谁来给互联网和大数据公司带上缰绳?

释放双眼,带上耳机,听听看~!

注意:微软4月安全更新与多款防病毒软件冲突

部分防毒软件用户在部署微软于4月9日释出的Patch Tuesday安全更新之后,也许会发现系统的性能变差了、反应迟顿,甚至是死机了,那是因为此更新与多个品牌的防毒软件相冲,涵盖McAfee、Avast、Sophos、Avira与ArcaBit。 受到波及的安全产品涵盖McAfee Endpoint

昨天一篇国内第一家大数据上市公司泄露用户个人隐私的报道刷爆朋友圈,我也发了一篇公众号《涉嫌泄露百亿条个人用户信息,知名大数据公司被查》。个人信息泄露的事件屡见报端,我相信每个人都深受其害:

下载一个APP,填上自己的电话号码等数据,过几天就接到了无数条垃圾短信和推销电话;

注册一个账号,弹出超长的“用户协议”看都没看完就点了“同意”,过几天发现自己的邮箱里塞满垃圾邮件…

安装一个手电筒的程序,竟然需要30多项权限,还要读取通讯录和摄像头……

根据中国互联网协会发布的《中国网民权益保护调查报告2016》,我国网民一年间因为垃圾信息、诈骗信息、个人信息泄露等遭受的经济损失达915亿元,人均损失123元。

虽然在如今这个大数据时代,网民隐私被互联网企业侵犯甚至牟利使用已在全球各地成了家常便饭,但是以前各国立法并没有完全跟上互联网的发展速度。

今年3月,李彦宏的一番“中国人愿意以隐私换便利”的观点,也在国内引发了热烈讨论。

3月27日,百度董事长兼CEO李彦宏表示,

“中国人对隐私问题的态度更开放,也相对来说没那么敏感。如果他们可以用隐私换取便利、安全或者效率,在很多情况下,他们就愿意这么做。”

李彦宏这番话也不出意外地引起了舆论的强烈反弹。央视评论文章称,李彦宏这番“真心话”,反映了科技巨头对用户核心利益的熟视无睹,成为一种脱口而出。

李彦宏(图片来自百度官方微博)

欧洲时间2018年5月25日,新的法律横空出世,震撼了全球的互联网巨头们。

欧盟出台的《通用数据保护条例》(简称GDPR)从这一天起开始强制执行,这个号称史上最严的数据保护法案,将使得过去一些人们习以为常的隐私侵权做法不再合法。

GDPR是英文“General Data Protection Regulation”的缩写,通常翻译为“通用数据保护条例”。它由欧盟推出,目的在于遏制个人信息被滥用,保护个人隐私。

这项新法案实施两天以来,已经在全球互联网领域掀起了轩然大波:

Facebook和谷歌等美国企业成为GDPR法案下第一批被告; 

 

许多网站由于来不及做到合规,干脆暂时在欧盟地区下架; 

 

很多欧洲人收到软件服务商的邮件,恳请他们重新同意清晰版本的用户协议…

5月份我收到QQ的弹窗消息,国际版暂时从欧盟区域下架……

在微信公众号的后台,也能看到关于GDPR的公告在首页明显位置通知。

根据GDPR的规定,企业在收集、存储、使用个人信息上要取得用户的同意,用户对自己的个人数据有绝对的掌控权。

用户有哪些权利?


GDPR对个人用户在隐私数据方面享有的权利做了非常详尽的说明,我们把其中比较核心部分提炼出来。

关于RTO,你理解对了吗?

因为工作原因,经常会接触到一些容灾备份的厂商,听他们给我介绍他们的产品解决方案,经常听到的两个词就是RTO和RPO,很多人给我讲他们的方案的时候都会说他们的产品可以做到RTO等于或者接近0。跟很多客户聊天,问起他们对RTO的要求,他们也经常回答说他们要

1、查阅权

用户可以向企业查询自己的个人数据是否在被处理和使用,以及使用的目的,收集的数据的类型等。

这项规定主要是保障用户在个人隐私方面的知情权。

2、被遗忘权(right to be forgotten)

