网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


​撑起个人信息的“保护伞”:数据安全合规检测与防护

2020-07-01 13:23 推荐: 浏览: 26 views 字号:

摘要:   对于个人信息保护,大众都会有一个“刻板印象”,我们默认网络运营者会保护他们收集到的个人信息不被泄露。 虽然,网络安全法规定网络运营者有责任和义务保护客户的个人信息。 但是,法律归法律,现实是现实。 比如,在2018年,某原新三板挂牌公司涉嫌非...

 

对于个人信息保护,大众都会有一个“刻板印象”,我们默认网络运营者会保护他们收集到的个人信息不被泄露。

虽然,网络安全法规定网络运营者有责任和义务保护客户的个人信息。

但是,法律归法律,现实是现实。

比如,在2018年,某原新三板挂牌公司涉嫌非法窃取 30 亿条用户数据,操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广,从中获利.

涉及包括百度、阿里、腾讯、今日头条在内的全国 96 家互联网公司。该公司一年营收就超过 3000 万元。

30 亿条数据,多么耸人听闻,那么,这些数据是从哪来的?

该公司与全国十余省市的电信、移动、联通、铁通、广电等运营商签订营销广告系统服务合同,为运营商提供精准广告投放系统的开发、维护。

进而拿到了运营商服务器的远程登录权限,然后将非法程序置入用于自动采集用户 cookie、手机号等信息。

现如今互联网越来越便利,智能手机的普及,几乎人手一台手机,再加上实名制的要求,因此电信、移动等运营商手上必定掌握着大量的用户个人信息。

为此,运营商也做了许多安全方面的措施,由于内部结构复杂,业务系统众多,数据量大,安全措施无法全方位覆盖。

真正要做好用户个人信息的安全防护,首先要站在法制高度,满足合规的要求,从内部入手,从数据维度综合考虑。

 

合规

顶住个人信息安全的一片天 

 

《中华人民共和国网络安全法》的颁布给个人信息的保护带来了曙光,《网络安全法》整个第四章都在描述个人信息的合规收集和保护:

第四十条  网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。

第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。

第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。

第四十七条 网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。

第四十九条 网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。

有关个人信息保护的合规政策步伐仍在继续。

《个人信息保护法(草案)》

《信息安全技术 个人信息安全规范》

……

未来还会有更多的有关个人信息安全的法规政策落到实处,由法规政策为个人信息的安全顶住一片天。

 

撑起个人信息的“保护伞”:

数据安全合规检测与防护

运营商的用户个人信息数据真实程度很高;通过对大数据的采集可以得到精确的用户敏感信息,例如位置信息;

有了这些个人信息作为基石,通过大数据关联分析,可以全面了解用户各种行为爱好,理论上这些个人信息可以挖掘出巨大的商业价值。

一旦泄露给运营商造成损失,还会给用户带了一定的困扰,为个人信息撑起“保护伞”势在必行。

 

世平信息建议,在大监管背景下,从数据运营维度,依据数据全生命周期构建各个环节个人信息安全防护能力,依托大数据平台将日常安全管理工作嵌入到用户个人信息数据采集、传输、存储、使用、共享与销毁之中,运用智能化(机器学习、人工智能AI、自然语言处理NLP等)技术。

 

突破传统的安全管控模式,融合合规检测与安全防护,将原先离散的数据安全防护能力、缺失的数据安全合规检测能力做深度结合。

融合数据分级分类管理、数据合规检测、数据动态/静态脱敏、数据水印追溯审计、UEBA(异常行为监测预警)等能力,建立一套完整的、创新的、实用的全生命周期个人信息数据安全合规检测与安全防护体系。

联系站长租广告位!

中国首席信息安全官