隨著移動互聯網的發展與技術的革新,個人信息數據也呈現海量增長,隨之而來的數據安全和隱私保護問題也越發凸顯。
InfoWatch發布的2019年數據泄露報告稱,與去年同期相比,全球企業機密數據泄露量增加了近28%,僅在2019年第二季度,就有2.16億用戶數據被泄露。同時,諸如Facebook、Google等大型互聯網公司在過去幾年內也因數據隱私問題頻繁遭到各國政府的調查或起訴。可見,數據泄露和隱私保護問題已成為全球最常見的網絡安全事件之一,并給企業帶來嚴重的輿論和信任危機。
而市場規模龐大的移動廣告行業與數據有著千絲萬縷的關系,海量的用戶數據對于移動廣告平臺實現精準個性化營銷具有重要價值。然而作為連接著眾多廣告主與流量主的中間站,由于處在蜘蛛網的核心,移動廣告平臺的數據安全和用戶隱私保護問題就顯得非常敏感,往往會牽一發而動全身。因為移動廣告平臺的數據不單單屬于自己,還關乎與之相關的各大互聯網公司及其數量龐大的移動用戶。因此,保證數據的絕對安全成為了移動廣告平臺的重中之重和立身之本。
那么在這種情況下,移動廣告平臺以及行業內的相關企業應該怎樣做,才能提前化、量化解決自己已經遇到的或者將要遇到的數據安全和用戶隱私保護問題?基于這樣的疑問采訪了匯量科技Mobvista的首席財務官宋笑飛先生,了解Mobvista對數據安全和用戶隱私保護的戰略布局,同時展望移動廣告行業的數據安全與合規的發展方向。
前瞻行業,緊跟新規
宋笑飛在采訪中表示,長期以來,Mobvista對行業內數據安全已經存在的問題以及從業者未來可能對數據安全提出的要求進行了不間斷的了解和意見收集,同時對于海外不斷更新的與數據安全相關的法律法規進行跟進。
早在2017年前后,他們就觀察到在移動互聯網行業中,大家對于數據安全和隱私保護的關注度已經處于不斷的提升中。例如,Facebook頻繁性地被國會問詢有關侵犯用戶隱私的問題,谷歌的安卓系統也在被很多人質疑它的數據安全性,包括很多非常著名的公司以及很多做得很成功的公司,常會被立法機構、公眾媒體詢問是否獲取了用戶的隱私。
這讓Mobvista很快就意識到,數據安全和用戶隱私保護對于一個互聯網公司的長遠發展的重要性。并且,他們開始關注和跟進國外的數據安全法規、聘請律師進行風險評估,以及與大公司交流做法。
宋笑飛表示:“早前我們對美國的GDPR《通用數據保護條例》、CCPA《加州消費者隱私法案》以及COPPA《兒童在線隱私保護法案》都有關注。并且,我們常年有在歐美國家聘用相關的律師,向他們了解最新有關數據安全的立法,并讓他們幫助評估公司在合同簽訂、日常工作、以及數據處理中存在的數據安全風險。”
另外值得一提的是,Mobvista在國內也一直進行著一些行業性的嘗試。今年5月14日Mobvista針對移動廣告作弊問題,發布了《移動廣告反作弊白皮書2.0》,詳細闡述了當前移動廣告作弊情況、作弊方式及反作弊策略,目的是為了增強移動廣告行業的透明度并推動行業的規范化發展。
利用第三方審計,提高可信任度
在足夠了解行業需要怎樣的數據安全和隱私保護之后,Mobvista開始了更為主動和實際的行動——利用第三方獨立機構的審計與監督,保證平臺內部各個環節的數據合規性與安全性,來進一步提高Mobvista在行業內的可信任度。
今年8月26日,Mobvista委托國際四大會計師事務所之一對其進行SOC2審計,并獲得SOC2 Type1的鑒證報告。
SOC是由美國注冊會計師協會(AICPA)制定的一個服務性組織控制框架,包含SOC1、 SOC2 、SOC3三種形式。其中SOC2是專門針對數據安全和隱私保護的鑒證標準,根據審計產品周期的長短可分為Type1和Type2。據悉,這是全球目前公認權威性、專業性都較高的數據安全審計報告,能相對客觀的反映被審計企業的數據安全情況。
據宋笑飛介紹,此次SOC2審計針對Mobvista頭部媒體投放解決方案、程序化廣告解決方案、全網流量聚合營銷方案、SpotMax中臺體系和移動分析解決方案等服務的安全性、可用性、過程完整性、保密性和隱私性相關控制的設計適當性和執行有效性進行了評估。
另外,在SOC2鑒證過程中,Mobvista同時根據第三方審計機構的要求和意見,對內部進行了全面的改善和提升。例如,規范制度以進一步明確職能邊界和權責的分工,通過組織培訓優化內控并建立留痕過程,加強權限管理,以及著手建立健全的信息安全管理體系,來實現對數據的規范化管理。
宋笑飛在采訪中分享到:“國際四大會計師事務所之前做的SOC鑒證服務主要面向大型的企業、跨國公司,比如說銀行、保險公司、大型互聯網公司、服務器供應商等,少有廣告行業公司的相關經驗。所以,對于Mobvista的評估,他們反而花了很長的時間。對于公司來講,我們肯定是沒經驗的,但同樣對于鑒證人員來講,他們之前也沒有做過類似企業的審計,對我們公司的內控不是很了解,所以這個過程花費了比較多的精力。”
另外宋笑飛還透露,其實早在去年10月份的時候,他就與審計師、潛在的合作伙伴談了關于SOC2簽訂的有關事宜,但直到今年4月才簽訂了業務預定書。歷經4個月,Mobvista直到今年的8月26日才拿到SOC2的鑒證報告,其過程可謂漫長而艱辛。
既然SOC2鑒證需要耗費如此之大的精力,需要各方配合才能完成,而且移動廣告行業內還鮮有企業去做這件事,Mobvista為什么會有這個想法并且愿意花費大成本去做SOC2鑒證?
