如今,数据已成为最重要的生产资料之一。在数字经济发展的同时,数据泄露、侵犯用户隐私等安全问题随之出现,引起监管重视。7月25日,中国互联网大会“2020数据安全论坛”在线上举办,多位专家就“数据安全”问题展开讨论。
有专家表示,数字经济发展面临着数据确权和确定交易机制的挑战,同时要平衡好与安全之间的关系。值得注意的是,2020年App违法违规收集使用个人信息治理工作首次将小程序和SDK纳入其中,评估范围逐渐扩大。有专家称,App服务器端的数据安全问题成为比较突出的新问题,这或将成为未来监管的重点。
超六成被测小程序未提供独立隐私政策
近年来,小程序快速普及和发展,已深入人们的日常生活中。与此同时,小程序存在的个人信息安全问题也逐渐显现。
为研究小程序的安全现状,今年6月份,南都个人信息保护研究中心联合中国信通院安全研究所发布《小程序个人信息保护研究报告》(下称《报告》)。论坛上,中国信息通信研究院安全研究所信息安全研究部副主任张媛媛对《报告》进行了详细解读。
《报告》从四大主流小程序平台,涉及新闻资讯、生活服务、网络购物等10类典型服务中,共选取52款小程序进行测评。结果发现,每一款小程序平均存在三个以上的安全问题,其中教育、交通、新闻资讯类小程序的问题最为突出,主要集中在数据收集、传输及删除三个关键环节。
《报告》指出,超六成被测小程序未提供独立的隐私政策。95.2%的被测小程序向用户默示隐私政策,其中大部分采取“登录即同意”的形式。还有约25%的被测小程序存在明文传输个人信息的情况,涉及精准定位、个人健康生理信息等敏感信息。“数据传输安全是保障用户个人信息安全的关键环节,否则网络黑客可通过截获数据包,实施数据窃听、篡改或伪造身份等行为。”张媛媛强调。
近日,中央网信办、工业和信息化部、公安部、国家市场监管总局四部门在京召开会议,启动2020年App违法违规收集使用个人信息治理工作。
隐私护卫队发现,SDK(软件开发工具包)、小程序首次被纳入评估范围。App治理工作组还将针对面部特征等生物特征信息收集使用不规范问题开展专题研究和深度检测。
App服务器端数据安全成为比较突出的新问题
值得注意的是,上述被纳入评估范围的对象都是近来备受关注的焦点对象。
7月16日,因疫情原因延期举办的315晚会曝光SDK窃取用户隐私,偷偷将通讯录、短信记录、应用安装列表等信息传回服务器。不久前,“人脸识别第一案”引发民众对面部信息等敏感信息被不当收集和过度滥用的担忧。
针对态势严峻的问题,2020年治理工作在去年基础上,进一步加大整治工作力度,突出问题导向,增加了上述评估对象。事实上,还有许多其他侵犯用户信息的行为值得关注。
隐私护卫队注意到,中国信息通信研究院安全研究所数据安全研究部副主任陈湉在论坛上总结了App存在的其他一些比较突出的新问题,这或将成为未来的监管重点。
她介绍说,应用程序接口(Api)的地位类似SDK,是预先定义的函数,为程序之间数据交互和功能触发提供服务。同样的,Api也存在很多安全风险。比如恶意人员可利用爬虫技术、通过Api漏洞爬取大量数据等。
此外,App服务器端的数据安全问题也值得关注。陈湉表示,进入大数据时代,搭建大数据集群,实现对海量数据的关联分析和挖掘,几乎成为App服务器端的“标配”。然而,它们也成为数据泄露的重灾区。
针对上述问题,陈湉建议运营者和开发者重视自身App移动终端和服务器端的安全检测,及时消除漏洞和隐患;还要重视数据安全岗位人员的培训,提升员工的数据安全意识,积极建设企业内部的数据合规文化。
数十家企业签署网络数据安全自律公约
大数据时代,数据早已成为企业争相获取的资源,如今更是成为一种全新的生产要素。
近日,国家发展改革委、中央网信办、工业和信息化部等13个部门联合印发《关于支持新业态新模式健康发展 激活消费市场带动扩大就业的意见》,对加快发展数字经济15大新业态新模式重点方向提出19项创新支持政策,以创新生产要素供给方式,激活消费新市场,发展新的就业形态,培育壮大新动能。
需注意的是,一方面,发展数字经济不能以牺牲用户隐私为代价。另一方面,数字经济产业自身未解决的问题也制约着它的发展。
“第一个挑战就是数据确权问题。”中国移动信息安全管理与运行中心副总经理赵刚指出,数据到底归谁所有?谁可以通过数据获益?比如用户在网站的浏览记录数据是归网站所有还是用户所有,如果归网站所有,网站是不是可以交易这些数据。“这些问题不解决的话,数据就没有办法流动起来。”他还强调,“确定数据交易机制是我们面临的另一个问题”。
北京航空航天大学法学院院长龙卫球还表示,没有企业的数据开放共享,数据要素市场也难以形成。同时他强调,在数据开放共享的过程中要做好与安全发展关系的平衡。
为了促进数字经济健康持续地发展,论坛上,中国互联网协会组织相关电信和互联网企业签署《电信和互联网行业网络数据安全自律公约》(下称“《公约》”),签署单位包括阿里、百度、快手等数十家企业。
《公约》建议成员机构应明确网络数据安全管理责任部门、制定网络数据安全管理制度规范、配备网络数据安全管理和技术措施、开展网络数据安全合规性评估,做好网络数据安全审计管理、应急处置、教育培训等工作,建立并持续完善本机构网络数据安全保障能力。
综合考虑网络数据的重要及敏感程度、类别属性、使用目的等因素,开展网络数据资产梳理和分类分级工作,并围绕网络数据全生命周期各环节推动部署差异化安全保障措施。