事件1—美團(tuán)賬號(hào)解綁換號(hào)的安全漏洞問題

10月10日，王思聰發(fā)微博稱，自己的大眾點(diǎn)評(píng)賬號(hào)在不知情的情況下，“被別人改綁手機(jī)號(hào)”。在美團(tuán)App上，通過用戶的手機(jī)號(hào)和身份證號(hào)，可以換綁手機(jī)號(hào)。事情發(fā)生后，美團(tuán)對(duì)此迅速做出了調(diào)整，對(duì)于修改手機(jī)號(hào)碼這一行為，增設(shè)了限制條件，“只支持最近6個(gè)月修改過賬號(hào)綁定手機(jī)號(hào)的用戶”。個(gè)人信息泄露會(huì)有什么影響？公眾人物和明星，作為特殊群體，生活在聚光燈下，被無數(shù)粉絲追捧，從公眾的關(guān)注中得到了利益，卻也因此承受了相應(yīng)的負(fù)擔(dān)和壓力。當(dāng)不理智的粉絲們，想要窺探他們的更多“秘密”時(shí)，一些別有用心的人會(huì)把這些信息收集起來，進(jìn)行出售，一條倒賣公眾人物隱私信息的黑色產(chǎn)業(yè)鏈，也就應(yīng)運(yùn)而生。

事件2—手機(jī)App頻繁讀取用戶手機(jī)相冊(cè)信息

App讀取用戶隱私情況屢禁不止，據(jù)工信部9月23日發(fā)布的公告顯示，有334款A(yù)pp未按時(shí)限要求完成整改。其中不少App都是違規(guī)收集個(gè)人信息、超范圍收集個(gè)人信息。據(jù)國(guó)家移動(dòng)互聯(lián)網(wǎng)應(yīng)用安全管理中心官網(wǎng)公布，10月8日又發(fā)現(xiàn)16款A(yù)pp隱私安全不合規(guī)，涉嫌超范圍采集個(gè)人隱私信息。這些App主要來自樂商店、魅族應(yīng)用商店、搜狗手機(jī)助手等應(yīng)用商店平臺(tái)，其中包括QQ音樂、MOO音樂、嗨走旅行、若途旅行等App。

事件3—運(yùn)營(yíng)商遭流量劫持，下游的互聯(lián)網(wǎng)產(chǎn)品數(shù)據(jù)丟失

在此前警方偵破的相關(guān)案件中，有人為了盜取用戶信息，會(huì)將自主編寫的惡意程序放在運(yùn)營(yíng)商內(nèi)部的服務(wù)器上，當(dāng)用戶的流量經(jīng)過運(yùn)營(yíng)商的服務(wù)器時(shí)，該程序就自動(dòng)工作，再通過惡意程序?qū)⑺袛?shù)據(jù)導(dǎo)出，存放在境內(nèi)外的多個(gè)服務(wù)器上。

而在案件偵辦中，警方發(fā)現(xiàn)運(yùn)營(yíng)商流量遭劫持，接連導(dǎo)致百度、騰訊等全國(guó)96家互聯(lián)網(wǎng)公司用戶數(shù)據(jù)被竊取。在被告人租用的服務(wù)器上，有多達(dá)30億條被竊取的網(wǎng)絡(luò)用戶信息，這些信息一旦泄露出去，社會(huì)危害性極大。

以上事例都是目前互聯(lián)網(wǎng)領(lǐng)域與用戶息息相關(guān)的不同層面的數(shù)據(jù)隱私亂象和問題，國(guó)內(nèi)信息安全還存在著較多的漏洞，隨著國(guó)內(nèi)各項(xiàng)法律的發(fā)布，互聯(lián)網(wǎng)平臺(tái)獲取和使用用戶信息時(shí)的權(quán)限和邊界感在法律的約束下也會(huì)逐漸清晰。

