要求其按照《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规要求,对照工信部等四部门制定的《App违法违规收集使用个人信息行为认定方法》,进一步采取有效措施,消除数据安全隐患。
网络安全管理局提出了四点要求:
尽快完善隐私政策,规范用户个人信息收集使用行为;
加强用户信息分类分级保护,强化用户查询接口风险控制等安全保护策略;
加强企业内部数据安全管理,定期及新业务上线前要开展数据安全合规性自评估,及时防范数据安全风险;
在发生重大数据安全事件时,及时告知用户并向主管部门报告。
事情发展始末
3月19日,微博网友安全_云舒转发了一条微博,掀起了一场关于“微博数据泄露”的讨论。云舒称很多人手机号码泄露了,根据微博账号可以查到手机号。
该微博已被删除
新浪微博迅速做出了回应。新浪微博表示,或许产生了数据泄露,但是泄露的数据仅限于用户昵称,不涉及身份证、密码,这些信息可能是黑客通过其他手段从其他平台得到,对微博服务没有影响,目前已及时强化安全策略。
新浪微博回应
此事引起了社会各界的关注,媒体争相报道。有用户向媒体表示,在暗网上可以买到包括姓名、邮箱、地址、手机号、微博账号、密码等8项信息,还有人可以买到自己的微博账号老密码、身份证号、车牌号、贴吧绑定的账号、绑定的QQ号等信息。
泄露的数据究竟来自于哪里无法准确考证,新浪微博是不是真的非常安全也无法直接测试。目前主流舆论认为新浪微博被黑客大规模入侵的可能性不大,此次事件发生的原因可能“撞库”或者“漏水”。
撞库是黑客通过收集互联网已泄露的用户和密码信息,生成对应的字典表,尝试批量登陆其他网站后,得到一系列可以登录的用户。很多用户在不同网站使用的是相同的帐号密码,因此黑客可以通过获取用户在A网站的账户从而尝试登录B网址,这就可以理解为撞库攻击。
漏水则是指企业某些非核心业务团队规模小,没有按照统一规范流程搭建业务,因此出现风险,比如没有做好关键数据隔离、没有做好权限分层管控、没有做好数据加密存储等。
随后,新浪微博因为此事件被工信部网络安全管理局问询约谈,也就有了文章开头的四个要求。
互联网巨头该紧张起来了
据了解,2019年新浪微博净营收17.7亿美元,月活跃用户达到5.16亿,日活跃用户达2.22亿。虽然和腾讯、阿里相比用户数量多有不如,但是在国内还是不折不扣的互联网巨头。
或许新浪微博真的没有发生数据泄露,但这并不意味着新浪微博一点错都没有。
网络安全管理局的四个要求就指出了新浪微博的错误:隐私政策不完善、用户个人信息收集使用不规范、用户信息分类分级保护不全面、用户查询接口风险控制不到位、没有定期开展数据安全合规性自评估、发生重大数据安全事件时,未及时告知用户并向主管部门报告。
在互联网草莽时代,监管可能会对巨头束手无策,这样的情况可能约谈结束就结束了。但随着《网络安全法》、《电信和互联网用户个人信息保护规定》、《信息安全技术个人信息安全规范》等法律规范的出台,互联网行业规则已经改写。
中国互联网巨头们该警醒了!
今天会因为隐私政策不完善、用户信息分类分级保护不全面被约谈,以后也有可能因为同样的问题被行政处罚,甚至有可能因为同样的问题锒铛入狱。等到《个人信息保护法》、《数据安全法》、《数据安全管理条例》等法律规范全面出台,监管只会越来越严格。
巨头的体量或许能让监管有所顾忌,但绝对不会受到优待,甚至会被重点监管,因为巨头拥有最多的数据,而且拥有的数据最有价值,可能造成的危害会更大。
除了监管之外,来自外部的攻击更需要被重视。对于互联网巨头来说,由于资金充实、技术能力强大,还有多年的积累,来自外部的攻击往往显得不痛不痒,但这不是可以不重视的理由。
由这起事件来说,无论是“撞库”还是“漏水”,很明显都没有得到应有的重视,没有用户得到风险提示,企业也没有做出改变,直至事情爆发。最后的结果就是现在这样,新浪微博虽然没有蒙受重大财务损失,但是名誉绝对是遭受了巨大损失,在监管层还挂了名,欲哭无泪。
合规是为了更好地发展
如前文所说,我国个人信息安全监管越来越严格,而且将来还会更加严格。在严监管的趋势下,很多机构、企业觉得不舒服、觉得被拘束了,觉得自己受到了伤害。这些机构、企业都没有认识到监管的价值。
互联网企业是服务行业,用户是最重要的一部分,甚至可以说用户是互联网企业存在的根基,没有任何用户会喜欢欺骗他、偷他东西的服务者。监管存在得价值就是帮助互联网企业不要走歪路,不要走岔路。
时代已经变了,企业需要转变思想,合规不是为了不被处罚,不是为了迎合监管,而是为了不被用户唾弃,是为了更好的发展。
本文为作者授权发布,不代表移动支付网立场,转载请注明作者及来源,未按照规范转载者,移动支付网保留追究相应责任的权利。
{{item.content}}