新技術(shù)不斷催生著新產(chǎn)品、新模式、新業(yè)態(tài)的出現(xiàn)，伴隨著各行各業(yè)的數(shù)字化轉(zhuǎn)型加速，數(shù)據(jù)資產(chǎn)的價(jià)值和重要性不斷提升。國家層面對(duì)數(shù)據(jù)安全更加重視，不斷加大監(jiān)管力度、完善相關(guān)法律法規(guī)。企業(yè)在數(shù)據(jù)安全治理實(shí)踐過程中所表現(xiàn)出的，基于數(shù)據(jù)安全合規(guī)方面的需求也愈發(fā)強(qiáng)烈。

2月8日，工信部再次出手整治違規(guī)App，并公布了2023年首批侵害用戶權(quán)益行為的46款A(yù)pp。通過工信部與第三方檢測機(jī)構(gòu)對(duì)群眾關(guān)注的生活服務(wù)類App及SDK進(jìn)行檢查，發(fā)現(xiàn)墨跡天氣極速版、掌上公交等46款移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）及第三方軟件開發(fā)工具包（SDK）存在侵害用戶權(quán)益行為。

依據(jù)《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》《電信條例》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等法律法規(guī)，對(duì)于這些侵害用戶權(quán)益行為的App進(jìn)行了通報(bào)，并要求相關(guān)App及SDK應(yīng)在2月15日前完成整改落實(shí)工作。逾期不整改的，將依法依規(guī)組織開展相關(guān)處置工作。

這46款A(yù)pp包括我們常用的便利蜂、屈臣氏，也包括華為旗下的閱讀App華為閱讀。所涉問題包括“違規(guī)收集、使用個(gè)人信息”、“強(qiáng)制、頻繁、過度索取權(quán)限”、“欺騙誤導(dǎo)強(qiáng)迫用戶”等。

App安全隱患無孔不入

在智能手機(jī)日益普及的今天，各類手機(jī)App逐漸成為生活必需品。出行坐公交、騎自行車、打車、購買機(jī)票、火車票需要出行App；查詢出行線路需要導(dǎo)航App；購買任何產(chǎn)品都需要支付App……在手機(jī)應(yīng)用程序市場飛速發(fā)展的同時(shí)，孰不知，危險(xiǎn)卻與便捷一同到來。

相信在使用手機(jī)的過程中，你我都遇到過這些問題，比如拍一張照片要讀取你的位置、聯(lián)系人等隱私權(quán)限；比如App里彈出的引導(dǎo)下載、關(guān)注的圖片、視頻，關(guān)閉按鈕隱蔽到看不出來；再比如打開App時(shí)的開屏廣告，短則三五秒，長則十幾秒，一不小心就會(huì)觸碰到下載按鍵……

有關(guān)App索取權(quán)限的用處，除了保證App的正常使用外，最重要的就是為了對(duì)用戶進(jìn)行畫像，鎖定用戶，以便精準(zhǔn)投放廣告，進(jìn)而給平臺(tái)方帶來更多收益。但如果App隱私信息的加密不到位，極易造成用戶隱私泄露，從而帶來無法預(yù)料的嚴(yán)重后果。

根據(jù)IdentifyTheft Research Center中心的數(shù)據(jù)顯示，2022年世界范圍的數(shù)據(jù)泄露事件比2021年增長了14%，其中熱門的醫(yī)療機(jī)構(gòu)、金融服務(wù)公司、制造企業(yè)和公用事業(yè)企業(yè)成為黑客的首要攻擊目標(biāo)。

除黑客入侵外，內(nèi)部或外部人員數(shù)據(jù)竊取也成為數(shù)據(jù)泄露的重要原因。2022年12月，Meta旗下通訊軟件WhatsApp數(shù)據(jù)泄露，導(dǎo)致近5億用戶的信息數(shù)據(jù)在知名黑客論壇上出售。

自2020年12月至今共有980余起車企數(shù)據(jù)泄露事件發(fā)生，數(shù)據(jù)的來源渠道有車企、車管所、經(jīng)銷商以及第三方平臺(tái)等，車主數(shù)據(jù)被掛在暗網(wǎng)出售，嚴(yán)重侵犯了車主隱私。

