论文部分内容阅读
长期以来,有相当一部分互联网企业肆意收集个人信息,并由此衍生出个人信息打包批量买卖等“灰产”,以及大数据杀熟等滥用行为,致使个人信息“裸奔”,人们对整个行业的信任度也打上了一个问号。专家指出,信息技术的澎湃发展在给生活带来便利的同时,更要警惕互联网企业难以抵挡住暴利诱惑,误入信息滥用的歧途。只有信息安全意识始终在线,互联网企业才能更好地融入这个时代,被人们所信赖,在线上拥有更光明的未来。
曾经有互联网行业“大佬”公开表示,为了便利及效率,人们可以放弃隐私。这一说法引发舆论口诛笔伐。与其说是“放弃”,不如说是公众在面对有限选择时的“不得不放弃”。如今,随着自上而下重视程度不断提高,守住信息安全已经成为对互联网企业的底线要求,任何企业概莫能外。
滴滴出行如今的境遇最能说明问题。悄然赴美上市,将信息安全抛诸脑后的滴滴很快便迎来监管重拳。7月4日,“网信中国”微信公众号发布《关于下架“滴滴出行”App的通报》称,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App并要求其认真整改。
紧随其后,下架范围进一步扩展到与滴滴出行相关的25款App。国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等多部门联合进驻滴滴出行科技有限公司,开展网络安全审查。这显然超出了很多人的预料,彰显出国家开展信息安全治理的决心。
滴滴出行暴露出的问题究竟有多严重?滴滴出行CEO程维去年6月曾在内部讲话中透露,旗下有1166万名网约车司机,提供出租车、快车、顺风车、公交、共享单车等几乎全覆盖式的出行服务。历经多年且在全国众多城市的运营,滴滴出行积累了海量的城市及人群数据。这些数据真实且动态更新,已经渗透进了人们的生活及城市运营中。经过不同的排列组合,这些大数据能分析得出很多有关键价值的结论。一旦对外泄露,对国家安全和公共利益带来的损失不堪设想。也正是基于此种考虑,相关部门采取措施迅速且果断。
其实不只是滴滴出行,工信部新闻发言人、信息通信管理局局长赵志国表示,近年来,工信部持续开展App侵害用户权益的整治行动,组织检查了76万款App,通报748款违规App,下架了245款拒不整改的App,对违规行为继续保持高压震慑。
“保障信息安全不是对互联网企业的高标准要求,而是底线要求。只有守住了底线,行业的发展对社会及公众才是有价值的。”曹操出行相关负责人告诉记者。曹操出行是吉利集团旗下网约车平台。行业第三方极光发布的《2021年Q1移动互联网行业数据研究报告》显示,曹操出行月活跃用户数达567.9万,较去年同期大幅增长近140%,处于网约车B2C头部。
曹操出行相關负责人表示,针对信息安全保护,曹操出行推出了一揽子举措。虚拟号码功能确保乘客叫车后司机端显示的是乘客的虚拟号码,进一步保护乘客的个人隐私信息。而在内部,用户的个人信息也实现了高级别安全管理和加密保护。与此同时,行程录音功能保障用户出行安全,便于在司乘发生纠纷后调取证据,在用户进行授权后,行程中录音功能将会自动开启,加密上传并保存。平台自动保存录音期限为7天,除公安、司法等机关依法调取外,曹操出行不会将用户录音共享给第三方。
尽管这些年相关部门针对个人信息买卖持续采取整治措施,但从现实状况看,一些互联网企业仍习惯于收集非必要的个人信息,在内部安全管理上又漏洞频出,进一步放大了信息安全的风险。
不久前,海南省互联网信息办公室集中通报了7款App违法违规收集使用个人信息情况,其中不乏国有企业的面孔。如“加油海南”属于中国石化销售股份有限公司海南石油分公司,被指存在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用等诸多问题。另一款App“HAI生活”属于海口农村商业银行股份有限公司,同样存在收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关,未提供有效的更正、删除个人信息及注销用户账户功能等问题。
天气软件需要读取电话号码簿,输入法要获取相册权限,记事本也想知道手机定位信息……为什么众多互联网企业热衷过度收集个人信息?记者调查发现,除了优化App使用体验的需要外,更多是出于大数据时代商业价值的考量。
