写在GDPR两周年:“革命”尚未成功,隐私保护任重而道远 <质者见质>



2020年6月1日 | 产品安全

 

 

两年前,被称作“史上最严数据保护法”的GDPR(即《一般数据保护条例》)从2018 年5月25日开始正式生效并强制实施,其核心要求是“尊重并保护用户的个人隐私并保证用户数据安全”。

从那天起,只要是向欧盟境内的个人提供了商品或服务、并对个人数据进行处理的企业,不管主营的是IT、通讯、消费电子,还是零售、进出口贸易或汽车等,也不管是否在欧盟境内设有机构,全都绕不开GDPR的约束。如果企业被认定违规,最高处罚金额可能会达到2000万欧元(约1.5亿人民币)或上一财年企业全球年营业额的4%(较高者为准),同时还会影响欧盟买家对其产品的认可度,震慑力度之大令GDPR成为迄今为止全球要求最严格的一部通用数据强制的信息安全法案。

事实上,仅在实施后的半年内,欧盟各国的数据保护局(DPA)就收到近10万起用户投诉,以及数据处理者上报的4万多起数据泄漏事故。

如今,GDPR强制实施已有两年,但全球范围内时有出现的用户个人隐私泄露事件,让我们不得不承认,物联网时代的数据和隐私保护“任重而道远”。

 

物联网时代的数据保护“革命”尚未成功

近期,又有不少“用户隐私保护”的话题被推上了风口浪尖。

其中闹得最沸沸扬扬的,应该就是池子“手撕”中信银行了。

脱口秀演员池子发微博称,在处理跟老东家笑果文化的合约纠纷时,中信银行在未经本人授权或任何司法机关合法调查程序的情况下,就将他的个人流水账单明细提供给了笑果文化。

仅凭大客户优势,就可以从银行轻易拿到前员工的银行流水明细?细思极恐,这不单纯是涉事人员“未严格按规矩办事”,其背后暴露的是大家对于个人隐私安全的担忧。

处在风口浪尖上的还有特斯拉。

美国的一名黑客自称在eBay上发现了二手特斯拉媒体控制单元(MCU)中包含所有者的全部个人信息。尽管这些媒体控制单元此前已经在维修和翻新期间被工作人员亲手拆除了,但仍存储着可以从系统中恢复的用户大量敏感信息,包括和手机连接的电话本、通话记录、日历项目、家庭和工作地点的定位、导航去过的位置,以及在控制单元上运行过的第三方应用,比如Spotify、Netflix、Gmail、YouTube等的账户ID和密码,而且这些媒体控制单元在eBay上的价格并不贵。
5月15日,工业和信息化部信息通信管理局发布了2020年第一批侵害用户权益行为的APP通报。

通报中16款APP赫然在列,所涉问题大多是“私自收集个人信息”、“私自共享给第三方”、“超范围收集个人信息”、“过度索取权限”、“不给权限不让用”等,其中不乏大家常用的当当、知乎日报、e代驾、惠租车、好医生等。

 

隐私保护“任重而道远”,TÜV莱茵坚定前行

事实上,过去两年来,我们一直持续关注着数据保护和隐私保护方面的动态,从航空、通信、酒店、旅游,到家居、汽车、电子产品……多个行业都曾曝出过用户隐私泄露的丑闻。我们为此也一次次呼吁加强对隐私保护的重视,邀请企业信息安全与合规专家解读GDPR的要求。

除了“振臂高呼”支持隐私保护外,TÜV莱茵也从专业角度不断协助推动行业健康发展。自1999年起,TÜV莱茵在信息安全和隐私保护领域就建立了专门的专家团队来进行基础性研究。从GDPR法案颁布之初起,TÜV莱茵就开始了深入的研究,结合在信息安全领域逾20 年的经验,开发出国际领先的技术标准,为全球企业提供隐私保护评估服务和渗透性测试服务。

 

隐私保护评估服务

TÜV莱茵参考了《一般数据保护条例》及相关适用法律法规,针对不同产品和系统的特性,分别撰写了规范要求,并以此作为依据进行评估,以确定其是否符合有关个人数据保护的良好规范。

隐私保护评估的内容涉及产品或系统的隐私保护要求、隐私保护要求、网络传输要求、APP要求、文档记录要求、数据流要求等技术和管理措施等方面,评估完成后出具TÜV莱茵的证书和专业报告,有效帮助企业找到智能产品和移动应用的合规风险,以专业的评估报告应对欧盟的监管要求和买家需求,同时也为新产品研发提供用例和指引,帮助厂商提供优质的用户体验。

 

渗透性测试服务

TÜV莱茵结合自身在信息安全领域的经验与技术要求,为智能产品和网络应用提供渗透性测试,测试内容包括应用安全、物联网设备安全以及移动终端安全等,其中每项另涵盖了多个测试条目,完成测试后还将出具专业的渗透性测试报告,直观反映产品的安全水平,帮助企业防止数据泄漏事故带来不可逆的巨大损失。

如今,TÜV莱茵在全球已帮助视频监控、智能电视、智能小家电等行业的龙头企业进行了产品和其云平台的隐私保护评估和渗透性测试,帮助这些知名企业在数据保护领域的风险控制到了最小。

 

质者介绍

郭方方

TÜV莱茵工业服务与信息安全副总经理

拥有多年的信息安全项目评估审核经验,以及10年以上的软件开发与测试经验。