?又是一年315，個人信息安全合規之路在何方？

VSole2022-03-16 16:30:10

2018年，歐盟出臺了《通用數據保護條例》（GDPR）。

2019年，谷歌因為未獲得用戶許可定向發送廣告收到了高額的罰單，同年也是我國個人信息保護的元年。這一年，針對個人信息保護國內監管部門開始開展了相關整治活動，公安部發布了《互聯網個人信息安全保護指南》，國家互聯網信息辦公室發布了《數據安全管理辦法》（征求意見稿）……也是從這一年開始，央視315晚會曝光了某公司違法收集用戶個人信息的數據安全事件。

2020年，315晚會曝光多個手機APP的 SDK 插件竊取用戶隱私，比如運營商信息、電話號碼、短信記錄、通訊錄、傳感器信息等。

2021年，同樣是在315晚會上，個人信息泄露成了最重磅的主題：商家無處不在的攝像頭無聲無息中獲取我們的人臉識別信息，數百萬份個人簡歷信息在網上被轉賣，手機清理類軟件偷偷收集老人手機里的信息

又是一年315，毫無懸念，信息安全與個人信息保護連續第四年出現在晚會議題中。在今年的315晚會上，首設“315信息安全實驗室”，重點關注網絡信息安全和兒童互動產品的信息安全。實驗室曝光的“虛假Wi-Fi連接”類App后臺高頻次搜集信息亂象，以及通報“2021年工業和信息化部‘聚焦違規調用手機權限，超范圍收集個人信息’等APP專項整治工作”成果，再一次將數字時代消費者面臨的個人信息安全和隱私保護問題放到了“聚光燈”下。正如晚會總導演尹文所言：“3·15晚會不是為了打擊誰，而是給一些廠家一個善意的提醒。你在做好產品的同時，別忘了你的軟件背后的安全也很重要。信息安全在萬物互聯時代，比產品本身更重要……”

2019-2022，連續四年都曝出消費者個人信息被違法違規收集使用的情況，我們不禁要問，難道保障個人信息安全真的這么難嗎？

時至今日，我們的日常生活幾乎都與互聯網息息相關，我們在互聯網上的每一個操作、每一次停留都可能以“痕跡”之名保留下來，甚至對應到個人的隱私信息，被稱之為“用戶畫像”。從商業角度而言，互聯網平臺自然希望通過掌握用戶畫像，分析用戶的偏好，以達到精準推送的商業目的。過去，這些成為互聯網行業發展的重要動力和潛在規則。然而，隨著“強化反壟斷和防止資本無序擴張”被列為2021年中央經濟工作會議的八項重點任務之一，《數據安全法》、《個人信息保護法》等法律法規的頒布，涉嫌過度收集和利用個人信息已成為懸在一些互聯網公司頭頂的達摩克利斯之劍。當然，很多互聯網公司也在積極響應國家政策和法律要求，加強了關于個人信息安全合規的整改，但過程中依然存在一些問題，也面臨一些難題。

在處理信息時落實“最小方式、最小范圍、最短時間”的原則依然不到位。互聯網公司僅從業務出發考慮數據采集和處理的問題，數據采集和處理的必要性、影響性評估不足，仍然可能存在過度收集、超范圍使用等現象。

對敏感個人信息處理的重視不足。對自身采集了哪些敏感信息，實施了怎樣的保護，有什么樣的風險感知不足，未采取單獨的保護措施或處理規則對敏感個人信息進行重點保護。

對第三方產品和服務的管理不足。第三方SDK、第三方產品和服務接入互聯網平臺時，互聯網公司未充分盡到管理責任，也未與第三方約定好各自權利與義務，導致個人信息被多方收集，濫用和泄露的風險大增。

自我監管不足。在合規方面投入不足，內部個人信息、敏感個人信息的存儲和使用不清晰，對安全合規風險的感知能力不足。

個人信息權利保障不足。仍然存在保障個人信息的可攜帶權、刪除權等權利方面支撐不足。

數據安全合規包括個人信息安全合規，數據安全合規與信息系統、業務、場景等緊密關聯，對數據安全合規進行深入地審計需要基于日志等證據數據，進行關聯分析、綜合評判，這就對審計機構提出了較高的要求。外部審計比較難深入業務、了解細節，可能存在審計不充分的問題，缺少刻畫出數據流轉、數據流向、全生命周期關聯活動的技術證據，而且評估、審計等缺乏一定的時效性，監管存在滯后。

除了技術難度和業務復雜等因素，立場的問題亟需解決。在審計、評估、審查等數據處理者需要舉證的環節，大多數時候是基于自證，缺少他證，影響證據的可信度。

數據作為一種“生產要素”，就確立了其在新時代中國特色社會主義經濟中的地位。個人信息在《民法典》中明確為一項人格權益，面向數據安全合規特別是個人信息安全合規，引入政治可靠、技術過硬、值得信賴的第三方數據安全合規服務方勢在必行。

面向互聯網公司時，數據安全合規服務方作為合規服務商，提供合規風險評估、合規咨詢、策略制定與管理、數據保護、持續提升等數據合規服務，幫助企業實現數據安全合規能力的提升。

