暗中“偷脸”,雾里看花:是时候关注你的个人信息安全了!



2021年3月22日 | 产品安全

 

 

关注央视315曝光:

315晚会上,他们都被曝光了!

科勒卫浴、宝马、Maxmara商店安装人脸识别摄像头

招聘平台如智联、猎聘等,简历给钱就可随意下载

随着互联网深入人们的日常生活与工作,与之相关的个人隐私泄露、网络安全问题也已成为历届晚会的重点关注方向。普通消费者对于信息保护的意识比较薄弱,许多提供网络服务的平台也严重缺乏数据安全保障,衍生出诸多消费陷阱与安全风险。

 

摄像头暗藏玄机

如今,监控摄像头几乎无处不在,有些商家所安装的摄像头看似普通,却暗藏玄机。

消费者只要进入商户,在不知情的情况下,就会被摄像头抓取并自动生成编号,以后再去哪家店,去了几次,全部生成记录,行为轨迹一目了然。

这些装有人脸识别系统的商户,所到之处,人脸识别信息均被偷偷获取,没有一个商家明确告知,征得数据主体同意更是无从谈起。人脸信息属于个人独有的生物识别信息,一旦泄露,将严重威胁用户的财产安全、隐私安全等。

 

个人简历信息随意贩卖

在某招聘网站上,企业账户只要交钱办理会员,就可以不受数量限制下载包含姓名、电话及邮箱地址等关键信息的完整简历。甚至还有兜售企业账户,伪造资质申请也可以通过。通过这样的途径,大量的个人简历信息,源源不断地流入了不法分子的黑手。

 

某车企工厂内部的监控视频泄露

某车企工厂内部的监控视频泄露,造成场内生产状况曝光,原因是该工厂的安防系统遭到某国际黑客组织入侵,15万个摄像头视频片段和数据被窃取。

 

科技创新与隐私保护,鱼和熊掌必须兼得

从摄像头曝光隐私这件事出发,延伸到市面上在售的智能家电,不少设备会配有摄像头装置,如:智能门锁、安防摄像头、智能电视、扫地机器人等等。摄像头除了提供便捷服务的同时,是否侵犯了用户的隐私权益呢?

科技改变生活,我们正在感受科技革命带给我们的变化,使我们的生活变得更有趣和便捷,同时个人隐私保护措施也需同步跟上,对于一切涉及个人重大隐私,关乎财产生命安全的事情上,我们一定要谨慎考虑。

 

关注IoT产业现状和信息安全管理面临的挑战和解决方案

无论是智能住宅、网联汽车还是智能工厂,所有智能化技术的核心都是设备间的网络互联,而这正是大家耳熟能详的物联网(IoT)产业。

除去IoT设备本身网络安全设计、生产、测试过程中出现的漏洞外,由于这些企业的数据管理和隐私保护出现重大失职和违规行为,导致数以百万计的IoT设备出现漏洞,个人信息被非法收集,视频被盗用,个人简历数据流入地下网络黑市,成为犯罪分子唾手可得的“优质信息”。这些不得不给涉事和相关企业敲响了法律的警钟:隐私,不仅是消费者维权的底线,更是法律的红线。回顾我们国家及国际上的隐私保护法律基础

国际

2016-2020年国际一系列隐私安全和隐私保护相关法律法规:

2016年5月:欧盟GDPR《通用数据保护条例》

2018年 4月:德国联邦议院通过《个人信息保护调整和施行法》

2018年5月:英国正式通过新修订的DPA2018《数据保护法》

2018年6月:美国加州发布CCPA《加州消费者隐私保护法》

2019年5月:美国内华达州发布SB 220《内华达州数据隐私法》

 

国内

2019-2020年我国多个部委密集制定、颁布、出台了一系列隐私安全和隐私保护相关法律法规:

