数字经济的持续深化推进,数据已成为影响世界各国竞争的战 略性资源。能够充分发挥数据经济价值和战略意义的数据开发利用技 术蓬勃发展的同时,防止数据泄漏,丢失,滥用,保障数据安全流通 共享与流通的数据安全技术也愈发重要。主要包括二方面难点,一方 面是数据安全与数据开发利用效率之间尚存在明显矛盾,成为制约数 据价值释放的重要短板。另一方面,随着《数据安全法》《个人信息 保护法》的实施,在个人信息保护工作中,大多数企业或组织面临的 首要挑战是监管合规,了解监管要求后,企业或组织需要摸索个人信息保护体系建设。
(一)数据挖掘与个人信息保护的矛盾
数字经济时代,数据蕴含的巨大价值,越来越多的企业或组织利 用大数据分析、数据中台分析、评估消费者的个人特征用于商业营销 或与产业上下游的业务伙伴通过数据流通实现深度合作,以此来挖掘 数据价值,获取竞争优势。
手机应用程序(App)因其便捷性等优势,被广泛运用于日常生 活、专业服务和社会治理等多领域,为人们带来便捷的同时,也带来 了信息安全隐患。近年来,App违规违法收集使用用户信息事件频发, 有报告显示,超七成 App存在过度索权行为,即在非必要的情况下获 取用户隐私权限,增加了个人信息泄漏的风险。随着个人信息保护相 关法规标准的不断出台,加上监管治理的不断深入,企业或组织原本 的发展方式必然受到影响,一些依靠收集使用个人信息推动业务发展 的模式甚至面临违法犯罪风险。企业或组织的经营模式由原来的“先 发展后治理”转变为“边发展边治理”。另一方面频发的个人信息泄 漏事件也引发了公众对数字经济发展中的个人信息保护的意识觉醒。 对待数字经济时代的数据价值挖掘,需要结合日渐趋严的合规监管要 求,积极探索个人信息保护和数据价值挖掘的平衡点,平衡信息化、 数字化发展需求与保障个人信息安全之间的矛盾,成为亟待解决的问 题。
(二)个人信息保护建设面临的困境
- 业务与合规——经营模式的变革
当数据已经成为重要的生产要素时,个人信息已经成为各大企业 或组织需要重点保护的核心数据资产,在复杂的全球个人信息保护框 架下,用户个人信息保护在收集、存储、使用、共享等环节流动起来 时,任何企业或组织都面临着前所未有的数据安全与个人信息保护的 挑战。
随着个人信息保护相关法规标准的不断出台,加上监管治理的不 断深入,企业或组织原本的发展方式必然受到影响,一些依靠收集使 用个人信息推动业务发展的模式甚至面临违法犯罪风险。企业或组织 的经营模式由原来的“先发展后治理”转变为“边发展边治理”。
处理个人信息应当具有明确、合理的目的,并应当与处理目的直 接相关,采取对个人权益影响最小的方式。收集个人信息,应当限于 实现处理目的的最小范围,不得过度收集个人信息。在建立健全隐私 政策和执行符合实际企业或组织需求的个人信息保护策略同时,企业 或组织要抓紧转变当前的经营模式,除去大数据杀熟、调整 App个性 化推荐的方案、梳理广告投放方案等内容,还需根据合规的要求调整 业务逻辑,比如减少诱导性下载,诱导用户注册以及通过线下推广等 方式获取用户信息的行为,实现业务内容的良性发展。
- 组织与制度——跨部门协作导致合规成本升高
相对于以往发展模式,企业或组织在稳步经营的前提下,需要增 加额外资源对新的合规要求进行及时响应。根据合规要求,企业或组 织需要投入资源在管理制度、人力资源、技术保障方面进行完善。
随着监管机构对合规问题的越来越重视,未来会有更多的 App会 被纳入监管的检测、通报和下架的范围之中,如何在业务持续不断开 拓创新与为用户提供更好更安全更尊重的个人信息保护体验之间,建 立有力的可落地完备的解决方案是当前合规面临的主要难题,而“有 力的落地方案”是企业或组织内部多部门协作的结果。而企业或组织 需要根据法规要求,设置“数据安全负责人”、“个人信息保护负责 人”,而这个“负责人”需要协调公司的安全、IT、产品线、测试线、 法务、企业或组织政府关系以及客服等多个部门才可体系化的完善公 司合规方案,避免公司运营过程中的合规风险。
- 人员与技术——多学科交叉导致合规效果不理想
个人信息保护是典型的多学科交叉领域,个人信息保护既是行政 法问题,也是技术规则问题,存在于所有涉及行政监管的领域,需要 “技管结合”,概括起来包括三个方面。
-
1)个人信息保护规范制定:需要专业的法律界人士、具备丰富合规建设经验企业或组织人士和具备专业技术检测能力的业内人 士。
-
2)个人信息保护行为检测:也需要专业的法律人员和技术人员配合。
-
3)个人信息违规行为处罚:更是一个复杂领域“鉴定”结果认定过程。
因此,单纯从隐私政策或者违规行为检测任一一个方向都无法彻 底解决合规治理不理想的问题,需要从技术检测、管理跟进和法律服 务等多维度进行综合治理。
从历史被通报的 App 合规问题来看,典型的违规场景如第三方 SDK违规收集、用户同意前收集、后台静默收集、高频收集、隐私政 策明示不到位、未提供投诉举报方式、历史版本遗留问题等,既有技 术手段检测的内容,又有法律框架合规内容,同时也有企业或组织内 部管理上的问题。
- 目标与过程——合规建设的复杂性与持续性
由于立法、标准和规范相对滞后,移动互联网应用个人信息保护 水平参差不齐,用户信息强制收集、过度收集、非授权转移共享、个 性化展示、定向推送不规范、账户注销难等问题严重侵害了广大人民 群众的切身利益。个人信息保护工作涉及政府监管、企业或组织自律 与群众举报等多个方面。在互联网已经深入到经济建设的方方面面, 合规工作不仅包括“健全隐私政策,减少个人信息的使用,修改公司 产品”等几项内容,还需要考虑其所属的行业(比如,电子政务、金 融支付、电力能源、交通运输等)进行针对性治理。
互联网服务提供商产品的更新速率远远超过传统制造型的产品,其主要特点如下。
产品生命周期短:部分企业或组织提供互联网产品服务后可能由 于业绩不能达到预期很快下架了该产品甚至是重新开发产品。
产品更新频率快:产品上市初期部分产品甚至每周 1 更,即使产 品稳定后也基本保持每两周 1 更的频率。
企业或组织并购融合多:当前互联网企业或组织间存在各种各样 的投资与并购,这种情况个人信息流转将不可避免并且过程中存在管 理缺失。
实际上个人信息保护建设工作无法做到一劳永逸,综合考虑互联 网企业或组织自身的特点以及其服务的行业特点,个人信息保护建设 工作将是一个复杂而持续的过程。
参考资料红蓝攻防构建实战化网络安全防御体系 青藤云安全 2022攻防演练蓝队防守指南