中国传媒大学教授王四新就指出:“信息越丰富,对用户的画像就越具体,各类数据信息交叉比对产生的潜在商业价值就越大。不论是App自身变现,还是通过广告等商业途径变现,都需要收集这类信息。”广泛收集个人信息看似给互联网企业提供了便利,但也埋下了隐患,因为一旦信息管理失当,失控的代价往往是巨大的。
譬如,人脸识别技术对大多数人而言不再陌生。它采集含有人脸的图像或视频,并自动在图像中检测和跟踪人脸,可广泛应用于银行解锁、门禁系统、机场安检等诸多领域。可此前发生的一起人脸识别数据暴露事件,引发了不少人对这项新技术的担忧。
提供人脸检测和人群分析的深圳一家互联网公司,被荷兰安全研究员发现其人脸识别数据库没有密码保护,直接暴露在网上。该研究员撰写报告称,该数据库包含了超过250万用户的记录,包括身份证号码、地址、出生日期、识别其身份的位置等。在24小时内,有超过680万条位置信息被记录进去。根据这些信息,可以跟踪任何人的行踪。 公安部第三研究所信息网络安全法律研究中心主任黄道丽认为,这次疑似泄露的人脸识别数据如果与以往泄露的隐私信息相关联,或可达到“为用户画像”的程度,将全方位暴露公民个人日常生活,产生精准营销、网络诈骗等风险。
“当过度获取权限成为习惯,安全这根弦彻底松懈下来,风险就会不断逼近。”云账户(天津)共享经济信息咨询有限公司董事长杨晖称。云账户是一家专门为零工经济提供服务的互联网公司,相当于“线上人力资源公司”,面向全国8100多家平台企业和5500多万名个体经营者,提供秒批办照、身份核验、业务分包、收入结算、税费代缴等服务。如何确保这些信息存储安全,成了摆在云账户面前的重要课题。
云账户成立5年来,各项经济指标跃升40倍,2020年实现收入384.55亿元,名列中国民营企业500强第261位。之所以能取得这一成绩,杨晖认为其仰仗的“法宝”正是云账户长期以来一直坚持的底线思维:严守信息安全阵地。近年来,云账户先后通过了信息技术服务管理体系ISO 20000、国际支付卡行业数据安全标准PCI DSS、国际信息安全管理体系ISO 27001等认证,以及公安部信息系统安全等级保护3级备案,对于信息安全投入不设上限。
杨晖说,信息安全是云账户的生命线,也是保障云账户长远稳健发展的红线、底线。而这一理念同样适用于其他互联网企业。守住信息安全底线绝不是杞人忧天、画蛇添足,而是居安思危、防患未然。高楼大厦平地起,根基牢固,宏伟基业才不是空中楼阁。否则,虚假繁荣过后只会留下一地鸡毛。
第四次工业革命正如火如荼推进,互联网企业站在风口,享受了时代发展的红利,理应主动肩负起保障信息安全的责任。这既是不辜负公众一如既往的信任,也是企业应尽的社会职责使命。
腾讯公司副总裁、知名安全专家丁珂坦言,互联网新兴经济企业基于数字化技术开展外部业务和内部组织管理,呈现出典型的轻资产特征,并在这一过程中沉淀了大量的数据资产,但与此同时也面临着前所未有的安全挑战。
一方面,安全的内涵改变:不仅要应对传统基于网络、应用、操作系统的系统渗透式攻击,还要防御基于直播、游戏、金融、文旅等在线服务业务漏洞被“黑灰产”利用牟利;另一方面,对于新兴互联网企业而言,安全做不好的代价已是“不可承受之重”,安全不再是额外的成本,而是直接决定企业业务发展的天花板。更重要的是,网络安全领域的法律法规密集出台,顶层设计臻于完善,忽视安全建设还可能有违法违规可能。
事实也的确如此。7月10日,国家网信办发布关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知,其中,要求“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”最为引人注目。
9月1日,《数据安全法》正式施行,规定了对影响或者可能影响国家安全的数据处理活动进行国家安全审查,任何组织、个人收集数据,应当采取合法、正当的方式;并应当在法律、行政法规规定的目的和范围内收集、使用数据。互联网不是法外之地,法律法规在制度层面不断加大对互联网企业收集使用个人信息的监管力度,将之纳入法制化轨道。
同时于9月1日起施行的还有《关键信息基础设施安全保护条例》,公共通信和信息服务被纳入关键信息基础设施中,要求相关企业建立健全网络安全保护制度和责任制,制定网络安全应急预案,开展网络安全监测、检测和风险评估工作,采取安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用,违反本条例规定将会受到行政处罚、判处罚金甚至要承担刑事责任。