曾經(jīng)“3·15”晚會(huì)上還曝光過智聯(lián)招聘、獵聘網(wǎng)、前程無憂等多個(gè)招聘平臺(tái)存在個(gè)人簡歷信息泄露的問題，用企業(yè)賬號(hào)支付費(fèi)用即可隨意下載。

相關(guān)法律法規(guī)出臺(tái)，保用戶信息安全

雖然國家從2021年以來就在加大力度解決問題，加強(qiáng)個(gè)人信息保護(hù)，但冰凍三尺非一日之寒，整治市場亂象任重而道遠(yuǎn)。對(duì)此，近期國家又出臺(tái)了相關(guān)法律法規(guī)。

去年12月底，工信部官網(wǎng)發(fā)布了《工業(yè)和信息化部關(guān)于進(jìn)一步提升移動(dòng)互聯(lián)網(wǎng)應(yīng)用服務(wù)能力的通知（征求意見稿）》，對(duì)于安裝卸載行為、優(yōu)化服務(wù)體驗(yàn)、加強(qiáng)個(gè)人信息安全保護(hù)以及響應(yīng)用戶訴求等方面作出了相關(guān)規(guī)定。

提出，APP應(yīng)確保知情同意安裝。提供明顯的“取消”選項(xiàng)，不得通過“偷梁換柱”“強(qiáng)制捆綁”“靜默下載”等方式欺騙誤導(dǎo)用戶下載安裝。不得自動(dòng)或強(qiáng)制下載APP，或以折疊顯示、主動(dòng)彈窗、頻繁提示等方式強(qiáng)迫用戶下載、打開APP影響用戶正常瀏覽信息。不得要求用戶不下載APP不能看全文，不得惡意阻撓用戶卸載。開通會(huì)員、收費(fèi)等附加條件應(yīng)顯著提示等。

近期，在工信部的指導(dǎo)下，中國信息通信研究院聯(lián)合相關(guān)信息科技公司起草了《APP用戶權(quán)益保護(hù)測評(píng)規(guī)范》，為整治APP廣告“亂跳轉(zhuǎn)”的問題提供了行業(yè)標(biāo)準(zhǔn)，提出多方面參考指標(biāo)要求，治理規(guī)范“亂跳轉(zhuǎn)”行為。包括要強(qiáng)化明示告知義務(wù)；細(xì)化參數(shù)設(shè)置參值，避免出現(xiàn)誤觸發(fā)而跳轉(zhuǎn)的情況；明確未經(jīng)用戶主動(dòng)選擇同意，不得強(qiáng)迫下載、安裝、打開App，不得使用欺騙誤導(dǎo)用戶的圖片、文字和鏈接進(jìn)行頁面跳轉(zhuǎn)或使用第三方App等。

數(shù)據(jù)安全合規(guī)解決方案

侵害用戶權(quán)益的問題有了進(jìn)一步的界定，接下來就要靠互聯(lián)網(wǎng)企業(yè)的自律了，只有企業(yè)真正履行其對(duì)用戶負(fù)責(zé)的義務(wù)，才能從根本上真正保障用戶的權(quán)益。從數(shù)據(jù)安全體系的框架設(shè)計(jì)，到數(shù)據(jù)的使用場景，再到數(shù)據(jù)安全的合規(guī)性等方面，企業(yè)都要面面俱到。

本期，公司寶信息安全專家就針對(duì)“數(shù)據(jù)安全的合規(guī)性”給出了如下解決方案：

等級(jí)保護(hù)測評(píng)：等級(jí)保護(hù)測評(píng)即對(duì)信息和信息載體按照重要性等級(jí)分級(jí)別進(jìn)行保護(hù)的一種測評(píng)工作。作用為：1、幫助企業(yè)的"網(wǎng)絡(luò)系統(tǒng)"符合國家法律與行業(yè)規(guī)定；2、幫助企業(yè)提高"網(wǎng)絡(luò)系統(tǒng)"從制度層面到技術(shù)層面的安全性；3、幫助企業(yè)符合第三方（數(shù)據(jù)接入方、融資機(jī)構(gòu)、招標(biāo)方）對(duì)企業(yè)的系統(tǒng)要求。公司寶專家會(huì)根據(jù)具體情況協(xié)助進(jìn)行咨詢服務(wù)、網(wǎng)絡(luò)定級(jí)、網(wǎng)絡(luò)備案、建設(shè)整改意見、等保測評(píng)。

