日前,人民網發布了一篇文章《個人信息保護法施行在即,跨境互聯網券商何去何從?》,作者實測了某跨境互聯網券商的開戶流程,提出兩個問題:1、個人信息收集是否安全?2、完成個人信息收集后,這些個人信息的去向。
11月1日,《中華人民共和國個人信息保護法》正式施行,對境內投資者數據跨境傳輸及使用提出了更高的合規性要求,并點名一些跨境互聯網券商在用戶的信息安全和合法化、合規化方面存在風險。
此后,相關跨境互聯網券商股價大跌,并立即發布聲明,表明對于用戶信息安全相關的問題,早已開始整改,同時積極學習《個人信息保護法》,積極自查。
關注互聯網公司數據安全的朋友一定都知道,這不是局限在某個行業的偶發個例。騰訊近日公告說:保護用戶隱私不僅僅是國家法律法規的要求,也是騰訊的“生命線”。數據增長服務商GrowingIO服務商也介紹,在服務的眾多企業級客戶里,也有越來越多多加強學習理解數據安全新法規、加大保護用戶隱私力度的需求。
不論企業還是數據服務商,都處在了一個里程碑式的數字時代節點。
從私產到公器:數據所有權的“變更”及連鎖反應
前不久,國內院線上線了一部電影《失控玩家》,故事講述了一個虛擬網絡游戲內的NPC覺醒和尋求改變的故事。在電影結尾,現實里的反派Boss(游戲公司老板)拿著斧頭,闖到機房,以(物理)破壞服務器,毀掉所有游戲數據的方式,威脅正面角色,達成自己的私欲。
這個情節曾經引起了不少IT從業人士的吐槽,因為按照電影里的設定,老板公司的那個網絡游戲是全世界最火的娛樂活動,這個級別體量的游戲,都會投入重金做數據保護,機房做抗天災級別的設計和建設,數據做異地存儲和備份都是基本操作,一個人拿著斧頭就能把一個游戲的數據毀掉,算得上天方夜譚了。
但是這背后表達的命題卻很具有現實性:老板認為游戲是自己的私產,可以隨意修改設計和升級換代,但是對玩家而言,他們通過操作角色,把自己的信息、行為留在了游戲里,游戲世界的建立,其實是玩家與開發人員共同創造的,但他們一直被認為只有使用權,而沒有所有權。
再往前看,另一部類似題材的電影《頭號玩家》其實也在表達這一沖突和對立。不過在現實里,隨著各類法規、監管的相繼落地,問題的邊界已經清晰起來了:數據不只是企業私產,也是具有公共屬性的社會信息,在一些場景里,數據甚至達到了國家安全的戰略高度。可以說,數據的大安全時代到來,而與此同時,數據安全的內容也就更豐富了:
在過去,如果把數據作為公司財產看,公司只要做到保證數據的不被破壞、不丟失,就算盡到責任了,或者再增加一點要求,不被動泄露,比如在酒店業而言,數據庫被黑客攻陷,客人的住宿數據被公布到網絡上,就是涉及到酒店業生死存亡的大事。
這個時候,主要考驗的是企業、數據服務商的技術投入和能力。
而現在,當數據安全的外延被極大擴展后,企業應該在數據安全上的投入至少應該再加入一個基本的維度:有度采集和使用,即不能依靠企業提供服務(有時候是壟斷性的服務)的優勢強迫用戶提交數據,或者依靠一些隱蔽的工具、手段“偷”用戶的數據。簡單來說,就是要把用戶本該有的那部分掌控數據的權力,還給用戶。同時,對用戶數據的使用要有節制,比如不能主動泄露,就是企業不能未經用戶允許,也不能違背法律法規,把數據給到外部利益相關方,用來做收入變現或者得到其他的好處。
再往后看,企業可能還要迎接更高的挑戰:安全、有度的開放數據,也就是在滿足不破壞、不丟失的基礎安全需求、有度采集和使用的隱私安全需求,達成互聯互通開放安全需求。
這個時候,其實更考驗企業的“主觀”能動性,比如很多互聯網企業可能并不太在意在數據的基礎安全層面投入成本,但是他們更傾向過度采集和使用數據,換取企業的增長,而擔心一旦有度使用數據,增長就會停止,市場份額就會失去。再說互聯互通,企業特別是頭部企業可能會擔心開放會影響自己的市場領先地位。
簡單來說,道理大家都其實都懂,但要迎接數據大安全時代,外部的不可抗力的確不可避免,但能不能做好,還是要看企業自己,能不能建立內在的驅動能力,這需要企業徹底轉變認識,不要認為數據安全意味著成本,包括機會成本。同時,如果加大對數據的投入是不可逆的趨勢,那就要早做準備,贏在起跑線。
那么,關鍵問題是,如何準備?