宋笑飛透露:“我們是在與大型金融公司的交流中了解到SOC2的,雖然現在行業確實沒有要求我們這樣的企業去做這個報告,但隨著數據安全和隱私保護受到越來越多的關注,投入精力和資源來提升公司的內控是非常有必要的。雖然這不是一個短期內可以馬上見效的事情,但從長遠的角度來看,作為一個全球化的公司,不僅要在業務規模上領先,對全球公認的標準的遵守、并以更嚴格的標準來要求自己做到在數據合規上的領先也非常重要。同時,我們希望通過做這件事情來慢慢影響行業內的參與者,起到一個引領的作用,推動整個行業生態的發展。”
綜合來看,Mobvista通過第三方機構的審計與監督,優化組織內控結構,從而加強公司數據的安全性,以達到確保合作商的數據安全以及保障用戶個人的隱私安全的最終目的。值得注意的是,Mobvista是行業內第一個獲得該鑒證的移動廣告公司。另外,宋笑飛還表示,由于SOC2 Type1報告具有一定的時效性,Mobvista已經將SOC2 Type2列入工作計劃,未來也將會每年進行一次鑒證,持續地按照SOC2的要求進行內控的提升,以保證公司一直處于數據安全狀態。
主動構建內部信息安全管理體系
長期以來對數據安全的關注和重視,了解相關的法規政策,過程中委托第三方機構進行審計和監督,從而進行企業內部優化,但這對于完整的數據信息安全部署還不夠。要想真正實現數據安全保障,還需要移動廣告平臺從內部構建自己的信息安全管理體系。
信息安全管理體系是由英文Information Security Management System而來,是指規范企業的信息安全管理,通過安全體系構建提升組織內部安全意識,加強對信息資產的保護,避免信息安全帶來的法律合規風險,支持企業的安全發展。ISMS是1998年前后從英國發展起來的一個信息安全領域的新概念,是管理體系的思想和方法,應用于信息安全領域。
為了從內部加強數據安全保障,Mobvista進行了信息安全管理體系建設(ISMS),目前該體系建設已經完成了內部的審查,準備進入審核階段。在公司最終符合審查構建標準,滿足條件之后將會獲得ISO認證,該認證將會為企業提供誠信資本,同時這也是對企業業務運營方式和具備持續改進能力的有力證明。
該體系的核心建設還是在企業的安全管理領域,從宏觀組織架構的搭建、規則的的生成,再落實到各個業務層面的實施中,緊接著是人員架構的不間斷評審和規范,最后則是系統運行過后的調優和改進。
未來在行業內將會有越來越多的互聯網企業進行信息安全體系建設。因為互聯網信息安全面臨著來自多方面的威脅,企業信息泄漏問責成為一種常態。基于此,信息安全管理體系建設一方面可以切實提高公司的安全屬性,組織核心業務所賴以持續的各項信息資產都得到了妥善保護,并且建立有效業務的持續性計劃性的框架。另一方面也可以避免一些網絡全責的糾紛如隱私糾紛、作弊嫌疑、信息泄露等等。
從Mobvista一路的數據信息安全布局中,我們可以發現移動廣告平臺企業可以通過三個層面進行適用于互聯網企業自身的數據信息安全部署。
具體來講,第一步應盡早地關注到全球互聯網行業的數據安全發展態勢,了解相關法律法規,初步形成保護數據安全的意識,尋找合適的方法來進行數據安全和隱私保護規范;第二步主動委托第三方獨立機構進行審計與監督,根據即時變化的法規要求,不斷調整和優化公司的內控結構,來保障公司內部的數據安全;第三步則需要搭建一套企業內部的信息安全管理體系,從信息安全方針、政策的制定,到信息安全工作的落實執行,使全公司至上而下建立起良好的信息安全意識。
尤其是在互聯網信息安全面臨著多方面的威脅、全球越來越多數據隱私保護法規的實施背景下,企業要提早做好信息安全部署、主動提升內控,打造真正的數據安全“護城河”,才能不斷提升企業在行業中的可信任度,以獲得長期良好的發展。
責任編輯:gt
-
數據
+關注
關注
8文章
7006瀏覽量
88955 -
互聯網
+關注
關注
54文章
11149瀏覽量
103246
發布評論請先 登錄
相關推薦
評論