ISO27001：ISO27001信息安全管理體系ISO27001信息安全管理體系，以嚴(yán)格的審查標(biāo)準(zhǔn)和權(quán)威的認(rèn)證體系成為全球應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn)，主要是針對(duì)信息安全中的系統(tǒng)漏洞、黑客入侵、病毒感染等內(nèi)容進(jìn)行保護(hù)。ISO27001標(biāo)準(zhǔn)是國際上具有代表性的信息安全管理體系標(biāo)準(zhǔn)。

CCRC：CCRC是信息安全服務(wù)機(jī)構(gòu)提供安全服務(wù)的一種資格，包括法律地位、資源狀況、管理水平、技術(shù)能力等方面的要求。信息安全服務(wù)資質(zhì)認(rèn)證是依據(jù)國家法律法規(guī)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)和技術(shù)規(guī)范，按照認(rèn)證基本規(guī)范及認(rèn)證規(guī)則，對(duì)提供信息安全服務(wù)機(jī)構(gòu)的信息安全服務(wù)資質(zhì)進(jìn)行評(píng)價(jià)。 通過對(duì)信息安全服務(wù)分類分級(jí)的資質(zhì)認(rèn)證，可以對(duì)信息安全服務(wù)提供商的基本資格、管理能力、技術(shù)能力和服務(wù)過程能力等方面進(jìn)行權(quán)威、客觀、公正的評(píng)價(jià)，證明其服務(wù)能力，滿足社會(huì)對(duì)服務(wù)的選擇需求。同時(shí)，認(rèn)證過程也將有效促進(jìn)服務(wù)提供方完善自身管理體系，提高服務(wù)質(zhì)量和水平，引導(dǎo)行業(yè)健康規(guī)范發(fā)展。

DCMM：DCMM數(shù)據(jù)管理能力成熟度評(píng)估模型，GB/T36073-2018國家標(biāo)準(zhǔn)，是我國首個(gè)數(shù)據(jù)管理領(lǐng)域正式發(fā)布的國家標(biāo)準(zhǔn)。旨在幫助企業(yè)利用先進(jìn)的數(shù)據(jù)管理理念和方法，建立和評(píng)價(jià)自身數(shù)據(jù)管理能力，持續(xù)完善數(shù)據(jù)管理組織、程序和制度，充分發(fā)揮數(shù)據(jù)在促進(jìn)企業(yè)向信息化、數(shù)字化、智能化發(fā)展方面的價(jià)值。

ITSS：ITSS信息技術(shù)服務(wù)標(biāo)準(zhǔn)資質(zhì)，是IT企業(yè)實(shí)施標(biāo)準(zhǔn)化和可信賴服務(wù)的基礎(chǔ)標(biāo)準(zhǔn)，對(duì)于從事運(yùn)維業(yè)務(wù)對(duì)于傳統(tǒng)IT系統(tǒng)集成企業(yè)、傳統(tǒng)IT軟件企業(yè)、IT運(yùn)維企業(yè)等都是非常有益的。申請ITSS能夠在以下方面獲得明顯的收益：促進(jìn)運(yùn)維業(yè)務(wù)的變革、 提升運(yùn)維業(yè)務(wù)收入、提高企業(yè)知名度、提高運(yùn)維服務(wù)效率、降低運(yùn)維服務(wù)成本、促進(jìn)企業(yè)創(chuàng)新。

除此之外，在數(shù)據(jù)安全方面，公司寶還提供ISO27000、27701、CS等產(chǎn)品服務(wù)，來公司寶平臺(tái)，公司寶首席企業(yè)服務(wù)官將為您量身訂制企業(yè)信息安全解決方案。

本文轉(zhuǎn)自公司寶公眾號(hào)，了解更多企服項(xiàng)目資訊內(nèi)容，大家可以關(guān)注公司寶(www.gongsibao.com)。