用户有权要求企业把自己的个人数据删除,如果资料已经被第三方获取,用户可以进一步要求它们删除。

在现实生活中,一个比较直观的例子就是,如果在一个社交平台上注册了一个账号,企业要给用户提供一个注销的渠道。就国内来说,现在提供简单明了的注销入口的厂商并不多。

当然,GDPR还规定,被遗忘权不能和公共利益相冲突。例如,如果一个小偷因为偷窃被媒体报道,他不能以被遗忘权为依据,要求各大新闻平台删除和他相关的个人信息。

4、限制处理权


如果用户认为企业收集的个人数据不准确,或者使用了非法的处理手段,但又不想删除数据的话,可以要求限制它对个人数据的使用。

例如不少电商网站会自动记录客户的搜索和购物记录,以便有目的性地推荐商品。GDPR法案规定,网站经营者必须事先向客户说明这些功能,并获得用户的同意,否则按“未告知记录用户行为”作违法处理。

5、数据移植权

数据移植权比较好理解,用户从一家企业转投另一家企业时,可以要求把个人数据带过去。前面一家企业需要把用户数据以直观的、通用的形式给用户。

举个例子,如果想从网易云音乐转到腾讯音乐,用户有权把网易云音乐上的歌单等数据导出来。

当然,GDPR对这项权利没有做出强制性的规定,并且有“技术可行性”的前提条件。也就是说,如果苹果说因为iOS和安卓数据无法通用,iPhone应用列表无法转移到安卓上,也不算违法。

GDPR对企业的影响


除了明确用户在个人信息上的安全,GDPR对企业在处理个人数据方面也做出了非常细致的规定。

首先,企业在收集处理用户信息时需要实现征得同意,而且隐私条款需要以清晰、简洁、直白的语言或其他形式向用户说明。

在过去,很多网站的“用户协议”形同虚设,用户可能根本没耐心看完长达几十页的数据使用条款就匆匆点击“同意”进行注册使用。这样的做法也将不再合法。GDPR法案规定,企业不能再使用模糊、难以理解的语言,或冗长的隐私政策来从用户处获取数据使用许可。

其次,GDPR对企业违法行为的惩处力度非常大,行为轻微的要罚款1000万欧元或全年营收的2%(两者取最高值),行为严重的则要罚款2000万欧元或全年营收的4%(两者取最高值)。


鉴于GDPR的条款非常细致和严苛,很少有企业敢保证自己完全不会触犯这部法律。对一些中小企业来说,巨额罚款无异于灭顶之灾。而即使是亚马逊这样的科技巨头,营收的4%基本已经超过了净利润。

因此,GDPR生效后,部分企业的网站和服务直接屏蔽了欧盟地区;有的则直接对欧盟用户放出了极为简陋的纯文字版网站,给人的感觉像是一夜回到二十年前。

小结:

欧盟的这个条例,究竟是好是坏,是不是有负面的效果,目前还不得而知。只能慢慢靠时间去检验,但无论如何,他们走出了个人信息保护的第一步,这一步无论成败都会给我们带来有益的收获,提供宝贵的经验。对于我们国内用户而言,也确实需要有一部法律来给这些互联网和大数据公司带上缰绳了,虽然去年出台的网络安全法中规定了对于泄露个人隐私的处罚办法,但还不够细致,应该有更为明确和细致的条例去规范这些公司的行为,保障用户的权益。

注:关于GDPR的部分解读,资料来自互联网,如有侵权请及时告知。

欢迎关注:大兵说安全

本文源自微信公众号:大兵说安全

浅谈虚拟化平台的防病毒保护

在之前的文章中,我跟大家聊了聊虚拟化备份的一些技术和实践(《也来谈谈虚拟化备份》)。本篇文章笔者想和大家再一同探讨下虚拟化的防病毒保护。虚拟化的防病毒同虚拟化备份在功能上差异很大,两种产品负责不同安全层面上的防护,但在技术实现上有很多的相似

人已赞赏
安全工具

2018世界“最烂密码”出炉,有你常用的那个吗?

2019-10-14 17:30:24

安全工具

注意:微软4月安全更新与多款防病毒软件冲突

2019-10-14 17:30:30

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索