数据二十条关注个人信息保护，奇安盘古带你深究隐私合规治理

近日，中共中央、国务院对外发布了《关于构建数据基础制度更好发挥数据要素作用的意见》，又称“数据二十条”。

内容中重点提到个人信息保护等内容，并在多处谈及数据的合规应用问题。如：（六）建立健全个人信息数据确权授权机制。对承载个人信息的数据，推动数据处理者按照个人授权范围依法依规采集、持有、托管和使用数据，规范对个人信息的处理活动，不得采取“一揽子授权”、强制同意等方式过度收集个人信息，促进个人信息合理利用。

此外，近些年陆续颁布执行了诸如：《中华人民共和国反电信网络诈骗法》、《中华人民共和国个人信息保护法》、《中华人民共和国数据安全法》以及一系列的信息安全相关规定，这些法规条例中也都频繁强调对个人隐私的保护，国家持续加大个人信息保护的力度，可见一斑。

面对个人信息保护、隐私合规治理，需要怎么做、要避哪些坑、解决手段有哪些？本文将从隐私案例及问题源头入手，带你深究。

盘点隐私之“罪”，

衣、食、住、行全是坑~

案例.1

“双11购物狂欢节”，促销活动享不停：关注店铺再下单、扫码入会领优惠、新人注册有好礼。

案例.2

房子没租到，“轰炸”邀请一大堆，信息泄漏太可怕

案例.3

科技应用促发展，“合规”开展是关键

一、细揪罪恶之源，

产业利益价值是关键

数字经济时代，以用户身份数据、消费行为数据、个人金融数据等为代表的各类个人隐私信息的价值被逐步放大，伴之而来的各类数据滥用、恶意消费、违规采集等违法行为频频发生。以网络诈骗等涉网犯罪为代表，围绕对个人隐私信息采集、加工、交易行为愈演愈烈。

在这样的形势下，我国在个人隐私保护方面存在以下几点挑战。

首先是自我保护意识不足。

“中国人更加开放，对隐私问题没有那么敏感，很多情况下，他们愿意用隐私交换便利性……那我们就可以用数据做一些事情”类似观点表明互联网发展到今天，大量产品及信息暴露在普通群众面前，对于真实内容的甄别投入及为快速获得应用而盲目暴露个人信息等各类因保护意识不足而造成的隐私事故频发。

其次是存在明显的个人数据价值诱导。

用户需求即是消费市场所在，掌握用户信息就能把握市场走向。不论是产品或是服务，从需求调研、产品设计、研发上线、推广运营等个阶段都离不开用户的参与。围绕用户基础信息、行为习惯等隐私内容的采集分析工作，对上述内容的实际帮助价值可见一斑。

第三是黑灰产业链结构驱动

北京市政协委员、奇安信集团董事长齐向东表示：“个人隐私泄漏催生了隐私贩卖黑市，成为网络诈骗成功实施的重要推手”。以电信网络诈骗犯罪为例，其实施过程离不开黑灰产组织团伙的物料供给过程。如：用户信息交易、诈骗工具供给、资产转移等。

黑灰产业链分工明确且衔接紧凑，如：从信息采集到数据加工再到贩卖，整个链条可实现精准对接。因此有组织、有目的性的个人数据窃取、清洗、交易暗流涌动。

最后是有效治理手段缺失。

近期某车企用户数据泄漏事件引发网友关注。其实，“数据二十条”中提到的“宽进严管”指明了该类事件的规避原则，信息采集范围过宽、数据存储使用管理不当造成各类恶意攻击不断发生，依托哪些技术手段开展有效治理，直面数据安全、隐私保护等合规要求和业务制约，成为CSO必须要解决的问题。

对于政府监管侧来讲，隐私数据关乎国家安全以及社会稳定。目前应用分发结构复杂，包含了应用商店、第三方平台、网站链接等各类分发方式，而监管能力的全面覆盖成为制约监管部门的首道难题。

二、有效应对之技，

“防、治、打”是重点

奇安盘古认为，应对上述挑战，需要“防、治、打”三方面相结合。

“防”需要建立隐私保护手段，提高全社会信息保护意识。

各级监管部门及社会组织，需常态化承担隐私安全宣传的义务，通过多种渠道向用户传达隐私保护的重要性及具体方法。在使用各类产品及服务时，应选择合法正规平台进行，且在各类信息注册、提交、交易时保持警惕。

各类应用的生产经营组织，应强化业务合规、技术合规、产品合规、数据应用合规等意识。如，在软件开发过程中，应全面实行隐私安全检测策略，降低风险发生以及对于成型产品的整改难度。此外，随着国内开源项目爆发式增长，在使用开源代码/软件下产生的各类隐私安全风险问题不容忽视；与之相应，在使用第三方SDK、API开放平台时，都应同隐私安全保护问题一并考虑。

“治”需要打造全局响应机制，全面落实治理工作开展。

在积极防范的前提下有效的隐私合规治理是关键举措。

对于监管单位应强化主体监管职责，主动、全面地对辖区内隐私等安全风险做好动态监测。如：积极开展不良APP监测、网络黑灰产监测、涉及隐私产业链监测等工作。及时发现风险，并做好预警发现、治理通报、复核评估、持续监测等作业规范。

对于各类应用的生产经营组织，除依照相关法规条例及要求积极开展隐私安全合规检测外，在被相关部门通报后，也应快速进行问题分析和整改。开展全面的企业内部相关自查，规避其他潜在的隐私安全风险。

“打”需要提升数字取证能力，严查严打个人信息黑灰产。

以隐私安全为导线的新型网络犯罪频发。在治理过程中，强化取证、打击工作是重点。以个人数据黑灰产问题为代表的新型网络犯罪具有科技性强、隐蔽性高、跨地域性、审查难度大等特点。在该类案件的处理过程中，应强化数字取证能力的提升，从证据数据入手，进行活动轨迹发掘，以点带面，依法开展犯罪团伙打击。

三、奇安盘古解决之“道”

奇安盘古在隐私安全治理、电子数据取证、反诈治理、移动安全研究、漏洞攻防等方面中均有重点投入研究。其中，隐私安全治理团队已为众多监管单位、研究机构、企业在个人信息保护及App综合治理方面提供了产品及服务支撑。

在隐私安全治理开展中，奇安盘古发布的“隐私卫士”产品，可实现对各类平台下的APP隐私合规问题进行自动化全量检测分析。通过对相关业务应用进行全方位的隐私安全合规检测，提前发现合规隐患，避免由此带来的数据泄漏、资产损失、监管处罚等风险。在2022数字安全与法治高峰论坛中，奇安信盘古隐私卫士软件荣获中国网络空间安全协会（CSAC）颁发的2022年“数据安全典型实践案例”。

此外，对于小程序、H5、IoT、OTT等系统或平台的隐私合规检/监测也已全面覆盖。同时，奇安盘古推出相关专家服务，可围绕报告解读、法规解读、应急响应、企业生态治理方案规划、员工培训等为企业单位和监管机构提供全面的隐私安全合规治理保障。