3月4日，十二屆全國人大五次會議大會發(fā)言人傅瑩在發(fā)布會上介紹，今年將開展網絡安全執(zhí)法檢查，關注重點之一就是加強個人信息保護。

（傅瑩）

她提到，“今年準備對網絡安全開展執(zhí)法檢查，關注重點之一就是現在社會上特別關心的問題，就是非法向他人提供個人信息和網絡詐騙?！?/p>

從國家立法和執(zhí)法的層面上，將個人隱私信息保護提高到了前所未有的高度，那么企業(yè)應當如何積極響應，切實履行保護職責呢？

1、隱私的范圍和管控的重點

在討論隱私保護之前，我們必須知道所謂用戶隱私保護，它的范圍應當如何界定。最直觀的感受來說，個人隱私信息應當包括：姓名、身份證號碼、手機號碼、郵箱，這些最為常用的信息被黑市稱為四大件。從更廣義的范圍來說，個人隱私信息不止于此。

這樣的法律規(guī)定，給企業(yè)明確個人隱私保護的范圍提供了切實可行的參考。

在互聯(lián)網行業(yè)，信息泄露的事件頻頻發(fā)生，據不完全統(tǒng)計，我國2016年全年在黑市上泄露的個人信息達到65億條次，也就是說，在我國，平均每個人的個人信息被至少泄露了5次。

而這一次個人隱私保護在人大會議上被提出，并得到如此高度的重視，筆者認為有兩個原因：

前期的立法準備已經完成，從刑法第九修正案、網絡安全法，到準備提請審議的民法總則和電子商務法，都已經明確將個人信息的泄露、非法提供、出售定義為違法犯罪行為，并對涉及個人信息處理的企業(yè)提出了信息保護的要求；

隨著互聯(lián)網產業(yè)的迅猛發(fā)展，企業(yè)對數據的渴望愈發(fā)激烈，這樣刺激了數據交易市場的野蠻生長，正規(guī)、非法的企業(yè)魚龍混雜，而由此催生出的數據竊取、電信詐騙、非法數據交易給社會、公民帶來的損失已經觸目驚心，到了不得不大力打擊的階段。

2、互聯(lián)網行業(yè)應當如何保護用戶的個人隱私信息

對于大多數的互聯(lián)網公司來說，我們本身的業(yè)務并不會直接的侵犯用戶的隱私，但是除了對電信詐騙、數據非法交易的直接打擊，網絡安全執(zhí)法檢查的重點同樣必然會關注到企業(yè)如何切實履行好個人隱私保護的義務。

接下來，筆者將從幾個不同的方面，談談互聯(lián)網企業(yè)履行用戶個人隱私保護義務需要關注的一些事情。

1）明確用戶隱私信息范圍，完善管理要求

企業(yè)實施用戶隱私信息保護的前提條件，是明確定義出哪些信息應當作為用戶個人隱私信息進行保護。對于很多互聯(lián)網公司而言，用戶信息收集的視角非常之多，除了四大件之外，還可能涉及銀行卡、支付寶、微信支付等網絡支付信息，手機型號、電腦型號、瀏覽器類型等終端設備信息，甚至上網時間分布、關注信息偏好等用戶個人喜好、習慣信息。

關注用戶隱私信息保護，需要從風險的角度，識別風險場景和信息的相關性，從而明確隱私保護的重點范圍，將有限的資源分配到高風險的用戶信息字段，一般而言，我們會將姓名、手機號、郵箱地址、賬號密碼、聯(lián)系地址、銀行卡信息（或其他支付渠道信息）作為重點保護的對象，這些都是非法數據交易市場中交易最為活躍的信息。

在明確保護對象的基礎上，企業(yè)應當建立健全用戶隱私信息保護的管理制度和要求，使得企業(yè)在用戶敏感信息保護方面做到有法可依。梳理用戶隱私信息保護的管理制度和要求，可以從多個視角來考慮：

一是從數據的生命周期角度來考慮，對數據的產生、存儲、流轉、使用、廢棄等不同階段涉及介質、系統(tǒng)、終端、人員進行識別，明確不同階段的使用要求。

另一種視角，則是從用戶隱私信息涉及到的所有者、管理者、使用者的角度，分別提出不同的要求，基本要求應當包括：

用戶個人隱私數據的可接受使用，即哪些人通過哪些系統(tǒng)可以訪問哪些數據（應當有數據所有者來定義）；

用戶個人隱私數據的使用流程，即對于批量數據查詢、非授權人員對用戶隱私數據使用的場景應當如何通過流程進行授權管理，保證披露范圍合法、可控，披露過程可追溯（使用者應當遵守的流程）；

用戶個人隱私數據的管理流程，即從信息系統(tǒng)管理者的角度如何保證用戶個人隱私數據不被非授權訪問、隱私信息介質被妥善保護、數據訪問過程可追溯、廢棄數據妥善被銷毀等（管理者應當執(zhí)行的流程）；

違反個人隱私數據保護管理要求的情況下，應當受到何種處罰或懲戒。

通過建立完整的用戶隱私數據保護管理的制度、要求，可以形成全局性的對個人隱私保護的共識，明確不同角色、崗位人員應當承擔的責任和履行的義務，最終從管理機制上形成“有法可依”的基礎性保護。

2）明確用戶信息收集的范圍和用途

除了內部應當建立起用戶隱私保護的管理機制外，與用戶就信息的收集、使用達成一致性的共識，也是互聯(lián)網企業(yè)必須關注的重點。

這一要求明確提出，互聯(lián)網企業(yè)在為用戶提供服務之前，必須明確告知用戶，在服務過程中會收集到哪些信息，以及這些信息將被用于哪些用途以及使用的范圍。只有在獲得用戶許可的前提下，才可以收集相關的信息。