共創數據安全生態,讓數據有度也能實現高增長
作為一直在數據增長領域深耕的服務商,GrowingIO在近期陸續接到了不少企業加強數據安全的需求,也“加急”幫助這些企業做了一些相關的解決方案,比如提供一些技術手段和工具,讓企業更好地根據客戶的需求,選擇性采集或者不采集客戶的某些信息,或者是在已經采集的數據中刪除掉他們希望去掉的數據信息,又或者是對客戶認為可以保留的信息,做進一步的加密存儲方案。
這個場景說起來雖然不復雜,但很能以小見大,可以反映出非常多的信號和信息:
1、雖然關于數據安全(主要是隱私)方面的法律法規還沒完全落地,但為數眾多的企業已經開始未雨綢繆,做積極準備了。反過來看,如果想要等到法律法規完全落地再開始加強用戶隱私方面的機制、投入,等于臨陣磨槍,會很被動。尤其對于那些不注重合規、不注重內功,只想鉆空子的企業而言,監管的靴子落地就是滅頂之災,“剩者為王”并不是一個調侃。
2、從相關的企業解決方案看,如果說過去的數據安全是由企業主導、第三方公司執行、用戶接受,那么今后就是企業逐漸讓渡權力,用戶的主動性和參與度提升、第三方(數據)公司從執行方變為企業、用戶橋梁的新角色,數據安全將是一個企業、用戶、第三方公司組成一個數據安全生態、協同統建的事情。
3、隨著數據安全新生態內各方角色的變化,如何選擇合適的數據服務商,對企業而言,比過去更為重要。數據服務商的服務能力要全:需要覆蓋基礎的不破壞、不丟失的基礎安全需求、有度采集和使用的隱私安全需求、互聯互通的開放安全需求;創造的價值要大:能幫助企業合規的同時,繼續讓數據發揮價值,為企業增收;服務模式要高度靈活:能提供整體的數據安全解決方案,也能靈活、及時、高效地幫助企業補課,擁抱趨勢變化,及時創新。
這是GrowingIO的優勢所在。GrowingIO成立雖然只有6年,和傳統的IT公司相比算是很年輕了,但幸運的是,GrowingIO的創業一方面是站在巨人的肩膀上,不論是傳統的IOE、還是從亞馬遜后的云計算浪潮,都為數據存儲和安全探索和發展出了比較成熟的軟硬件基礎設施及解決方案,同時,GrowingIO誕生在移動互聯網、大數據從無到有、快速發展的時代,整個組織的人才、能力、結構都是為了企業在新時代的數據需求應運而生的。
所以,GrowingIO首先在用戶數據“不丟失”、“不泄露”的基礎安全需求層面,是完全經得起考驗的,在實施的多個重點項目中,GrowingIO均實現安全方面的0事故。當然這種能力在這個時代,也應該是頭部數據服務商的基本能力,所以這里也不需要再過多論述了。
更重要的是,GrowingIO具備系統性的從部署到落地的整體安全能力,并且兼顧了信息安全與效率,這體現在三個層面:
1、在系統技術層面,GrowingIO嚴格的安全要求貫穿了系統設計、開發、后期運維護全階段,并且每年都會在漏洞防范、滲透測試等安全領域引入三方公司進行測試檢驗。這其中,除了訪問安全、傳輸安全、加密存儲等維度外,采集合規也是重要的指標。
2、在產品設計層面,GrowingIO對用戶內部權限管理做了詳細、嚴格的部署,對每一個數據分析功能的使用權限,包括創建、查看、編輯、分享、下載等不同的操作級別,都可以進行靈活、便捷、高效的操作,兼顧用戶操作的合規與效率。
3、在服務層面,GrowingIO的價值觀是,從成立起就提倡并執行第一方數據數據屬于第一方的原則,保護用戶的第一方數據,強調用戶擁有數據的使用權和所有權。所以,GrowingIO一直在把數據安全及用戶隱私看作企業賴以生存的生命紅線的基礎上,在數據領域進行技術積累和前沿趨勢洞見,從客戶的視角看,實際上也一直是在基于數據安全合規的基礎上,來利用數據進行商業洞察。
也正是在這基礎上,GrowingIO才能在《個人信息保護法》落地前戲,許多企業有大量的急迫需求的時候,能夠接得住,穩妥落地。這也是GrowingIO在已經到來的數據大安全時代充滿信心的原因:兼顧用戶隱私和基于數據驅動增長,GrowingIO其實已經這樣做,很多年了。