針對(duì)敏感個(gè)人信息的處理，GDPR 和中國(guó)《個(gè)人信息保護(hù)法》均采取了以禁止處理為原則，允許處理為例外的保護(hù)模式。GDPR 第九條規(guī)定，只有在數(shù)據(jù)主體明確同意、處理對(duì)于控制者履行責(zé)任以及行使其特定權(quán)利是必要的等情況下，才可以在采取合適與特定措施的前提下處理特殊類型個(gè)人數(shù)據(jù)。

GDPR 第二十二條第四款還對(duì)利用特殊類型數(shù)據(jù)進(jìn)行自動(dòng)化決策提出了要求，只有在數(shù)據(jù)主體明確同意或者處理對(duì)公共利益是必要的情況下，才能利用此類數(shù)據(jù)進(jìn)行對(duì)數(shù)據(jù)主體具有法律影響或類似嚴(yán)重影響的自動(dòng)化決策。中國(guó)《個(gè)人信息保護(hù)法》也要求處理敏感個(gè)人信息必須具有特定的目的和充分的必要性，采取嚴(yán)格的措施，同時(shí)取得個(gè)人的單獨(dú)同意。

敏感個(gè)人信息的處理規(guī)則

根據(jù)GDPR要求，核心活動(dòng)涉及處理或存儲(chǔ)大量的歐盟公民數(shù)據(jù)、處理或存儲(chǔ)特殊類別的個(gè)人數(shù)據(jù)（健康記錄、犯罪記錄）的組織必須指定數(shù)據(jù)保護(hù)官DPO。DPO主要負(fù)責(zé)就GDPR規(guī)定提供咨詢意見，向最高管理層報(bào)告。未來設(shè)立DPO職位也將會(huì)在國(guó)際化企業(yè)和政府部門內(nèi)成為趨勢(shì)。歐美國(guó)家早在2000年開始，已有至少數(shù)百家公司設(shè)有DPO的職位，如花旗集團(tuán)、美國(guó)運(yùn)通、惠普、微軟、臉書等。安永的一份調(diào)查數(shù)據(jù)顯示，歐盟GDPR根本性地改變了全球范圍內(nèi)隱私保護(hù)的管理模式。75%的歐盟公司以及50%的美國(guó)公司聲稱GDPR合規(guī)要求是驅(qū)動(dòng)其隱私工作的主要原因。在培訓(xùn)方面的投入、隱私崗位聘用人數(shù)都在近幾年大幅增長(zhǎng)。

EXIN Privacy & Data Protection個(gè)人認(rèn)證體系即是基于GDPR的專有認(rèn)證體系：認(rèn)證完全依據(jù)歐盟GDPR法規(guī)研發(fā)的認(rèn)證體系與法規(guī)實(shí)時(shí)同步更新認(rèn)證體系。

DPO不是一門單獨(dú)的考試，而是EXIN為已經(jīng)獲得相關(guān)認(rèn)證的專業(yè)從業(yè)者提供的一種集成認(rèn)證。即當(dāng)一位從業(yè)者考取以下三門認(rèn)證后（PDPF+PDPP+ISO27001)另外獲得一個(gè)證書。

考取DPO認(rèn)證后的收益

對(duì)于企業(yè)：

·? 充分了解最新的數(shù)據(jù)隱私保護(hù)法規(guī)GDPR

·??符合合規(guī)以帶來業(yè)務(wù)機(jī)會(huì)

·?充分適用于大型企業(yè)以及中小型企業(yè)

認(rèn)證適合行業(yè)及企業(yè)包括不限于凡是涉及到個(gè)人信息的企業(yè)及政府機(jī)構(gòu)、或在歐盟設(shè)有分支機(jī)構(gòu)及有跨境業(yè)務(wù)的企業(yè)及行業(yè)等，例如：航空、酒店、醫(yī)院、金融、房地產(chǎn)行業(yè)、電商、跨境企業(yè)、大數(shù)據(jù)公司、政府機(jī)構(gòu)（人社局、工商局、稅務(wù)局、教育局等）、零售行業(yè)、互聯(lián)網(wǎng)企業(yè)、外部咨詢公司等