盡管實際的操作過程當中，用戶可能并不會逐字逐句的閱讀用戶協(xié)議，但是從執(zhí)法機構的角度而言，這是企業(yè)對用戶隱私保護的基本承諾和企業(yè)踐行用戶隱私保護的基本依據。

同時，如果在檢查的過程中，發(fā)現了企業(yè)對某些用戶信息進行了收集卻未在用戶協(xié)議中提示，或是收集的信息超出了約定的使用范圍，執(zhí)法機構也會要求企業(yè)進行整改。

3、選擇合法的數據服務商渠道

在人大發(fā)言人傅瑩關于個人隱私保護的講話中，她提到了大數據發(fā)展的背景。而當前，在提供數據服務的市場中，實際上很難對很多的數據服務提供商的數據來源進行甄別，而其中一些所謂的大數據服務公司，其實就是打著大數據的幌子從事著個人隱私數據交易的非法業(yè)務。

對于很多的互聯(lián)網企業(yè)來說，選擇依法合規(guī)的數據服務供應商也是一個必然的選擇，非法的數據交易也必然會成為執(zhí)法檢查和打擊的重點。

我們必須甄別數據服務提供商的成色，在法律文書中明確的約定數據服務提供商對于其提供的數據所應當承擔的法律責任，同時，杜絕數據內容涉嫌違法的高風險交易，從而切實履行企業(yè)的個人隱私保護責任。

4、建立覆蓋全生命周期的用戶信息保護技術體系

細觀當前的個人隱私數據交易市場，實際上我們可以看到非常多的數據是一些黑客通過技術手段，非法竊取的數據。

對于互聯(lián)網企業(yè)而言，越來越龐雜的用戶互聯(lián)網服務入口，也為很多技術高超的黑客留下了很多的可能性。這給企業(yè)內部的信息安全工程師提出了一個很難的課題，如何建立完整的數據安全防護體系，將用戶隱私信息置于銅墻鐵壁之內，這將是個不小的挑戰(zhàn)。

盡管當前市場上數據保護的安全工具很多，但如何能夠使這些工具協(xié)同的發(fā)揮效力，是我們安全從業(yè)者必須考慮的問題。

從筆者的角度來說，數據泄露的風險來源可以分為兩個方面：外部黑客攻擊導致、內部的惡意人員的泄露

。這兩個不同類型的風險來源，需要我們采用不同的數據安全工具的組合，以建立不同的數據防護機制。

對外部黑客攻擊而言，一般性的安全工具組合可能會包括：應用防火墻（WAF）、入侵偵測系統(tǒng)（IPS）、數據泄露防護系統(tǒng)（DLP）、數據庫防火墻（DBF）、數據庫審計工具（DBA）、數據庫加密工具通過這些工具的組合，試圖對可能發(fā)生的黑客入侵行為進行預警、阻斷和追溯，從而盡最大可能避免大規(guī)模的數據泄露事件發(fā)生。

對內部惡意人員的泄露，一般性的安全工具組合可能包括終端安全管理工具（對數據傳輸接口進行限制）、終端數據泄露防護、網關數據泄露防護、虛擬桌面（數據不落地）、文檔加密工具、數據加密工具、數據脫敏工具、數據庫防火墻、數據庫審計工具等。通過這些工具的組合，可以實現對數據庫管理員、數據工程師、業(yè)務運營人員的高危數據操作風險的管理，包括數據導出、下載、外傳、批量查詢等。

上述的兩類風險的防護，需要基于用戶隱私數據的動靜態(tài)分布和流轉進行全面的分析，識別數據的暴露節(jié)點、暴露對象、暴露途徑，從而搭建起完整的防護機制，使各類工具能夠協(xié)同作用，形成合力，避免木桶理論中的短板出現。

5、建立用戶隱私數據保護的共識和文化

最后需要強調的一點是，如何在企業(yè)內部形成用戶隱私信息保護的文化。

如前文所述，盡管我們可以通過技術手段扎起一些籬笆，提高數據泄露的難度，但是要較為徹底的解決這個問題，需要通過培訓、監(jiān)督、獎懲機制形成企業(yè)員工對“用戶隱私保護是我的責任”這樣一種共識和文化。

從培訓的角度來說，除了一般性的數據隱私保護的培訓之外，企業(yè)應當特別針對數據安全敏感的崗位、人員進行有針對性的培訓。對于日常經?？梢苑奖愕慕佑|到用戶隱私信息的客服人員、運營人員、銷售人員，他們必須知道哪些用戶信息可以在什么樣的范圍內如何使用，哪些常見的行為是被禁止甚至是違法的，以及公司設置了怎樣的技術措施來監(jiān)控，從而起到震懾效果。

此外，進行大數據分析的數據工程師，以及后臺的數據庫管理員，也應當通過培訓，了解公司關于用戶隱私信息的保護要求和管理流程，從而保證在處理數據服務請求時，能夠做到依法、合規(guī)。

需要特別提出的一點是，建立用戶隱私信息保護的文化，不僅需要信息安全人員的奔走相告或是嚴厲的監(jiān)督、懲戒機制，更需要管理層的大力推動和全員的身體力行。

本文作者：馬寅龍（點融黑幫），點融網信息安全合規(guī)專家，2年IT審計和6年信息安全風險咨詢服務經驗，擅長信息科技戰(zhàn)略規(guī)劃、信息安全體系建設、IT風險管理與治理，崇尚以務實的方式踐行企業(yè)的信息安全風險管理。