廣告合規(guī)法務(wù) 企業(yè)合規(guī) 藥企合規(guī) 企業(yè)廉潔合規(guī) 企業(yè)合規(guī)管理 上市公司合規(guī) 企業(yè)合規(guī)管理
“很多人的手機(jī)號碼泄露了,根據(jù)微博賬號就能查到手機(jī)號……”,3月19日,默安科技創(chuàng)始人兼CTO、微博名為“@安全_云舒”的用戶發(fā)博表示(相關(guān)微博已刪除)。
一石激起千層浪,輿論迅速發(fā)酵。隨后,有媒體爆出,3月5日,國內(nèi)的一些安全公司通過監(jiān)控,發(fā)現(xiàn)暗網(wǎng)[1]上有人發(fā)布了一則名為“5.38億微博用戶綁定手機(jī)號數(shù)據(jù),其中1.72億有賬號基本信息”的交易信息,售價1,388美元。該賣家稱,這些信息“均為2019年年中左右抓取”,并給出了400條綁定手機(jī)號以及1500條賬號基本信息的測試數(shù)據(jù)。經(jīng)安全專業(yè)人士驗(yàn)證,部分測試數(shù)據(jù)屬實(shí)。 對于此次“微博數(shù)據(jù)泄露”事件,微博CEO王高飛稱是“2014年以前網(wǎng)易那次撞庫[2] 的”。 而微博安全總監(jiān)羅詩堯則解釋稱,此次泄露的手機(jī)號是“2019年通過通訊錄上傳接口被暴力匹配的,其余公開信息都是網(wǎng)上抓來的”(相關(guān)微博已刪除)。 隨后,微博進(jìn)一步表示,此次數(shù)據(jù)泄露應(yīng)追溯至2018年底。當(dāng)時,有用戶通過微博相關(guān)接口通過批量手機(jī)批量上傳通訊錄,匹配出幾百萬個賬號昵稱,再加上通過其他渠道獲取的信息一起對外出售。 微博還強(qiáng)調(diào),微博一直有提供根據(jù)通訊錄手機(jī)號查詢微博好友昵稱的服務(wù),但不提供用戶性別和身份證號等信息,也沒有“根據(jù)用戶昵稱查手機(jī)號”的服務(wù)。因此這起數(shù)據(jù)泄露不涉及身份證、密碼,對微博服務(wù)沒有影響。 微博做出多番回應(yīng)后,最終被工信部約談。3月21日,“針對媒體報道的新浪微博因用戶查詢接口被惡意調(diào)用導(dǎo)致App數(shù)據(jù)泄露問題”,工信部網(wǎng)絡(luò)安全管理局對微博相關(guān)負(fù)責(zé)人進(jìn)行了問詢約談,要求其進(jìn)一步采取有效措施,消除數(shù)據(jù)安全隱患: 盡快完善隱私政策,規(guī)范用戶個人信息收集使用行為; 加強(qiáng)用戶信息分類分級保護(hù),強(qiáng)化用戶查詢接口風(fēng)險控制等安全保護(hù)策略; 加強(qiáng)企業(yè)內(nèi)部數(shù)據(jù)安全管理,定期及新業(yè)務(wù)上線前要開展數(shù)據(jù)安全合規(guī)性自評估,及時防范數(shù)據(jù)安全風(fēng)險; 在發(fā)生重大數(shù)據(jù)安全事件時,及時告知用戶并向主管部門報告。
[1]暗網(wǎng):互聯(lián)網(wǎng)是一個多層結(jié)構(gòu),“表層網(wǎng)”處于互聯(lián)網(wǎng)的表層,能夠通過標(biāo)準(zhǔn)搜索引擎進(jìn)行訪問瀏覽。藏在“表層網(wǎng)”之下的被稱為“深網(wǎng)”,而“暗網(wǎng)”通常被認(rèn)為是“深網(wǎng)”的一個子集,普通用戶無法通過常規(guī)互聯(lián)網(wǎng)手段搜索和訪問。
[2]撞庫:黑客通過收集互聯(lián)網(wǎng)已泄露的用戶和密碼信息,生成對應(yīng)的字典表,嘗試批量登陸其他網(wǎng)站后,得到一系列可以登錄的用戶。很多用戶在不同網(wǎng)站使用的是相同的賬號密碼,因此黑客可以通過獲取用戶在A網(wǎng)站的賬戶從而嘗試登錄B網(wǎng)址,這就可以理解為撞庫攻擊。
按照微博方面的說法,這次數(shù)據(jù)泄露事件是有人順著非法竊取的用戶手機(jī)號調(diào)用了微博數(shù)據(jù),其自身也是受害者。但對于用戶來說,沿著手機(jī)號就可以調(diào)用微博數(shù)據(jù),作為微博平臺,顯然也難辭其咎。尤其是在如今平臺經(jīng)濟(jì)發(fā)展如火如荼的情況下,對于海量的用戶數(shù)據(jù),任何一點(diǎn)安全問題,都可能造成不可估量的損失。
下面,筆者就工信部對微博提出的四點(diǎn)要求,結(jié)合《中華人民共和國網(wǎng)絡(luò)安全法》、《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》、《信息安全技術(shù)個人信息安全規(guī)范》等法規(guī)文件,分享企業(yè)如何加強(qiáng)數(shù)據(jù)安全管理,謹(jǐn)守合規(guī)底線,為用戶個人信息上好“安全鎖”。