2019年4月:《互联网个人信息安全保护指南》

2019年6月:《个人信息出境安全评估办法(征求意见稿)》

2019年6月:《信息安全技术 个人信息安全规范》公开意见征求

2019年8月:《信息安全技术移动互联网应用(App)收集个人信息基本规范(草案)》

2019年8月:民法典人格权编草案提请三审,强化对隐私权及个人信息保护

2019年8月:国家网信办正式发布《儿童个人信息保护规定》

2019年12月:四部门联合印发《App违法违规收集使用个人信息行为认定方法》

2020年2月:中国人民银行发布金融行业标准《个人金融信息保护技术规范》

2020年3月:《信息安全技术 个人信息安全规范》正式发布

2020年7月:《数据安全法》(草案)公布

2020年10月:《个人信息保护法(草案)》提请十三届全国人大常委会第二十二次会议初次审议

 

我们不难发现,各国隐私保护形势和我国隐私数据安全相关法规密集出台后,标志着隐私安全的重要性和严峻性都已经到了需要全社会和政府“民举官究”的危机时刻。那么我们作为管理者应该如何应对这种困难和挑战呢?

德国莱茵TÜV 大中华区的工业服务与信息安全团队可以针对特定产品和客户,提供全方位的安全保障,为客户的产品或服务实现信息安全防护的高安全标准认证。

 

IoT设备的测试与认证

我们的技术检测团队,会根据IoT产品的特性,有针对性的进行渗透测试和安全检测 ,我们团队精通最新针对IT系统,网路和Web应用程序以及APP应用程序,终端产品和WLAN的攻击方案的设计和实际运用。

除了技术安全检测和渗透测试,我们也进行详细的安全分析(考虑包含OWASP前10中总结的高风险漏洞、应用程序的安全评估和原始程式码分析)。技术安全检测为IoT设备信息高安全防护标准认证提供重要的技术依据,同时,结合流程评估,对IoT设备实现隐私保护高安全标准进行认证。GDPR法案也明确的阐述了,在法律合规方面,企业对合规的遵循所采取的保障措施是GDPR合规自证过程中的关键环节,GDPR鼓励企业通过认证的形式对自身的管理方法和技术水平进行充分的认证,所有的认证资料,都可以作为企业在履行GDPR合规过程中的自证材料。所以设备或服务认证不仅仅是企业提高自身隐私保户水平最快捷的方法,还为准备法律层面上的自证材料做好了充分的准备。

 

IoT服务的测试与认证

在设备认证服务的的基础上,TÜV莱茵针对企业的流程管理进行分析,结合技术测试过程,把先进的信息安全管理体系标准(如ISO27001,NIST SP-800 53)等贯彻落实在信息安全管理的各方面,例如数据影响分析PIA流程、开发流程、运维流程、产品设计流程、数据保护流程、法律合规流程、人资流程等多方面进行合规评估。信息安全管理体系评估为企业整体的法律合规提供充分的保障,为IoT服务达到高安全标准进行认证。

 

车联网个人数据安全与隐私保护

德国莱茵TÜV凭借汽车行业的多年经验和积累,可根据联网汽车的必要规范、规划、定义和实施符合UNECE要求的隐私保护流程和程序提供技术支持。在传统车辆向联网车辆发展的过程中,可提供车辆在使用过程中如出行管理,车辆管理,道路安全,娱乐,驾驶员辅助功能,eCall功能的隐私保护服务,在隐私保护领域,为联网车辆生产的各相关方提供全面的隐私保护合规解决方案。为联网车辆所涉及的的隐私安全做出充分的保障。

 

联系方式

Jasmine Yan

德国莱茵TÜV大中华区 工业服务与信息安全 销售经理

Mobile: +86 137 1427 8486

Jasmine.yan@tuv.com

Joan Yang

德国莱茵TÜV大中华区 工业服务与信息安全 副总经理

Vice Genera Manager | Industrial Service Greater China

Mobile: +86 136 6186 1123

Joan.yang@tuv.com