兩會關注用戶隱私保護，互聯網企業如何履責

3月4日，十二屆全國人大五次會議大會發言人傅瑩在發布會上介紹，今年將開展網路安全執法檢查，關注重點之一就是加強個人信息保護。

（傅瑩）

她提到，「今年準備對網路安全開展執法檢查，關注重點之一就是現在社會上特別關心的問題，就是非法向他人提供個人信息和網路詐騙。」

從國家立法和執法的層面上，將個人隱私信息保護提高到了前所未有的高度，那麼企業應當如何積極響應，切實履行保護職責呢？

1、隱私的範圍和管控的重點

在討論隱私保護之前，我們必須知道所謂用戶隱私保護，它的範圍應當如何界定。最直觀的感受來說，個人隱私信息應當包括：姓名、身份證號碼、手機號碼、郵箱，這些最為常用的信息被黑市稱為四大件。從更廣義的範圍來說，個人隱私信息不止於此。

這樣的法律規定，給企業明確個人隱私保護的範圍提供了切實可行的參考。

在互聯網行業，信息泄露的事件頻頻發生，據不完全統計，2016年全年在黑市上泄露的個人信息達到65億條次，也就是說，在，平均每個人的個人信息被至少泄露了5次。

而這一次個人隱私保護在人大會議上被提出，並得到如此高度的重視，筆者認為有兩個原因：

前期的立法準備已經完成，從刑法第九修正案、網路安全法，到準備提請審議的民法總則和電子商務法，都已經明確將個人信息的泄露、非法提供、出售定義為違法犯罪行為，並對涉及個人信息處理的企業提出了信息保護的要求；

隨著互聯網產業的迅猛發展，企業對數據的渴望愈發激烈，這樣刺激了數據交易市場的野蠻生長，正規、非法的企業魚龍混雜，而由此催生出的數據竊取、電信詐騙、非法數據交易給社會、公民帶來的損失已經觸目驚心，到了不得不大力打擊的階段。

2、互聯網行業應當如何保護用戶的個人隱私信息

對於大多數的互聯網公司來說，我們本身的業務並不會直接的侵犯用戶的隱私，但是除了對電信詐騙、數據非法交易的直接打擊，網路安全執法檢查的重點同樣必然會關注到企業如何切實履行好個人隱私保護的義務。接下來，筆者將從幾個不同的方面，談談互聯網企業履行用戶個人隱私保護義務需要關注的一些事情。

1）明確用戶隱私信息範圍，完善管理要求

企業實施用戶隱私信息保護的前提條件，是明確定義出哪些信息應當作為用戶個人隱私信息進行保護。對於很多互聯網公司而言，用戶信息收集的視角非常之多，除了四大件之外，還可能涉及銀行卡、支付寶、微信支付等網路支付信息，手機型號、電腦型號、瀏覽器類型等終端設備信息，甚至上網時間分佈、關注信息偏好等用戶個人喜好、習慣信息。

關注用戶隱私信息保護，需要從風險的角度，識別風險場景和信息的相關性，從而明確隱私保護的重點範圍，將有限的資源分配到高風險的用戶信息欄位，一般而言，我們會將姓名、手機號、郵箱地址、賬號密碼、聯繫地址、銀行卡信息（或其他支付渠道信息）作為重點保護的對象，這些都是非法數據交易市場中交易最為活躍的信息。

在明確保護對象的基礎上，企業應當建立健全用戶隱私信息保護的管理制度和要求，使得企業在用戶敏感信息保護方面做到有法可依。梳理用戶隱私信息保護的管理制度和要求，可以從多個視角來考慮：

一是從數據的生命周期角度來考慮，對數據的產生、存儲、流轉、使用、廢棄等不同階段涉及介質、系統、終端、人員進行識別，明確不同階段的使用要求。

另一種視角，則是從用戶隱私信息涉及到的所有者、管理者、使用者的角度，分別提出不同的要求，基本要求應當包括：

用戶個人隱私數據的可接受使用，即哪些人通過哪些系統可以訪問哪些數據（應當有數據所有者來定義）；

用戶個人隱私數據的使用流程，即對於批量數據查詢、非授權人員對用戶隱私數據使用的場景應當如何通過流程進行授權管理，保證披露範圍合法、可控，披露過程可追溯（使用者應當遵守的流程）；

用戶個人隱私數據的管理流程，即從信息系統管理者的角度如何保證用戶個人隱私數據不被非授權訪問、隱私信息介質被妥善保護、數據訪問過程可追溯、廢棄數據妥善被銷毀等（管理者應當執行的流程）；

違反個人隱私數據保護管理要求的情況下，應當受到何種處罰或懲戒。

通過建立完整的用戶隱私數據保護管理的制度、要求，可以形成全局性的對個人隱私保護的共識，明確不同角色、崗位人員應當承擔的責任和履行的義務，最終從管理機制上形成「有法可依」的基礎性保護。

2）明確用戶信息收集的範圍和用途

除了內部應當建立起用戶隱私保護的管理機制外，與用戶就信息的收集、使用達成一致性的共識，也是互聯網企業必須關注的重點。

這一要求明確提出，互聯網企業在為用戶提供服務之前，必須明確告知用戶，在服務過程中會收集到哪些信息，以及這些信息將被用於哪些用途以及使用的範圍。只有在獲得用戶許可的前提下，才可以收集相關的信息。

