您当前的位置:主页 > 负面处理 >

  前不久,脸书CEO扎克伯格就数据外泄丑闻前往国会作证,在媒体的“长枪短炮”的包围下接受了44名参议员近5小时的“拷问”。
  回顾Facebook的这次危机,一家名为剑桥分析的英国公司被曝以不正当方式获取高达几千万Facebook用户数据,用于精准推送广告等用途,按照Facebook的说法,这部分数据一方面是通过开放平台接口泄露,另一方面他们已经要求对方删除数据,并且以为对方已经删除。将数据开放给第三方,而第三方作出了可能违规的数据处理方式,这也就是此次Facebook泄密事件的核心。
  “现状可能对脸书存在了转机,但这次信息泄露事件,也让公众认识到,对于掌握庞大数据的互联网巨头来说,需要制定更强大的法律来约束他们。所以对其他公司来说可能意味着新的麻烦,比如谷歌和Twitter。”显然,脸书并不是唯一一家拥有大量个人信息的科技公司,这一事件也让人联想到之前中国一位互联网巨头的CEO在公开场合对于隐私的言论,目前国内的互联网科技公司,是否能够保证比Facebook在隐私保护上做的更好?
  ——吴晨
  Facebook数据泄露危机对国内互联网企业的启示
  北京宸章律师事务所 赵亦文
  面对公众对于个人数据的安全问题日益担忧,以用户为收入主要来源的互联网企业能够做些什么是我们商事合规业务关注的问题。结合国内外个人信息保护立法及监管要求、国内商事审判实务,我们将合规构建互联网企业个人信息保护制度归纳为以下几个要点,以供企业在建立风险防范机制时进行参考:
  1、建立客户拒绝营销机制
  何为“客户拒绝营销机制”,台湾《个人资料保护法》规定,企业应向客户提供表示拒绝接受营销的方式,并负担所需的费用。广告等营销方式可能是部分互联网企业主要的商业模式,企业应在广告和文宣中向客户提供拒绝的渠道。除此之外,客户作为个人信息权利主体,也应保证其访问、更正、删除、撤回同意、注销账户以及获取副本的权利,这也要求企业对个人信息权利主体请求设置常规化的响应机制。
  2、针对不同渠道建立客户知情-同意流程
  互联网企业可能通过不同渠道搜集客户信息,如网页、电话或实体方式,针对不同渠道应建立客户告知流程,并尽量避免“格式条款”的概况式授权所可能造成的无效风险,对于敏感信息需要用户做出书面声明或主动进行“肯定性动作”,并将客户明确同意提供信息,知悉收集信息所涉内容、范围和使用途径等信息留存。
  3、建立健全安全保障机制
  用户信息的泄露通常通过内部泄露或外部泄露两个途径。内部泄露主要为员工泄露,互联网企业应尤为注意对关键岗位人员的背景审查、保密协议的签署,明确各岗位权限、职责分工、制定作业标准,并定期进行网络安全教育和技能培训;外部泄露主要是指企业与第三方合作的过程中,用户信息被第三方获取导致的泄露,因此当涉及外包商、合作伙伴时企业还应首先评估个人信息泄露的安全风险、建立客户通知机制,在对外协议中还应专门约定保护个人信息安全的义务承担和责任划分。
  4、建立应急及事故处理机制
  在防卫手段和抓取数据的手段不断升级的今天,用户信息泄露恐怕难以完全杜绝。互联网企业应及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,根据不同等级的安全事件启动应急预案、采取相应的补救措施,并向有关主管部门报告。上述应急机制不但能够提升企业网络安全事件的应对能力,还能够更准确的评估自身风险,更是网络安全事件发生后对外抗辩的重要事由。