数据隐私保护|你的手机、社交账号安全吗?
事件1—美团账号解绑换号的安全漏洞问题
10月10日,王思聪发微博称,自己的大众点评账号在不知情的情况下,“被别人改绑手机号”。在美团App上,通过用户的手机号和身份证号,可以换绑手机号。事情发生后,美团对此迅速做出了调整,对于修改手机号码这一行为,增设了限制条件,“只支持最近6个月修改过账号绑定手机号的用户”。个人信息泄露会有什么影响?公众人物和明星,作为特殊群体,生活在聚光灯下,被无数粉丝追捧,从公众的关注中得到了利益,却也因此承受了相应的负担和压力。当不理智的粉丝们,想要窥探他们的更多“秘密”时,一些别有用心的人会把这些信息收集起来,进行出售,一条倒卖公众人物隐私信息的黑色产业链,也就应运而生。
事件2—手机App频繁读取用户手机相册信息
App读取用户隐私情况屡禁不止,据工信部9月23日发布的公告显示,有334款App未按时限要求完成整改。其中不少App都是违规收集个人信息、超范围收集个人信息。据国家移动互联网应用安全管理中心官网公布,10月8日又发现16款App隐私安全不合规,涉嫌超范围采集个人隐私信息。这些App主要来自乐商店、魅族应用商店、搜狗手机助手等应用商店平台,其中包括QQ音乐、MOO音乐、嗨走旅行、若途旅行等App。
事件3—运营商遭流量劫持,下游的互联网产品数据丢失
在此前警方侦破的相关案件中,有人为了盗取用户信息,会将自主编写的恶意程序放在运营商内部的服务器上,当用户的流量经过运营商的服务器时,该程序就自动工作,再通过恶意程序将所有数据导出,存放在境内外的多个服务器上。
而在案件侦办中,警方发现运营商流量遭劫持,接连导致百度、腾讯等全国96家互联网公司用户数据被窃取。在被告人租用的服务器上,有多达30亿条被窃取的网络用户信息,这些信息一旦泄露出去,社会危害性极大。
以上事例都是目前互联网领域与用户息息相关的不同层面的数据隐私乱象和问题,国内信息安全还存在着较多的漏洞,随着国内各项法律的发布,互联网平台获取和使用用户信息时的权限和边界感在法律的约束下也会逐渐清晰。
针对敏感个人信息的处理,GDPR 和中国《个人信息保护法》均采取了以禁止处理为原则,允许处理为例外的保护模式。GDPR 第九条规定,只有在数据主体明确同意、处理对于控制者履行责任以及行使其特定权利是必要的等情况下,才可以在采取合适与特定措施的前提下处理特殊类型个人数据。
GDPR 第二十二条第四款还对利用特殊类型数据进行自动化决策提出了要求,只有在数据主体明确同意或者处理对公共利益是必要的情况下,才能利用此类数据进行对数据主体具有法律影响或类似严重影响的自动化决策。中国《个人信息保护法》也要求处理敏感个人信息必须具有特定的目的和充分的必要性,采取严格的措施,同时取得个人的单独同意。
敏感个人信息的处理规则

根据GDPR要求,核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据(健康记录、犯罪记录)的组织必须指定数据保护官DPO。DPO主要负责就GDPR规定提供咨询意见,向最高管理层报告。未来设立DPO职位也将会在国际化企业和政府部门内成为趋势。欧美国家早在2000年开始,已有至少数百家公司设有DPO的职位,如花旗集团、美国运通、惠普、微软、脸书等。安永的一份调查数据显示,欧盟GDPR根本性地改变了全球范围内隐私保护的管理模式。75%的欧盟公司以及50%的美国公司声称GDPR合规要求是驱动其隐私工作的主要原因。在培训方面的投入、隐私岗位聘用人数都在近几年大幅增长。
EXIN Privacy & Data Protection个人认证体系即是基于GDPR的专有认证体系:认证完全依据欧盟GDPR法规研发的认证体系与法规实时同步更新认证体系。
DPO不是一门单独的考试,而是EXIN为已经获得相关认证的专业从业者提供的一种集成认证。即当一位从业者考取以下三门认证后(PDPF+PDPP+ISO27001)另外获得一个证书。

考取DPO认证后的收益
对于企业:
· 充分了解最新的数据隐私保护法规GDPR
· 符合合规以带来业务机会
· 充分适用于大型企业以及中小型企业
认证适合行业及企业包括不限于凡是涉及到个人信息的企业及政府机构、或在欧盟设有分支机构及有跨境业务的企业及行业等,例如:航空、酒店、医院、金融、房地产行业、电商、跨境企业、大数据公司、政府机构(人社局、工商局、税务局、教育局等)、零售行业、互联网企业、外部咨询公司等