儘管實際的操作過程當中，用戶可能並不會逐字逐句的閱讀用戶協議，但是從執法機構的角度而言，這是企業對用戶隱私保護的基本承諾和企業踐行用戶隱私保護的基本依據。

同時，如果在檢查的過程中，發現了企業對某些用戶信息進行了收集卻未在用戶協議中提示，或是收集的信息超出了約定的使用範圍，執法機構也會要求企業進行整改。

3、選擇合法的數據服務商渠道

在人大發言人傅瑩關於個人隱私保護的講話中，她提到了大數據發展的背景。而當前，在提供數據服務的市場中，實際上很難對很多的數據服務提供商的數據來源進行甄別，而其中一些所謂的大數據服務公司，其實就是打著大數據的幌子從事著個人隱私數據交易的非法業務。

對於很多的互聯網企業來說，選擇依法合規的數據服務供應商也是一個必然的選擇，非法的數據交易也必然會成為執法檢查和打擊的重點。

我們必須甄別數據服務提供商的成色，在法律文書中明確的約定數據服務提供商對於其提供的數據所應當承擔的法律責任，同時，杜絕數據內容涉嫌違法的高風險交易，從而切實履行企業的個人隱私保護責任。

4、建立覆蓋全生命周期的用戶信息保護技術體系

細觀當前的個人隱私數據交易市場，實際上我們可以看到非常多的數據是一些黑客通過技術手段，非法竊取的數據。對於互聯網企業而言，越來越龐雜的用戶互聯網服務入口，也為很多技術高超的黑客留下了很多的可能性。這給企業內部的信息安全工程師提出了一個很難的課題，如何建立完整的數據安全防護體系，將用戶隱私信息置於銅牆鐵壁之內，這將是個不小的挑戰。

儘管當前市場上數據保護的安全工具很多，但如何能夠使這些工具協同的發揮效力，是我們安全從業者必須考慮的問題。

這兩個不同類型的風險來源，需要我們採用不同的數據安全工具的組合，以建立不同的數據防護機制。

對外部黑客攻擊而言，一般性的安全工具組合可能會包括：

• 應用防火牆（WAF）
• 入侵偵測系統（IPS）
• 數據泄露防護系統（DLP）
• 資料庫防火牆（DBF）
• 資料庫審計工具（DBA）
• 資料庫加密工具

通過這些工具的組合，試圖對可能發生的黑客入侵行為進行預警、阻斷和追溯，從而盡最大可能避免大規模的數據泄露事件發生。

對內部惡意人員的泄露，一般性的安全工具組合可能包括終端安全管理工具（對數據傳輸介面進行限制）、終端數據泄露防護、網關數據泄露防護、虛擬桌面（數據不落地）、文檔加密工具、數據加密工具、數據脫敏工具、資料庫防火牆、資料庫審計工具等。通過這些工具的組合，可以實現對資料庫管理員、數據工程師、業務運營人員的高危數據操作風險的管理，包括數據導出、下載、外傳、批量查詢等。

上述的兩類風險的防護，需要基於用戶隱私數據的動靜態分佈和流轉進行全面的分析，識別數據的暴露節點、暴露對象、暴露途徑，從而搭建起完整的防護機制，使各類工具能夠協同作用，形成合力，避免木桶理論中的短板出現。

5、建立用戶隱私數據保護的共識和文化

最後需要強調的一點是，如何在企業內部形成用戶隱私信息保護的文化。

如前文所述，儘管我們可以通過技術手段紮起一些籬笆，提高數據泄露的難度，但是要較為徹底的解決這個問題，需要通過培訓、監督、獎懲機制形成企業員工對「用戶隱私保護是我的責任」這樣一種共識和文化。

從培訓的角度來說，除了一般性的數據隱私保護的培訓之外，企業應當特別針對數據安全敏感的崗位、人員進行有針對性的培訓。對於日常經常可以方便的接觸到用戶隱私信息的客服人員、運營人員、銷售人員，他們必須知道哪些用戶信息可以在什麼樣的範圍內如何使用，哪些常見的行為是被禁止甚至是違法的，以及公司設置了怎樣的技術措施來監控，從而起到震懾效果。

此外，進行大數據分析的數據工程師，以及後台的資料庫管理員，也應當通過培訓，了解公司關於用戶隱私信息的保護要求和管理流程，從而保證在處理數據服務請求時，能夠做到依法、合規。

需要特別提出的一點是，建立用戶隱私信息保護的文化，不僅需要信息安全人員的奔走相告或是嚴厲的監督、懲戒機制，更需要管理層的大力推動和全員的身體力行。

本文作者：馬寅龍（點融黑幫），點融網信息安全合規專家，2年IT審計和6年信息安全風險諮詢服務經驗，擅長信息科技戰略規劃、信息安全體系建設、IT風險管理與治理，崇尚以務實的方式踐行企業的信息安全風險管理。

本文由@點融黑幫（ID：DianrongMafia）原創發佈於界面，未經許可，禁止轉載。