聳人聽聞,那麼,這些數據是從哪來的?
該公司與全國十餘省市的電信、移動、聯通、鐵通、廣電等運營商簽訂營銷廣告系統服務合同,爲運營商提供精準廣告投放系統的開發、維護。
進而拿到了運營商服務器的遠程登錄權限,然後將非法程序置入用於自動採集用戶 cookie、手機號等信息。
現如今互聯網越來越便利,智能手機的普及,幾乎人手一臺手機,再加上實名制的要求,因此電信、移動等運營商手上必定掌握着大量的用戶個人信息。
爲此,運營商也做了許多安全方面的措施,由於內部結構複雜,業務系統衆多,數據量大,安全措施無法全方位覆蓋。
真正要做好用戶個人信息的安全防護,首先要站在法制高度,滿足合規的要求,從內部入手,從數據維度綜合考慮。
合規
頂住個人信息安全的一片天
《中華人民共和國網絡安全法》的頒佈給個人信息的保護帶來了曙光,《網絡安全法》整個第四章都在描述個人信息的合規收集和保護:
第四十條 網絡運營者應當對其收集的用戶信息嚴格保密,並建立健全用戶信息保護制度。
第四十一條 網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。
第四十二條 網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。
第四十四條 任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。
第四十七條 網絡運營者應當加強對其用戶發佈的信息的管理,發現法律、行政法規禁止發佈或者傳輸的信息的,應當立即停止傳輸該信息,採取消除等處置措施,防止信息擴散,保存有關記錄,並向有關主管部門報告。
第四十九條 網絡運營者應當建立網絡信息安全投訴、舉報制度,公佈投訴、舉報方式等信息,及時受理並處理有關網絡信息安全的投訴和舉報。
有關個人信息保護的合規政策步伐仍在繼續。
《個人信息保護法(草案)》
《信息安全技術 個人信息安全規範》
……
未來還會有更多的有關個人信息安全的法規政策落到實處,由法規政策爲個人信息的安全頂住一片天。
撐起個人信息的“保護傘”:
數據安全合規檢測與防護
運營商的用戶個人信息數據真實程度很高;通過對大數據的採集可以得到精確的用戶敏感信息,例如位置信息;
有了這些個人信息作爲基石,通過大數據關聯分析,可以全面瞭解用戶各種行爲愛好,理論上這些個人信息可以挖掘出巨大的商業價值。
世平信息建議,在大監管背景下,從數據運營維度,依據數據全生命週期構建各個環節個人信息安全防護能力,依託大數據平臺將日常安全管理工作嵌入到用戶個人信息數據採集、傳輸、存儲、使用、共享與銷燬之中,運用智能化(機器學習、人工智能AI、自然語言處理NLP等)技術。
突破傳統的安全管控模式,融合合規檢測與安全防護,將原先離散的數據安全防護能力、缺失的數據安全合規檢測能力做深度結合。
融合數據分級分類管理、數據合規檢測、數據動態/靜態脫敏、數據水印追溯審計、UEBA(異常行爲監測預警)等能力,建立一套完整的、創新的、實用的全生命週期個人信息數據安全合規檢測與安全防護體系。
一旦泄露給運營商造成損失,還會給用戶帶了一定的困擾,爲個人信息撐起“保護傘”勢在必行。