freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
FreeBuf+小程序

FreeBuf+小程序

官方公众号企业安全新浪微博

国内领先的互联网安全新媒体,同时也是爱好者们交流与分享安全技术的社区

数据安全治理践行App用户个人信息保护
2019-05-31 17:36:47

如今,APP应用已经融入我们生活的方方面面,社交、出行、工作、阅读……,似乎生活上的任何需求,透过APP应用都可以有求必应,APP在方便人们生活的同时,通过强制授权、过度索权、超范围收集个人信息等现象,导致App用户个人信息安全保护形势极其严峻。

App个人信息收集与保护现状

5月24日,App专项工作组发布了“百款常用App申请收集使用个人信息权限情况”,并公开了“百款常用App申请收集使用个人信息权限列表”,受到了广泛关注。其结果表明存储、位置、相机、麦克风等权限被申请的百分比大于90%,读取通讯录申请百分比大于70%,以上权限申请几乎成为App的标配。83%的APP“强制”申请开启5个以下“与收集个人信息相关权限”。申请和强制收集的大部分信息属于个人敏感信息,对企业来说,意味着较高的商业价值,对个人来说,一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控,可能对个人信息主体人身和财产带来重大风险。

中国消费者协会发布的《100款App个人信息收集与隐私政策测评报告》也揭示多达91款App列出的权限涉嫌“越界”过度收集用户个人信息。在繁荣的APP市场中对于个人信息保护的水平却极低。

App个人信息保护相关法律法规

目前,国内外均没有专门针对App个人信息保护的法规,相关个人信息保护要求包含在对网络运营者的数据安全保护义务和责任中。

1996年香港制定个人资料(隐私)条例,成为亚洲第一个对个人信息专门立法保护的司法区,2012年香港对个人隐私条例进行了大幅度更新,旨在个人资料方面保障个人隐私的安全,对“数据用户”(即数据使用者),获取、持有、处理个人资料提出了规范性要求。该条例明确了在香港,个人信息资料获得法律保护。个人资料的搜集须以“合法及公平”方式进行;除非获得当事人同意,否则对个人资料的使用“只可按当时所述明的用途”,违反规定者最高可被罚款50万港元及监禁3年。

2015年,欧盟发布的《通用数据保护条例》(GDPR),围绕个人数据的收集、使用、保存、分享、转移等,对数据控制者和处理者、数据主体的权利义务进行了全面规定。

2017年6月1日起施行的《中华人民共和国网络安全法》是国内首部关于网络安全的基础性法律,其中对个人信息保护提出专门要求。明确要求网络运营者必须建章立制,担负用户信息“保管员”的职责,确保对所收集的用户信息在不泄露的前提下进行使用,同时强化了个人信息保护的知情同意和特定目的原则。

2018年,加利福尼亚州颁布《加州消费者隐私保护法案》(CCPA),被认为是美国国内最严格的个人信息立法。指明,个人就其个人信息的使用和出售的控制能力对于隐私权而言具有基础性意义并对违规行为设定了较重的处罚。

App个人信息保护需要数据安全治理

2019年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,将对超千款App进行评估,规模空前,展现对乱象重拳治理的决心。但正如美国的《大数据与隐私报告》指出:信息所具有敏感性,以及与一般商业活动、政府行政或者来自公共场合的收集中的大量数据的难以分割性,使得规制这些信息的使用比规制收集更合适。如果能在合理收集数据的基础上对数据进行有效的数据安全治理,则会对个人信息数据提供更深层次的安全保障。

数据安全治理不仅仅是一套用工具组合的产品级解决方案,而是从决策层到技术层,从管理制度到工具支撑,自上而下贯穿整个组织架构的完整链条。可以以最有效的方式保护个人隐私信息的安全,又能够让企业发挥出共享数据应有的价值,数据安全治理体系建设可以从能力维度、执行维度、场景维度三个层面开展:

1 副本.jpg

能力维度

完善的组织机构、有针对性和可行的管理制度和规范、全面和先进的数据安全技术,是构建数据安全治理体系的基础。

●组织建设:组织的职责可划分为数据安全策略的决策、数据的安全管理、数据安全使用的监督三类,根据不同职责分配角色和人员。

●治理评估:组织在进行规划过程中,应定期通过业务合规性评估手段开展咨询评估工作,对业务系统和数据安全进行全面检测,并对评估结果进行安全能力分析,从而形成业务系统数据安全能力评估报告。

●制度建设:将制度、规范按照方针政策、制度规范、操作明细、基础模板四类进行分类,形成树状结构,便于管理。

●技术建设:数据安全技术,支撑制度规范的执行与监控,技术工具建议使用标准的数据安全产品或平台,也可以是自主开发的组件或工具;技术工具应覆盖数据使用的各个场景中的数据安全需求。

执行维度

针对数据使用的各个场景,需要通过梳理来了解数据资产状况和风险;配合制度规范要求,采用不同的安全技术手段进行数据使用过程中的管控,同时要监控使用过程,对访问行为进行稽核,并不断完善。

资产梳理

此过程是数据安全治理全维度的基础,因为,只有摸清资产使用部门和角色、数据资产的分布、数据量级、访问权限、数据使用状况,才能够有效的针对数据进行精细化的安全管控。

●行为管控

此过程是结合业务流程,在数据流转中的数据访问、数据运维、数据传输外发、数据存储等各环节做到内外兼顾,并对数据处理/使用环节中的数据进行安全保护。

●治理稽核

稽核是保证数据安全治理规范落地的关键,也是信息安全管理部门的重要职责。因此,此环节是保障数据安全治理的策略和规范能否被有效执行和落地,以及最终实现数据安全治理全流程的闭环。

场景维度

数据安全治理涵盖数据在日常使用过程中面临的各种场景,具体包含开发测试、运维、共享、分析、应用访问、内部特权访问等场景。在做数据安全建设时必须首先分析业务场景,包含但不限于如:开发测试、数据运维、数据分析、应用访问、特权访问等场景,然后按照能力维度中所梳理的资产、数据、用户、权限等内容导入到场景化,包括早期策略制定前的数据梳理工具,数据访问过程控制中,采用什么样的技术手段帮助实现数据的安全管理过程,以及在后期对数据安全治理工作进行稽核的过程中采用什么样的技术工具进行辅助监管。结合数据安全治理工具帮助完成数据安全治理工作。

在APP融入并改变人们生活的如今,其中的用户个人隐私信息安全问题备受关注,合理收集、适度开发、系统保护将会是长期的工作。

本文作者:, 转载请注明来自FreeBuf.COM

被以下专栏收录,发现更多精彩内容
+ 收入我的专栏
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