全国信息安全标准化委员会委员、北京威努特技术有限公司CTO黄敏指出,包括互联网企业在内的运营单位要充分认识到,关键信息基础设施安全不仅仅是企业自己的事,更关乎国家安全、国计民生和公共利益,所以需要企业跳出自身利益范围,站在更高层面来认识保护的重要性。
腾讯对此有深刻的认识,将安全的理念贯穿日常管理。在主动防御外部安全挑战方面,腾讯将云作为安全攻防的主战场,认为上云是应对数字时代安全问题的“最优解”。丁珂说,腾讯建立了多个安全实验室和工作组,有超过3500人的专业安全团队。以去年疫情期间为例,腾讯会议用户量暴增,上线两个月就突破千万日活,8天扩容超过10万台云主机,100天内迭代超过20个版本。一旦安全防護能力跟不上业务发展速度,业务就会处于“不设防”状态。腾讯安全基于云原生,为其提供了外部合规治理、内部基础防护、业务安全、情报监测和应急响应等完整的保障体系,从而有力保障用户信息安全。
对于当下的互联网行业而言,在法律制度框架约束下,建立常态化的监管体系,实现系统性法律约束成为当务之急。只有实现常态化监管,才能使互联网企业保持足够警醒,一旦触碰高压线,不但面临高额经济处罚,涉嫌违法犯罪的还将受到刑事处罚。更关键的是,企业因为信息安全保护缺失而信誉受损,失去用户信任,最终会被市场无情淘汰。
除此之外,保障信息安全还有赖于技术的与时俱进。这既包括监管科技不断提升识别和管控能力,及时将互联网企业初期的违规行为消灭在萌芽中,避免事态扩大;也包括了互联网企业自身提高主动防御能力,从源头杜绝信息泄露风险。
只有多管齐下,信息安全的篱笆才能筑牢,互联网企业才能在不逾矩中赢得更广阔的发展空间。
从滴滴出行下架看信息安全隐患
曾经有互联网行业“大佬”公开表示,为了便利及效率,人们可以放弃隐私。这一说法引发舆论口诛笔伐。与其说是“放弃”,不如说是公众在面对有限选择时的“不得不放弃”。如今,随着自上而下重视程度不断提高,守住信息安全已经成为对互联网企业的底线要求,任何企业概莫能外。
滴滴出行如今的境遇最能说明问题。悄然赴美上市,将信息安全抛诸脑后的滴滴很快便迎来监管重拳。7月4日,“网信中国”微信公众号发布《关于下架“滴滴出行”App的通报》称,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App并要求其认真整改。
紧随其后,下架范围进一步扩展到与滴滴出行相关的25款App。国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等多部门联合进驻滴滴出行科技有限公司,开展网络安全审查。这显然超出了很多人的预料,彰显出国家开展信息安全治理的决心。
滴滴出行暴露出的问题究竟有多严重?滴滴出行CEO程维去年6月曾在内部讲话中透露,旗下有1166万名网约车司机,提供出租车、快车、顺风车、公交、共享单车等几乎全覆盖式的出行服务。历经多年且在全国众多城市的运营,滴滴出行积累了海量的城市及人群数据。这些数据真实且动态更新,已经渗透进了人们的生活及城市运营中。经过不同的排列组合,这些大数据能分析得出很多有关键价值的结论。一旦对外泄露,对国家安全和公共利益带来的损失不堪设想。也正是基于此种考虑,相关部门采取措施迅速且果断。
其实不只是滴滴出行,工信部新闻发言人、信息通信管理局局长赵志国表示,近年来,工信部持续开展App侵害用户权益的整治行动,组织检查了76万款App,通报748款违规App,下架了245款拒不整改的App,对违规行为继续保持高压震慑。
“保障信息安全不是对互联网企业的高标准要求,而是底线要求。只有守住了底线,行业的发展对社会及公众才是有价值的。”曹操出行相关负责人告诉记者。曹操出行是吉利集团旗下网约车平台。行业第三方极光发布的《2021年Q1移动互联网行业数据研究报告》显示,曹操出行月活跃用户数达567.9万,较去年同期大幅增长近140%,处于网约车B2C头部。
曹操出行相關负责人表示,针对信息安全保护,曹操出行推出了一揽子举措。虚拟号码功能确保乘客叫车后司机端显示的是乘客的虚拟号码,进一步保护乘客的个人隐私信息。而在内部,用户的个人信息也实现了高级别安全管理和加密保护。与此同时,行程录音功能保障用户出行安全,便于在司乘发生纠纷后调取证据,在用户进行授权后,行程中录音功能将会自动开启,加密上传并保存。平台自动保存录音期限为7天,除公安、司法等机关依法调取外,曹操出行不会将用户录音共享给第三方。
互联网企业缘何热衷收集用户信息?
