近日,互聯網行業密集出現信息洩露事件。先是幣安被曝用戶KYC資料被洩露,在多次否認並表示尚不能證明被洩漏資料來源後,於8月7日承認信息洩露一事。接著,新華社報道指出,百度上用戶個人信息遭出售給外部企業。
此前,谷歌旗下的社交網絡Google+因新漏洞導致5250萬用戶信息洩露,隨後該服務被提前 4 個月關閉。在2018年3月,Facebook還陷入了史上最大規模的數據洩露醜聞。
另據IBM安全事業部近日發佈的一項年度調研報告表示,過去5年數據洩露成本上升了12%,目前數據洩露的平均成本已達到392萬美元。信息安全保護亟待解決,這不僅與互聯網環境健康聯繫緊密,也關乎各互聯網平臺自身的可持續發展。
“步履蹣跚”的信息安全保護
隨著大數據時代的來臨,信息安全已成為不容忽視的產業乃至社會話題,也成為互聯網產業進一步發展必須要築牢的“護城河”。
然而,現在每個人的隱私信息、位置、網絡交易、通信,甚至閱讀、購物偏好等都會被收集並儲存在網絡空間,很容易成為大數據下的“透明人”。
可能在某個不起眼的默認選項背後,用戶敏感信息被日復一日地上傳、收集;在長長的服務協議中,隱藏著對個人信息保護不利的條款;某APP上收藏的圖片或商品,馬上會密集出現在其它APP上;用戶數據在各個輸送環節被洩露的事例頻發……
一方面,在數據“原料”獲取上,大量企業依然難以割捨互聯網初期的“免費”信息截取誘惑,落入數據“共享”、隨意取用的窠臼。而大數據爬蟲技術則給信息抓取帶來了便利,使得部分企業數據“來源不明”且雜亂不堪。
此外,互聯網平臺存在通過各手機軟件過度搜集用戶信息的現象;存有用戶信息的系統被“打包”販賣等違法行為也時有發生。
另一方面,國人的隱私保護意識日漸增強,對互聯網平臺的信息收集行為也更趨敏感,對互聯網平臺的安全性、可靠性也提出了更高的要求。
所以,在大數據時代,信息安全的重要性被政府、媒體輿論、國民一再提及,致使企業對規模增長的渴求、對客群培養的需求,與數據“原料”合規、隱私意識增強之間的矛盾被進一步激化。雖然信息安全保護的進展速度略為“步履蹣跚”,但是也已經到了至關重要的關鍵發展期。
同時,隨著信息化升級產生海量數據,信息迭代變化速度加快,信息安全保護還給平臺自身提出了更高要求。從獲取信息的“正確打開方式”,到完善信息存儲與升級,再到防禦惡意盜取數據信息、阻止信息洩露事件的發生,成為各互聯網平臺提升自身實力,“打鐵先需自身硬”的重要條件。
2年內連下10道“監管令”
信息安全不僅是互聯網平臺需要捍衛的底線,也是監管三令五申、頻繁下發文件要求嚴格遵守的發展紅線。據統計,不到2年的時間裡,監管已經密集下發至少10份文件。
此外,監管還多次對不符合信息安全行為規範的企業點名批評。7月初,工業和信息化部通報2019年一季度電信服務質量情況,18家互聯網企業存在未公示用戶個人信息收集使用規則、未告知查詢更正信息的渠道、未提供賬號註銷服務等問題,被責令整改。
7月16日,監管發佈《關於開展App違法違規收集使用個人信息專項治理的公告》,點名批評小贏卡貸、有錢花、老虎證券等40款APP在個人信息收集使用方面存在問題。監管對網絡信息安全的重視與日俱增。
尤其是在互金行業,完整準確的信息披露及用戶信息保護被高度重視,併成為衝刺備案的重要標準。
而且,作為金融信息中介平臺,其APP信息收集、信息使用都應當具備更加周密的保護,其用戶賬戶信息、徵信信息、借款交易記錄、聯繫人信息等應當得到進一步規範,以免造成個人信息洩露,避免為惡意誘導借款、暴力催收等提供便利。
近日,為促進互聯網金融行業個人信息保護的合規發展方面,直屬於工信部的中國電子技術標準化研究院,針對互聯網金融企業APP展開了個人信息保護合規評估試點工作,
包括向前金服在內的少數幾家作為首批試點平臺獲得了APP安全測試評估報告。據瞭解,該測評工作歷時近2個月,針對iOS、Android兩版系統共19種設備及配置,圍繞10個大類、32項評估點進行測評,涵蓋了隱私政策的獨立性、易讀性、合理性,業務功能及所收集的個人信息類型,個人信息處理規則及用戶權益保障等維度。
平臺自律與行業標準
捍衛信息安全,維護互聯網環境健康,需要各方共同努力。其中,互聯網金融企業成為維護互聯網信息安全極為重要的主體。
首先,互聯網金融企業應當在用戶信息保護方面嚴格要求自己。嚴格採用獲取信息的合規手段、完善信息存儲與升級、防禦惡意盜取數據信息、阻止信息洩露事件的發生。
在用戶信息獲取方面,向前金服通過《用戶隱私政策》明確其所收集用戶信息的範圍、信息存儲方式及地域等關鍵信息,確保不過度收集、不濫用用戶信息。
同時,向前金服通過中國電子技術標準化研究院的APP安全測試評估,接受32項嚴苛測評考驗,針對其中部分項目及時進行改善,進一步提升了其個人信息安全保護措施及能力,在用戶信息保護方面“名列前茅”。
其次,互聯網金融行業需要促進行業標準制定,推動行業自律。向前金服積極促進行業標準制定,推進行業健康發展。
據瞭解,工信部下屬的電子工業標準化研究院不僅針對APP展開了個人信息保護合規評估,還主導推進了個人信息安全專業人才培訓與認證工作。
其中,向前金服任命了數據保護官、數據保護高級工程師2個專職崗位,並派專職人員參與中國電子技術標準化研究院組織的培訓。經考評合格後,向前金服相關人員獲得了工信部電子工業標準化研究所頒發《數據保護官》、《數據保護高級工程師》證書。
在國內數據保護標準尚未完善的當下,各平臺根據自己的理解推進數據保護工作,存在一定的誤區。而接受相關標準制定部門的指導,可以更大限度地避免風險,並在未來標準制定後,更快速地適應要求。
在平臺自律、踐行標準,乃至促進行業標準制定等方面,向前金服均順應互聯網時代的發展與監管的要求。
網絡信息安全勢必在大數據時代中成為關鍵課題,而只有順勢而為的企業,才能實現可持續發展,只有真實地踐行用戶信息保護,在服務系統安全上花“真功夫”,並推動行業規範發展的企業,才能在互聯網時代中如江中巨石,歷經風浪而不倒,途經歲月而長存。
