10余道“监管令”剑指信息安全 企业该如何筑建数据保护“护城河”?

随着大数据时代的来临,信息安全已成为不容忽视的产业乃至社会话题,也成为互联网产业进一步发展必须要筑牢的“护城河”。

近日,互联网行业密集出现信息泄露事件。先是币安被曝用户KYC资料被泄露,在多次否认并表示尚不能证明被泄漏资料来源后,于8月7日承认信息泄露一事。接着,新华社报道指出,百度上用户个人信息遭出售给外部企业。

此前,谷歌旗下的社交网络Google+因新漏洞导致5250万用户信息泄露,随后该服务被提前 4 个月关闭。在2018年3月,Facebook还陷入了史上最大规模的数据泄露丑闻。

另据IBM安全事业部近日发布的一项年度调研报告表示,过去5年数据泄露成本上升了12%,目前数据泄露的平均成本已达到392万美元。信息安全保护亟待解决,这不仅与互联网环境健康联系紧密,也关乎各互联网平台自身的可持续发展。

10余道“监管令”剑指信息安全 企业该如何筑建数据保护“护城河”?

“步履蹒跚”的信息安全保护

随着大数据时代的来临,信息安全已成为不容忽视的产业乃至社会话题,也成为互联网产业进一步发展必须要筑牢的“护城河”。

然而,现在每个人的隐私信息、位置、网络交易、通信,甚至阅读、购物偏好等都会被收集并储存在网络空间,很容易成为大数据下的“透明人”。

可能在某个不起眼的默认选项背后,用户敏感信息被日复一日地上传、收集;在长长的服务协议中,隐藏着对个人信息保护不利的条款;某APP上收藏的图片或商品,马上会密集出现在其它APP上;用户数据在各个输送环节被泄露的事例频发……

一方面,在数据“原料”获取上,大量企业依然难以割舍互联网初期的“免费”信息截取诱惑,落入数据“共享”、随意取用的窠臼。而大数据爬虫技术则给信息抓取带来了便利,使得部分企业数据“来源不明”且杂乱不堪。

此外,互联网平台存在通过各手机软件过度搜集用户信息的现象;存有用户信息的系统被“打包”贩卖等违法行为也时有发生。

另一方面,国人的隐私保护意识日渐增强,对互联网平台的信息收集行为也更趋敏感,对互联网平台的安全性、可靠性也提出了更高的要求。

所以,在大数据时代,信息安全的重要性被政府、媒体舆论、国民一再提及,致使企业对规模增长的渴求、对客群培养的需求,与数据“原料”合规、隐私意识增强之间的矛盾被进一步激化。虽然信息安全保护的进展速度略为“步履蹒跚”,但是也已经到了至关重要的关键发展期。

同时,随着信息化升级产生海量数据,信息迭代变化速度加快,信息安全保护还给平台自身提出了更高要求。从获取信息的“正确打开方式”,到完善信息存储与升级,再到防御恶意盗取数据信息、阻止信息泄露事件的发生,成为各互联网平台提升自身实力,“打铁先需自身硬”的重要条件。

2年内连下10道“监管令”

信息安全不仅是互联网平台需要扞卫的底线,也是监管三令五申、频繁下发文件要求严格遵守的发展红线。据统计,不到2年的时间里,监管已经密集下发至少10份文件。

10余道“监管令”剑指信息安全 企业该如何筑建数据保护“护城河”?

此外,监管还多次对不符合信息安全行为规范的企业点名批评。7月初,工业和信息化部通报2019年一季度电信服务质量情况,18家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务等问题,被责令整改。

7月16日,监管发布《关于开展App违法违规收集使用个人信息专项治理的公告》,点名批评老虎证券等40款APP在个人信息收集使用方面存在问题。监管对网络信息安全的重视与日俱增。

尤其是在互金行业,完整准确的信息披露及用户信息保护被高度重视,并成为冲刺备案的重要标准。

而且,作为金融信息中介平台,其APP信息收集、信息使用都应当具备更加周密的保护,其用户账户信息、征信信息、借款交易记录、联系人信息等应当得到进一步规范,以免造成个人信息泄露,避免为恶意诱导借款、暴力催收等提供便利。

近日,为促进互联网金融行业个人信息保护的合规发展方面,直属于工信部的中国电子技术标准化研究院,针对互联网金融企业APP展开了个人信息保护合规评估试点工作,包括向前金服在内的少数几家作为首批试点平台获得了APP安全测试评估报告。

据了解,该测评工作历时近2个月,针对iOS、Android两版系统共19种设备及配置,围绕10个大类、32项评估点进行测评,涵盖了隐私政策的独立性、易读性、合理性,业务功能及所收集的个人信息类型,个人信息处理规则及用户权益保障等维度。

平台自律与行业标准

扞卫信息安全,维护互联网环境健康,需要各方共同努力。其中,互联网金融企业成为维护互联网信息安全极为重要的主体。

首先,互联网金融企业应当在用户信息保护方面严格要求自己。严格采用获取信息的合规手段、完善信息存储与升级、防御恶意盗取数据信息、阻止信息泄露事件的发生。

在用户信息获取方面,向前金服通过《用户隐私政策》明确其所收集用户信息的范围、信息存储方式及地域等关键信息,确保不过度收集、不滥用用户信息。

同时,向前金服通过中国电子技术标准化研究院的APP安全测试评估,接受32项严苛测评考验,针对其中部分项目及时进行改善,进一步提升了其个人信息安全保护措施及能力,在用户信息保护方面“名列前茅”。

其次,互联网金融行业需要促进行业标准制定,推动行业自律。向前金服积极促进行业标准制定,推进行业健康发展。

据了解,工信部下属的电子工业标准化研究院不仅针对APP展开了个人信息保护合规评估,还主导推进了个人信息安全专业人才培训与认证工作。

其中,向前金服任命了数据保护官、数据保护高级工程师2个专职岗位,并派专职人员参与中国电子技术标准化研究院组织的培训。经考评合格后,向前金服相关人员获得了工信部电子工业标准化研究所颁发《数据保护官》、《数据保护高级工程师》证书。

在国内数据保护标准尚未完善的当下,各平台根据自己的理解推进数据保护工作,存在一定的误区。而接受相关标准制定部门的指导,可以更大限度地避免风险,并在未来标准制定后,更快速地适应要求。

在平台自律、践行标准,乃至促进行业标准制定等方面,向前金服均顺应互联网时代的发展与监管的要求。

网络信息安全势必在大数据时代中成为关键课题,而只有顺势而为的企业,才能实现可持续发展,只有真实地践行用户信息保护,在服务系统安全上花“真功夫”,并推动行业规范发展的企业,才能在互联网时代中如江中巨石,历经风浪而不倒,途经岁月而长存。

本文来自信息化观察者网,转载请注明出处。