尽管这些年相关部门针对个人信息买卖持续采取整治措施,但从现实状况看,一些互联网企业仍习惯于收集非必要的个人信息,在内部安全管理上又漏洞频出,进一步放大了信息安全的风险。
不久前,海南省互联网信息办公室集中通报了7款App违法违规收集使用个人信息情况,其中不乏国有企业的面孔。如“加油海南”属于中国石化销售股份有限公司海南石油分公司,被指存在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;用户明确表示不同意后,仍收集个人信息或打开可收集个人信息的权限,或频繁征求用户同意、干扰用户正常使用等诸多问题。另一款App“HAI生活”属于海口农村商业银行股份有限公司,同样存在收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关,未提供有效的更正、删除个人信息及注销用户账户功能等问题。
天气软件需要读取电话号码簿,输入法要获取相册权限,记事本也想知道手机定位信息……为什么众多互联网企业热衷过度收集个人信息?记者调查发现,除了优化App使用体验的需要外,更多是出于大数据时代商业价值的考量。
中国传媒大学教授王四新就指出:“信息越丰富,对用户的画像就越具体,各类数据信息交叉比对产生的潜在商业价值就越大。不论是App自身变现,还是通过广告等商业途径变现,都需要收集这类信息。”广泛收集个人信息看似给互联网企业提供了便利,但也埋下了隐患,因为一旦信息管理失当,失控的代价往往是巨大的。
譬如,人脸识别技术对大多数人而言不再陌生。它采集含有人脸的图像或视频,并自动在图像中检测和跟踪人脸,可广泛应用于银行解锁、门禁系统、机场安检等诸多领域。可此前发生的一起人脸识别数据暴露事件,引发了不少人对这项新技术的担忧。
提供人脸检测和人群分析的深圳一家互联网公司,被荷兰安全研究员发现其人脸识别数据库没有密码保护,直接暴露在网上。该研究员撰写报告称,该数据库包含了超过250万用户的记录,包括身份证号码、地址、出生日期、识别其身份的位置等。在24小时内,有超过680万条位置信息被记录进去。根据这些信息,可以跟踪任何人的行踪。 公安部第三研究所信息网络安全法律研究中心主任黄道丽认为,这次疑似泄露的人脸识别数据如果与以往泄露的隐私信息相关联,或可达到“为用户画像”的程度,将全方位暴露公民个人日常生活,产生精准营销、网络诈骗等风险。
“当过度获取权限成为习惯,安全这根弦彻底松懈下来,风险就会不断逼近。”云账户(天津)共享经济信息咨询有限公司董事长杨晖称。云账户是一家专门为零工经济提供服务的互联网公司,相当于“线上人力资源公司”,面向全国8100多家平台企业和5500多万名个体经营者,提供秒批办照、身份核验、业务分包、收入结算、税费代缴等服务。如何确保这些信息存储安全,成了摆在云账户面前的重要课题。
云账户成立5年来,各项经济指标跃升40倍,2020年实现收入384.55亿元,名列中国民营企业500强第261位。之所以能取得这一成绩,杨晖认为其仰仗的“法宝”正是云账户长期以来一直坚持的底线思维:严守信息安全阵地。近年来,云账户先后通过了信息技术服务管理体系ISO 20000、国际支付卡行业数据安全标准PCI DSS、国际信息安全管理体系ISO 27001等认证,以及公安部信息系统安全等级保护3级备案,对于信息安全投入不设上限。
杨晖说,信息安全是云账户的生命线,也是保障云账户长远稳健发展的红线、底线。而这一理念同样适用于其他互联网企业。守住信息安全底线绝不是杞人忧天、画蛇添足,而是居安思危、防患未然。高楼大厦平地起,根基牢固,宏伟基业才不是空中楼阁。否则,虚假繁荣过后只会留下一地鸡毛。
不负公众信任方得始终
