撑起个人信息的“保护伞
作者:星期四, 七月 2, 20200

近期跟朋友聊天的时候,朋友说受我的影响,现在对于个人信息的关注度高了不少,以前觉得通过个人信息换取相应的服务从来没有担心过服务方泄露个人信息的问题,下意识会认为服务商会保护好我们的个人信息。

确实,作为互联网服务的提供方,我们把自己的个人信息交给了他们,他们有义务也有责任保护用户的个人信息。

事实上是怎样的呢?提一件2年前发生的事情,新三板挂牌公司瑞智华胜涉嫌非法窃取 30 亿条用户数据,操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广,非法获利,涉及包括百度,阿里,腾讯、今日头条在内的全国 96 家互联网公司,瑞智华胜旗下一家公司一年营收就超过 3000 万元。

瑞智华胜这些数据从哪里窃取来的呢?瑞智华胜与全国十余省市的电信、移动、联通、铁通、广电等运营商签订营销广告系统服务合同,为运营商提供精准广告投放系统的开发、维护,进而拿到了运营商服务器的远程登录权限,然后将非法程序置入用于自动采集用户 cookie、手机号等信息。

现如今互联网越来越便利,智能手机的普及,几乎人手一台手机,再加上实名制的要求,因此电信、移动等运营商手上必定掌握着大量的用户个人信息。为此,运营商也做了许多安全方面的措施,由于内部结构复杂,业务系统众多,数据量大,总有没有覆盖到的地方。真正要做好用户个人信息的安全防护,首先站在法制高度,满足合规的要求,从内部入手,从数据维度综合考虑。

顶住个人信息安全的“一片天”——合规

《中华人民共和国网络安全法》的颁布给个人信息的保护带来了曙光,《网络安全法》整个第四章都在描述个人信息的合规收集和保护:

第四十条  网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。

第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

第四十七条 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。

第四十九条 网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。

有关个人信息保护的合规政策步伐仍在继续;

《个人信息保护法(草案)》

《信息安全技术 个人信息安全规范》

……

未来还会有更多的有关个人信息安全的法规政策落到实处,由法规政策为个人信息的安全顶住一片天。

撑起个人信息的“保护伞”——检测与防护

运营商的用户个人信息数据真实程度很高;通过对大数据的采集可以得到精确的用户敏感信息,例如个人基本信息、家庭成员信息以及位置信息等,有了这些个人信息作为基石,通过大数据关联分析,可以全面了解用户各种行为爱好,理论上这些个人信息可以挖掘出巨大的商业价值,一旦泄露不仅给运营商造成损失,还会给用户带了极大的困扰。

因此,在大监管背景下,我们需要从数据运营维度,将日常安全管理工作嵌入到用户个人信息数据采集、传输、存储、使用、共享与销毁之中,围绕数据全生命周期构建起各个环节个人信息的安全防护能力。

一方面,基于国家和各行业相关法律法规的要求,通过运用智能化(机器学习、人工智能AI、自然语言处理NLP等)技术,检测各类用户个人信息的敏感程度与合规情况,排查个人信息泄露隐患,实现用户个人信息的精细化管理。

另一方面,我们要突破传统的、离散的安全管控模式,将内容管控、数据鉴权、数据脱敏、数据水印溯源以及异常行为监测预警等能力进行融合,建立起一套完整的全生命周期个人信息安全防护体系,降低个人信息泄露风险,实现个人信息有效保护。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章