“用戶個人信息”一般指能夠單獨(dú)或者與其他信息結(jié)合識別用戶身份、反映用戶活動情況或涉及用戶個人隱私的信息。企業(yè)收集用戶個人信息,應(yīng)遵循合法、正當(dāng)、必要的原則。
一方面,企業(yè)應(yīng)按照“最小必要”的要求,僅收集與實(shí)現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)的信息。如果涉及自動采集或間接獲取用戶個人信息,要注意以實(shí)現(xiàn)業(yè)務(wù)功能所必需的最低頻率和最少數(shù)量進(jìn)行。 另一方面,企業(yè)應(yīng)以通俗易懂、簡單明了的方式向用戶展示個人信息收集使用規(guī)則,通過“彈窗”提示用戶閱讀隱私政策等明顯方式,明示收集使用個人信息的目的、方式和范圍等,并經(jīng)用戶同意。在提供多項(xiàng)需收集個人信息的業(yè)務(wù)功能時,要讓用戶分別自主選擇。默認(rèn)勾選同意隱私政策,在用戶明確表示不同意后頻繁征求同意、干擾正常使用,或捆綁多項(xiàng)業(yè)務(wù)功能、強(qiáng)迫用戶一次性授權(quán)等,都會被視為違法違規(guī)。 此外,企業(yè)還應(yīng)向用戶提供撤回收集、使用個人信息授權(quán)同意的方法,充分保障用戶的知情權(quán)和選擇權(quán)。
企業(yè)可以根據(jù)業(yè)務(wù)收集用戶個人信息的屬性和類型特征,結(jié)合相關(guān)法律法規(guī)、行業(yè)標(biāo)準(zhǔn)等,對收集到的信息進(jìn)行分類,如分為以下3類:
用戶身份和鑒權(quán)信息:能夠單獨(dú)或與其他信息結(jié)合,對用戶身份進(jìn)行識別,或代替用戶身份屬性使用的虛擬身份信息,也包括用于驗(yàn)證身份的鑒權(quán)相關(guān)信息。 用戶數(shù)據(jù)和服務(wù)內(nèi)容信息:企業(yè)提供服務(wù)過程中收集的具有用戶隱私屬性的數(shù)據(jù)和內(nèi)容信息。 用戶服務(wù)相關(guān)信息:企業(yè)提供服務(wù)過程中收集的服務(wù)使用情況及服務(wù)相關(guān)輔助類信息。 對于不同類別的信息,企業(yè)可根據(jù)用戶個人信息的敏感性,實(shí)施分級管理,按照相應(yīng)的級別對用戶個人信息的收集、使用提供不同的保護(hù)機(jī)制。如將用戶個人信息保護(hù)級別由低到高劃分為以下1-5級:
表:用戶個人信息分類及對應(yīng)保護(hù)級別示例
其中,對于第5級的用戶個人信息,企業(yè)應(yīng)實(shí)施嚴(yán)格的技術(shù)和管理措施,建立嚴(yán)格的信息安全管理規(guī)范以及實(shí)時監(jiān)控預(yù)警機(jī)制,保證信息的機(jī)密、完整、安全,如:制定信息收集、生成、存儲、使用、傳輸和銷毀等全生命周期的安全管理規(guī)范,以及內(nèi)部數(shù)據(jù)審批流程及制度等。而對于第1級的用戶個人信息,企業(yè)需要實(shí)施基本的技術(shù)和管理措施,確保信息訪問控制安全,如:采取必要的訪問控制措施等。
企業(yè)可以從組織建設(shè)、制度流程等方面入手,加強(qiáng)數(shù)據(jù)安全管理,提升企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全風(fēng)險防范能力。
在組織建設(shè)方面,企業(yè)應(yīng)加強(qiáng)內(nèi)部的數(shù)據(jù)安全組織保障,明確“一把手”對數(shù)據(jù)安全的全面領(lǐng)導(dǎo)責(zé)任,為相關(guān)工作提供人力、財力、物力保障;同時,明確數(shù)據(jù)安全管理相關(guān)部門和責(zé)任人,督促協(xié)調(diào)企業(yè)內(nèi)部各相關(guān)主體和環(huán)節(jié)嚴(yán)格落實(shí)各項(xiàng)數(shù)據(jù)安全保護(hù)措施。此外,企業(yè)還要定期或當(dāng)發(fā)生重大變化時,組織開展法律法規(guī)、知識技能等培訓(xùn)與考核,確保數(shù)據(jù)安全相關(guān)崗位人員熟練掌握數(shù)據(jù)安全保護(hù)政策和相關(guān)規(guī)程。 