第四次工业革命正如火如荼推进,互联网企业站在风口,享受了时代发展的红利,理应主动肩负起保障信息安全的责任。这既是不辜负公众一如既往的信任,也是企业应尽的社会职责使命。
腾讯公司副总裁、知名安全专家丁珂坦言,互联网新兴经济企业基于数字化技术开展外部业务和内部组织管理,呈现出典型的轻资产特征,并在这一过程中沉淀了大量的数据资产,但与此同时也面临着前所未有的安全挑战。
一方面,安全的内涵改变:不仅要应对传统基于网络、应用、操作系统的系统渗透式攻击,还要防御基于直播、游戏、金融、文旅等在线服务业务漏洞被“黑灰产”利用牟利;另一方面,对于新兴互联网企业而言,安全做不好的代价已是“不可承受之重”,安全不再是额外的成本,而是直接决定企业业务发展的天花板。更重要的是,网络安全领域的法律法规密集出台,顶层设计臻于完善,忽视安全建设还可能有违法违规可能。
事实也的确如此。7月10日,国家网信办发布关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知,其中,要求“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”最为引人注目。
9月1日,《数据安全法》正式施行,规定了对影响或者可能影响国家安全的数据处理活动进行国家安全审查,任何组织、个人收集数据,应当采取合法、正当的方式;并应当在法律、行政法规规定的目的和范围内收集、使用数据。互联网不是法外之地,法律法规在制度层面不断加大对互联网企业收集使用个人信息的监管力度,将之纳入法制化轨道。
同时于9月1日起施行的还有《关键信息基础设施安全保护条例》,公共通信和信息服务被纳入关键信息基础设施中,要求相关企业建立健全网络安全保护制度和责任制,制定网络安全应急预案,开展网络安全监测、检测和风险评估工作,采取安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用,违反本条例规定将会受到行政处罚、判处罚金甚至要承担刑事责任。
全国信息安全标准化委员会委员、北京威努特技术有限公司CTO黄敏指出,包括互联网企业在内的运营单位要充分认识到,关键信息基础设施安全不仅仅是企业自己的事,更关乎国家安全、国计民生和公共利益,所以需要企业跳出自身利益范围,站在更高层面来认识保护的重要性。
腾讯对此有深刻的认识,将安全的理念贯穿日常管理。在主动防御外部安全挑战方面,腾讯将云作为安全攻防的主战场,认为上云是应对数字时代安全问题的“最优解”。丁珂说,腾讯建立了多个安全实验室和工作组,有超过3500人的专业安全团队。以去年疫情期间为例,腾讯会议用户量暴增,上线两个月就突破千万日活,8天扩容超过10万台云主机,100天内迭代超过20个版本。一旦安全防護能力跟不上业务发展速度,业务就会处于“不设防”状态。腾讯安全基于云原生,为其提供了外部合规治理、内部基础防护、业务安全、情报监测和应急响应等完整的保障体系,从而有力保障用户信息安全。
对于当下的互联网行业而言,在法律制度框架约束下,建立常态化的监管体系,实现系统性法律约束成为当务之急。只有实现常态化监管,才能使互联网企业保持足够警醒,一旦触碰高压线,不但面临高额经济处罚,涉嫌违法犯罪的还将受到刑事处罚。更关键的是,企业因为信息安全保护缺失而信誉受损,失去用户信任,最终会被市场无情淘汰。
除此之外,保障信息安全还有赖于技术的与时俱进。这既包括监管科技不断提升识别和管控能力,及时将互联网企业初期的违规行为消灭在萌芽中,避免事态扩大;也包括了互联网企业自身提高主动防御能力,从源头杜绝信息泄露风险。
只有多管齐下,信息安全的篱笆才能筑牢,互联网企业才能在不逾矩中赢得更广阔的发展空间。