【CTBF2013精彩回顾】新一代企业安全的挑战与应对

标签:数据安全数据云计算隐私权奇虎360隐私谭晓生

访客:25099  发表于:2013-12-13 15:16:58

导语:宁可看两个魔鬼跳双人舞,也不要看一个天使跳单人舞。这是谭晓生对是否使用云计算服务的一个态度。显然,他认同云计算带来的光明前景,但也对数据的隐私和安全心存隐忧。好在他提出了很多可行的解决方法,不至于让用户因噎废食。

【CTBF2013精彩回顾】新一代企业安全的挑战与应对

                                         360公司副总裁 谭晓生

对于大数据而言,数据的安全和隐私是大家最关心的问题。

谁来担保安全?

最近信息泄密不断发生,用户很担心如果使用公有云的服务器,这个数据会不会被窃取?会不会被恶意使用?云服务商一旦亏欠倒闭,谁为用户数据负责?数据转移有没有困难?数据会不会被不法分子用于数据分析窃取核心机密?

对于这些问题,有几个观点可以解答。

一、宁可看两个魔鬼跳双人舞,也不要看一个天使跳单人舞;

二、用户与服务商共同制定云服务的规范;

三、呼吁第三方的监督审计产品出台,以及推动产业的法规出台。今年开始,有基于云服务的位置威胁的法律出台,但云的安全防御目前还是处于初级阶段,但今年有技术厂商提议,由大数据的方法对抗这个领域。

四、对于云服务商的服务延续性的问题,可以与服务商在之前就落实到协议里。其实对保险行业而言,这其中有不小的商机。

谁为隐私加把锁?

中国目前有近40部法律都涉及到个人信息泄露问题,但是法律条文就一两句话,难以真正地保护用户隐私,执法方面的操作余地很大。

刑法修整案(七)确定出售非法提供公民个人信息罪,以及非法获取公民个人信息罪,首次将公民个人信息纳入刑法保护范围,就是要追究泄密、泄露和出售隐私信息的责任。

2012年年底全国人大常委会出台了《关于加强网络信息保护的决定》,这是今年开始生效的一个指导性国家标准。

GB/Z是一个指导性的文件,第一个是界定了个人信息是什么,个人信息是可为信息系统所处理,与特定自然人相关,能够单独或者通过与其他信息结合识别该特定自然人的计算机数据。我认为指导性的国家标准是一个非常好的标准,只是目前它的指导性不够强。但是,云服务厂商、互联网服务厂商应该去看一看,有参考和执行价值。

指导性文件要求企业收集信息,使用信息,必须遵循八个原则。第一个前提是这些信息要和企业业务相关。第二是最少够用原则;第三、公开告知原则,要收集公开用户的信息,用户要明确的知道;第四、个人同意原则,企业告诉用户了,用户必须明显的告诉企业“我同意”,企业才可以收集信息;第五、质量保证原则,就是你收集的信息很多有错误,用户是否可以修改,如果把用户的信息收集错了,用户投诉无门;第六、安全保障原则,就是你收了这些信息,你就得保证这些信息的安全。其实在中国的大的互联网网站也是屡屡出现脱库的事件,出现这种事情其实就没有履行好它的数据保护。这种情况其实就应该承担相应的责任。第七、诚信履行原则,就是你收集的时候必须履行承诺。而不是收集的时候说自己用,事后又售卖掉;第八、责任明确原则,在整个的信息处理过程中间的责任要采取相关的措施。

    隐私权如何界定?

    2013年工信部又在做电信和互联网用户个人信息保护的规定,可以看出各个主管部门对用户隐私信息保护非常重视。

那究竟什么是隐私?是不是涉及到用户的姓名、身份证号、生日、收入、房子、车子等等这些都是属于隐私信息呢?我认为隐私权一是种权利,假如一个人不希望别人知道他是谁,那么企业要能做到。如果无法做到这一点,那么企业就侵犯了隐私权。

现在的网络社会对过去的隐私权有了更大的拓展,还包括商务信息、政治信息、健康信息,财经信息等,这些信息企业要进行保护,是为了让用户受到一个公平的待遇。例如国家有政策不能歧视乙肝患者,但如果企业在面试之前就能查到这个人有乙肝,可能就直接筛选掉了,那么这个人就受到不公平的对待。

 各行隐私大不同

为什么《隐私权法》在中国真正出台实施会遇到不少的困难?是不是有一部《隐私权法》,中国的隐私保护问题就解决了?

答案显然不是。因为不同的业务领域,用户的隐私不一样。最好的解决办法是有一个隐私保护的原则,然后在不同的领域里有不同的隐私保护的规定。如电信业,对电信业务来说,主叫号码、被叫号码、家庭地址、呼叫记录这都属于隐私。对于医疗信息来说,医患人员的检查结果、身体健康状况属于隐私。应该有一个通行的隐私保护框架,再有各个具体不同的业务中会有针对隐私权的一些规定。

奇虎360给的建议是:第一、要制定法规或者国家标准,要界定各个业务领域的隐私信息。第二、将隐私权条款作为互联网服务的必备法律,隐私权条款必须要有。第三、对各种互联网服务的隐私权条款合理性进行监督审查,对各互联网服务的隐私权条款执行情况进行监督审查等。

 奇虎360一直站在隐私方面站在风口浪尖上, 201110月份发布了用户隐私保护的白皮书;2012315号,任命我为中国互联网第一个首席隐私官,用技术手段在公司中做隐私方面的管理。过去一直在研究怎么检测漏洞、怎么监督内部的各个应用程序、如何提取用户隐私等多个方面。

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");