正文共:1898字
预计阅读时间:5分钟
日前,滴滴被罚款80.26亿上了热搜
我们又该从这里面汲取什么教训呢?
滴滴事件的教训
2022年7月21日,国家互联网信息办公室对滴滴全球股份有限公司(以下简称“滴滴公司”)依法作出网络安全审查相关行政处罚的决定。从2021年7月2日网络安全审查办公室宣布将对滴滴公司启动网络安全审查以来,滴滴公司先后经历了暂停新用户注册,下架滴滴出行App,下架微信、支付宝小程序,下架滴滴出行企业版等25款App,七部门进驻滴滴开展网络安全审查,滴滴纽交所摘牌退市等事件。持续一年多的网络安全审查,给滴滴公司带来的不仅仅是重大的经济损失,由此造成的市场、市值、商誉、和用户信任损失更是巨大,教训极其惨重。
网络时代为企业业务发展提供了极大的便利,用户的可达性高、业务规模的边际成本低,从而造就了互联网超大用户规模的平台企业的崛起。然后作为硬币的另一面,超大互联网平台数据安全和个人信息泄露事件也具有波及面广、传播性强和危害性大的特点,不但涉及广大个人权益、还会影响社会公共秩序,甚至危及国家安全,这同样是以往企业所同样不及的。
因此,数据处理企业特别是大型互联网平台企业,需要从此次事件中吸取教训,重视数据安全和个人信息保护工作,筑牢数据安全合规防线,防患于未然。更重要的是,建立用户和监管机构对企业数据安全和个人信息保护工作的信心和信任。
企业如何开展数据安全合规建设
数据安全合规应上升到企业战略高度
数字经济时代背景下,数据作为关键生产要素,成为企业改善经营和提升竞争力的主要驱动力量,数据安全合规是企业生存和发展的基础,企业需要高度重视数据安全风险,制定合理的数据安全合规目标,将数据安全合规纳入企业整体战略之中。企业需要自上而下建立数据安全合规共识,保障数据安全建设的资源投入。数据安全合规工作虽然不能完全避免数据安全风险的发生,但是可以降低风险的发生可能性;一旦发生数据安全事件,通过数据安全合规体系可减少安全事件的损失,也可减轻或免除法律责任。
建立实质性数据安全合规体系
企业应真正对照法律法规监管要求,建立企业内的数据安全合规体系。数据安全合规需要系统化的解决方案,应该从数据安全治理着手,建立数据安全合规体系。在数据安全合规战略指导下,以数据分类分级和安全风险评估为起点,建立数据安全技术防护体系、数据安全合规管理体系、数据安全运营体系,覆盖数据安全合规组织架构、数据安全合规管理制度、数据安全管理和审计工作、数据安全技术防护措施等方面。
建立面向监管和公众的数据安全合规信任机制
数据安全合规离不开企业、政府和社会公众的协同治理,企业应该压实数据安全合规主体责任,建立更加开放透明的数据安全合规架构。然而当前,由于企业合规透明化程度不足、缺少暴露给监管、公众足够的合规信息,无论是对监管侧,还是对用户侧,均认为企业处理个人信息透明性不足,导致信任的普遍缺失。
卫士通多方信任数据安全合规服务方案
“如何建立面向监管和公众的数据安全合规信任机制?”卫士通总结在互联网数据安全合规服务实践经验,提出了数据安全合规多方治理架构。在多方治理的总体架构模式下,可信第三方与企业一起共同搭建联合合规管理体系,提供“工具、产品、SaaS平台服务、人工服务” 的全套合规体系构建能力,以服务化交付模式,助力企业快速构建完整的隐私合规体系,实现企业合规管理的在线化、自动化,提高企业管理的效率,提升企业合规管理的透明性和可审计性。
通报中,滴滴公司存在的八方面问题,覆盖了个人信息和个人敏感的违法和过度收集、未告知并获得用户同意处理个人信息、未准确说明个人信息处理目的、敏感个人信息的明文存储、APP过度索要权限等方面。在基于可信第三方的互联网数据合规服务方案中,这些问题得到了回应。
可信第三方侧的联合数据保护服务,以密钥托管和使用SaaS化策略管理服务的形式,实现对数据的加密、去标识化等安全保护,通过密钥托管实现企业开展数据加密保护的第三方证明。可信第三方侧的合规管理服务提供,提供同意管理和个人权利响应管理两项重要能力,同时为企业保存相关可信存证,提升企业合规管理的透明性和可审计性。可信第三方侧的SaaS化APP合规检测服务,提供基于监管机构检测标准的APP合规检测服务,增强了个人信息采集的合规管理。
作为以密码为核心的数据智能安全服务商和数据安全国家战略科技力量,卫士通将携可信第三方的互联网数据合规服务方案,帮助企业搭建起面向监管和公众的数据安全合规多方信任的桥梁。
感谢您抽出
.
.
来阅读本文
来源 | 卫士通
编审 | 赵明 编辑 | 李财(实习) 校对 | 熊盖尧
觉得不错,就点赞分享在看三连鼓励小安一下吧~
