按关键词阅读: 双十一 平台 品牌 张毅 商家 备货 店铺 私域 刘璐
360大数据安全协同技术国家工程实验室专家童磊则表示,近期大家非常关注数据安全合规的问题,因为,“大多数平台对自己平台产品和相关供应商产品很难做到有效的的管理和监督。这其实也是一个行业痛点问题,从目前的可行性方案来说,业内倾向于有技术积累优势的大平台去统一管理,凭借自身平台的研发能力,安全能力,能够对企业业务边界、数据安全的边界,做到更有效的管控。
比较通用的一个建议,是在管理制度职能上包括职责上需要更新相应的服务条款,比如通过DPA(Data Protection Assessment)或者其它的条款,去进行双方关于个人信息保护重新的职能划分,明确保护的义务,使用数据的场景,这样至少于一些有意识或者想进行更好服务的App厂商来说,能更有自驱力去做好数据安全和个人信息保护的工作。”
最后,要准备好在这个过程中,“不做投入可能就会面临处罚,以及时间会淘汰一批没有能力,或者意识上不想去做上述行动的从业者。”
安恒信息上海总部首席科学家周亚超则表示,从一些厂商自己都没意识到的角度来说:“出于好奇,有时候我个人会使用一些信息隐私追踪类小工具测试,看看当搜索引擎或者App内的搜索功能拿了我们的数据之后,会用在哪里?
打开这些工具时会发现,虽然用户只是在搜索引擎中或者App内的搜索功能中,输入一个简单信息,但是这个信息会给到平台当中几十甚至上百个关联方。这可能是App的安全问题,也可能是App没有做到合规。如果是安全问题,安恒安全需求分析与设计平台就是针对App具体功能业务进行安全需求与设计,在App成形前检测可能存在的安全风险点,在开发的同时提高App的安全保障能力。”
有些厂商可能都没注意到隐私政策条款这些细节或者可能对这些问题有模糊的认知,但措施还不到位。另外,从她本人的实践经验看:
“个人信息是很复杂的,大家暂时能够解决的结构化数据有一定规则,非结构性的那些数据,它的隐患可能外部目前没把它监测出来,具体的非结构性数据,需要具体的什么工具什么解决技术,这个需要长期探索。”
另外,从其它一些厂商自己都没注意到的角度来说,上述涉及到相关信息会给到平台当中几十甚至上百个关联方这种情形,用户如果遇到信息泄露很明显的情况,各种排查找不出原因,可以回过头仔细阅读它的隐私政策条款,这些隐私条款可能还有可待商榷的地方,但用户自己确实选择了同意。
4. 守门人3类分法,哪一类根据个信法处理对应需求,难度最大,任务最重?
个信法中提到“大型互联网平台判定条件有提供重要互联网平台服务,用户数量巨大,业务类型复杂”,关于“业务类型复杂”,根据金杜律师事务所的分法,以下3类模式可能被认定为“业务类型复杂”
- 超级App+小程序,第三方小程序可能存在大量个人信息收集,共享,处理活动。
- 内嵌多种业务的单一App,比如同时提供外卖,在线旅行,移动出行,社区团购,金融服务等等。
- 通过多种渠道提供在线服务。不同服务之间可能出现交互,构成体系性的复杂业务网络。
据360大数据安全协同技术国家工程实验室专家童磊的看法,按以上维度来分的话,“第三种跨实体的,并且跨品牌的最难,因为涉及到了边界管控和数据交换,因为相关方数量越多,场景就越复杂,数据安全风险就越大,整改成本也越大。”
网络尖刀创始人曲子龙则认为,看似不同的业务属性,实际上从合规角度来讲,“需要的都是从原始的一次性授权,转向分批次授权的转变,用到哪个业务时再申请哪个权限,用户没有使用就不需要对此授权,在自己的业务内这样重新定义权限的使用和获取其实并不难,以微信小程序为例,小程序的开发者本身就是需要向微信申请权限再使用的。
依托先申请授权再使用原则,其实能解决大部分隐私授权问题,而被广泛关注的‘大数据杀熟’、‘个人信息滥用’ 这些问题本身就是违法违规的作恶问题,不存在怎么整改这一说,本身就是必须立即停止不能做的事情。”
四、11月始,如何避免再次“踏雷”从法律层面,除了市面上众多律所根据《个人信息保护法》第五章个人信息处理者义务规定的九大义务:
- 制定内部管理制度和操作规程;
- 对个人信息实行分类管理;
- 采取相应的加密、去标识化等安全技术措施;
稿源:(人人都是产品经理)
【傻大方】网址:http://www.shadafang.com/c/110E461122021.html
标题:个人信息保护法实施,互联网平台「守门人」如何避免再次「踏雷」?( 三 )