在制度流程方面,企業(yè)應(yīng)及時跟進(jìn)外部監(jiān)管要求,制定、完善相關(guān)數(shù)據(jù)安全管理制度,建立重要數(shù)據(jù)全生命周期的保護(hù)制度、數(shù)據(jù)跨境傳輸安全制度、組織發(fā)生變更時的數(shù)據(jù)管控制度、第三方產(chǎn)品或服務(wù)的接入管理制度、安全風(fēng)險評估管理制度等。在鞏固深化已上線業(yè)務(wù)定期核查機(jī)制的基礎(chǔ)上,著重建立完善新技術(shù)、新業(yè)務(wù)上線前的評估機(jī)制,從用戶個人信息保護(hù)、網(wǎng)絡(luò)安全防護(hù)、網(wǎng)絡(luò)信息安全、建立健全相關(guān)管理制度等方面開展安全評估,并形成書面報告。
企業(yè)應(yīng)當(dāng)建立針對數(shù)據(jù)的安全事件響應(yīng)體系,完善各類安全事件的響應(yīng)和處置管理。
首先,企業(yè)需要在明確數(shù)據(jù)安全管理相關(guān)部門的基礎(chǔ)上,進(jìn)一步設(shè)立專職崗位負(fù)責(zé)數(shù)據(jù)安全事件管理和應(yīng)急響應(yīng)。如果無法設(shè)立專職崗位,應(yīng)事先明確數(shù)據(jù)安全事件相關(guān)責(zé)任人。同時,企業(yè)應(yīng)根據(jù)監(jiān)管要求和業(yè)務(wù)需要,清晰定義數(shù)據(jù)安全事件類型,明確不同類型事件的處置流程和方法,制定數(shù)據(jù)安全應(yīng)急預(yù)案,并定期組織應(yīng)急演練。 在數(shù)據(jù)安全事件發(fā)生后,企業(yè)應(yīng)立即啟動應(yīng)急預(yù)案,及時記錄事件內(nèi)容,包括:發(fā)現(xiàn)事件的人員、時間、地點(diǎn),涉及的數(shù)據(jù)類型及數(shù)量,可能產(chǎn)生問題的系統(tǒng)名稱,以及對其他相關(guān)系統(tǒng)的影響等。在充分評估安全事件可能造成的影響后,企業(yè)應(yīng)采取必要措施控制事態(tài),消除隱患,并注意保存證據(jù),根據(jù)規(guī)定及時將事件內(nèi)容、可能影響、已采取或?qū)⒁扇〉奶幹么胧?、企業(yè)相關(guān)人員聯(lián)系方式等上報有關(guān)主管部門。 如果數(shù)據(jù)安全事件可能嚴(yán)重?fù)p害用戶合法權(quán)益,如發(fā)生個人敏感信息泄露等,企業(yè)還應(yīng)及時將事件相關(guān)情況通過短信、郵件、電話、推送通知等方式告知用戶,難以逐一告知時,要采取合理、有效的方式發(fā)布與公眾有關(guān)的警示信息,向用戶提供補(bǔ)救措施以及自主降低風(fēng)險的建議。
隨著越來越多的企業(yè)上線上云,包含用戶個人信息在內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)安全問題已不容小覷,一旦發(fā)生安全事件,不僅會為企業(yè)造成經(jīng)濟(jì)、聲譽(yù)損失,還有可能會使企業(yè)受到監(jiān)管處罰。因此,企業(yè)應(yīng)在業(yè)務(wù)“跑起來”之前,就樹立起安全思維,明確數(shù)據(jù)安全相關(guān)組織體系,制定、完善相關(guān)管理制度和應(yīng)急預(yù)案,規(guī)范收集、使用、存儲、銷毀數(shù)據(jù),從而使企業(yè)贏得用戶信賴,健康、長遠(yuǎn)發(fā)展。 (源:銳思商學(xué)院;素材源:南方都市報、澎湃新聞)
? 2019-2021 All rights reserved. 北京轉(zhuǎn)創(chuàng)國際管理咨詢有限公司 京ICP備19055770號-1
Beijing TransVenture International Management Consulting Co., Ltd.
地址:梅州市豐順縣留隍鎮(zhèn)新興路881號
北京市大興區(qū)新源大街25號院恒大未來城7號樓1102室
北京市海淀區(qū)西禪寺(華北項(xiàng)目部)
深圳市南山區(qū)高新科技園南區(qū)R2-B棟4樓12室
深圳市福田區(qū)華能大廈
佛山順德區(qū)北滘工業(yè)大道云創(chuàng)空間
汕頭市龍湖區(qū)泰星路9號壹品灣三區(qū)
長沙市芙蓉區(qū)韶山北路139號文化大廈
站點(diǎn)地圖 網(wǎng)站建設(shè):騰虎網(wǎng)絡(luò)
歡迎來到本網(wǎng)站,請問有什么可以幫您?
稍后再說 現(xiàn)在咨詢