面向監管時，數據安全合規方作為可信存證方、技術支撐方，提供監管所需的監管接口支撐、技術服務支撐。

面向個人用戶時，數據安全合規服務商作為可信第三方，提供信任證據，增強個人用戶對互聯網平臺的信任。

引入可信的第三方數據安全合規服務方，其面向企業提供服務、面向監管機構提供支撐、面向用戶提供信任證明，最終可以形成一種可增強多方信任的數據安全合規治理架構。

作者：衛士通數據安全事業部副總經理王龍

信息安全數據安全

撤稿糾錯

本作品采用《CC 協議》，轉載必須注明作者和本文鏈接

關于第38次全國計算機安全學術交流會征文的通知

2023-03-21 10:48:19

本次年會由公安部網絡安全保衛局指導，中國計算機學會主辦，計算機安全專業委員會承辦。網絡安全作為網絡強國、數字中國的底座，將在未來的發展中承擔托底的重擔，是我國現代化產業體系中不可或缺的部分。為辦好本次大會，充分發揮專委會在服務國家網絡安全戰略發展需要，促進學術成果交流，提升學術研究水平的作用，本次會議的主題為“夯實網絡安全防線，構建中國式現代化網絡強國”。

信查查8月網絡安全宣傳月：網安則國安，國安則民安

2022-08-01 10:04:14

信查查通過多年在網絡安全行業的耕耘，成為了眾多單位、電信、銀行、電商、高等院校、醫院、企業等單位的長期合作伙伴。從個人層面來看，網安問題會帶來私人信息泄露，進而威脅生命、財產安全。從政企層面來看，關鍵數據資產的泄露可能招致國家網絡信息系統被攻擊的危險，尤其是針對關鍵性基礎設施的網絡攻擊會導致重大國家安全事故。

天融信獨家承辦的2022年中國工業信息安全大會數據安全分論壇成功舉行！

2023-01-11 10:13:11

構建安全數據底座，護航數字經濟發展。數據已成為數字經濟時代最為活躍的新型生產要素。

數據安全能力建設實施指南

2021-10-02 13:45:24

本指南依據《信息安全技術 數據安全能力成熟度模型》（簡稱DSMM）制定，以數據為核心，重點圍繞數據生命周期，從組織建設、制度流程、技術工具和人員能力等四個方面，提供數據安全能力建設的具體實施指南，為組織數據安全能力建設提供參考。

證券期貨行業如何做好數據安全管理與保護

2022-12-06 07:21:59

指引制定背景隨著近年來相關法律法規與行業標準相繼出臺，數據安全體系建設的監管要求日趨嚴格。基本原則在過程域劃分原則上，指引中的數據存儲階段涵蓋了數據刪除和數據銷毀兩個環節，進行了部分環節的合并與調整。同時指引還針對數據安全管理部門、合規風控部門、業務管理部門、信息技術部門和內部審計部門明確了各部門的數據安全管理職責的責任劃分，建立了數據安全工作分工協作的機制。

數據安全需求全面升級下的市場機遇和挑戰

2022-07-19 11:18:29

遇到的考驗與挑戰數據安全治理咨詢現狀數據安全治理指的是數據安全分類分級、個人數據風險評估等與數據安全相關的咨詢服務。為解決客戶的數據安全分類分級及數據風險評估，明朝萬達提供了一整套的底層基礎能力，支撐對客戶的數據安全分類分級和數據風險評估的數據安全領域的咨詢團隊、專用工具集、方法論和經驗沉淀、數據安全產品及研發團隊和駐場人員。

工業互聯網數據安全治理實踐

2022-12-06 09:18:51

數據時代，數據自身安全以及數據保護的安全成為關注的重點，工業化互聯網數據安全成為工業互聯網發展的重要基礎，隨著《數據安全法》的正式頒布，數據在安全體系中占據了核心地位。其中，數據信息安全強調保護數據資產不受意外或未經授權的訪問、更改或破壞，確保其可用性、完整性和機密性。流入控制系統的信息必須受到充分保護，同時還要保護物理過程的安全性和彈性。

電信領域數據安全標準體系現狀與思考

2022-05-18 13:15:38

數據安全問題涉及公眾利益、社會穩定與國家安全，亟需規范安全管理，加強安全防護。而數據安全標準是開展數據安全管理、規范行業數據安全要求、指導企業提升數據安全能力的重要抓手。

數據安全治理現狀研究與分析

2022-04-03 07:29:01

近年來，國內外數據泄露事件頻發，大量企業的商業利益、聲譽受損。數據安全法律法規相繼頒布，監管力度不斷升級，企業逐漸意識到數據安全治理的重要性與緊迫性。通過對2021年開展的企業數據安全治理能力評估現狀進行整理，總結企業數據安全治理工作在組織建設、人才培養、技術工具等方面的現狀與趨勢，提供能力提升思路，以供業界參考。

《數據安全法》指導下的數據安全發展

2021-11-29 14:50:44

作為我國數據安全領域的基礎性法律、國家安全領域的重要法律，《數據安全法》的出臺體現了當前數字經濟發展對安全的關鍵需求，為我國數據安全的發展之路提供了指引。

VSole

網絡安全專家