人脸数据收集、简历信息贩卖,数据安全和用户隐私是自“315”晚会以来人们热议的话题。有的企业被重罚,有的企业被要求整改,企业和个人(用户)之间在数据安全这块的关系似乎也微妙起来。本期话题围绕“数据安全”这一老生常谈的话题展开讨论,但是在新的安全形势下,相信大家会有不一样的思考。
以下是本期话题的参考维度:
1、过度收集用户信息会伤害用户且有被罚风险,而过度限制数据收集又会限制企业发展,你如何看待企业数据收集“度”的问题?
2、技术手段助力数据安全。你了解哪些技术手段以保护用户隐私,比如差分隐私、联邦学习等?
如果你有新的思考维度和观点,欢迎在本文评论区留言互动,我们将送出FreeBuf周报定制礼品~
精彩观点
你如何看待企业数据收集“度”的问题?
这个问题是合规问题,企业对数据的需求是无止境的。在监管要求下,最低合规即可
大家换位思考下,站在企业立场上。就知道为啥是这个现状了
一说个人隐私,大家就激愤不已。高层领导们客观多了
对于企业的过度收集,还是得靠国家政策相关把控
没有国家的政策要求。企业不会做费力不讨好的事情。所以,还得靠国家有力监管。就像等保一样,对数据安全,隐私保护做相应的检查和合规,规范企业的数据安全
按需收集:就是你需要为客户提供什么必要且合理的服务所需要的,这个也是由用户来决定是否授权,并且授权多久,授权给谁(是否可以转移授权)等
关键是谁能收集,谁能用,怎么用,用多久的问题
@潇然
收集可以,但是需要数据主体(用户)同意,并记录操作,且收集的数据为满足需要的最小化部分,不能收集与处理目的不相关的。现在很多企业或者说应用,个人相关数据乱收一气,特别是安卓上面的app,一安装需要各种权限。而且有些还不告诉你,偷偷收集。
@史宇航
企业收集数据的度主要会有司法机构来判断。通过具体案件的裁判来确定何种收集、处理是合法合规的。当然行政部门也会出台各种指引性的文件供实践参考。
目前个人信息方面仍然是以“告知-同意”为合法性基础。但具体如何落实告知与同意是一个非常复杂的问题,针对不同场景,不同人群(未成年人与长者)都会有不同的标准。
限制收集和企业发展,我个人觉得是被炒作的,限制收集并不是不让收集。限制收集主要是几个方面:(1)用户知情(2)匿名数据并不会侵犯隐私(3)数据的共享限制。
当前企业大部分的合法正当需求场景,可以通过收集匿名化的数据,继续完成大数据分析。而其他更多需个人敏感信息的场景,可能只是伪需求,这些其实和产品设计是一样的,是不是真的有必要使用人脸,如果不是必要,但有好处,是不是可以让用户知晓好处之后,让他自己选择?最后对于消费者来说,最不可控的就是自己的数据被共享或者贩卖给其他第三方,这个除了企业自律以外,目前难有监管方式。
数据收集度的问题本身也黑白不够分明。比较好的措施和方式,数据合理开放及使用,数据授权方及数据接收方均有效知晓,最小授权(很多伙伴们也提到的:部分业务应用、APP、手机权限开放均会事先提示,其实还是在做应用层、表示层)。
你了解哪些技术手段以保护用户隐私?
技术角度的话,目前实战问题多多。换句话说,企业为啥要用这么重的技术来保护用户隐私?
人脸识别这种技术,我在想,是否可做成国家层面的几大数据库,采用相应算法对人脸等生成数据加密,公司不能随意采集群众人脸数据,但可向相关部门申请数据接口权限,然后和真人对比识别的一种方式。这种方式,企业不会存储用户数据,其次也获取不到数据的真实信息。安全层面,都是有国家管控的几个数据库存储,安全可靠。
@两块
应该提供多种识别认证方式供用户选择,而不是一味的强制使用人脸识别等可能涉及隐私的方式,且应该将各种风险予以告知,应该将选择权交给用户
@潇然
技术手段这块,很多资料都列出来了很多,其实个人觉得,最基本的数据脱敏、匿名、加密、水印、防篡改这些能够真正覆盖到所有业务和场景都已经很可以了。
说说数据安全的方法,近几年来看,联邦学习,差分隐私都很火,但我觉得回归到安全的基础就可以解决大部分问题:严格的访问权限管控,数据加密脱敏,去标识化,行为审计。这些做好以后,dlp,联邦学习,差分隐私,同态加密等,都是锦上添花的而已。所以不要老整些高大上,先从最基础的做起,就和疫情一样,传统的隔离,检测,才是经久不衰的黄金法则
@mcvoodoo:我同意。基础安全措施做得好,比那些高大上算法有用多了。能把权限管理好,就已经防止很多事情了
我们是做了token化,就是把身份证都变成etrrjfgew这种无意义的随机唯一字符串,在全内网流转的都是这个字符串。即使泄露,也是无意义的。除非打掉了我们的leaf算法中心和换token的中心
@shengl99:基础数据还得有一份吧?
@mcvoodoo:基础数据是加密后存在另外一个库里,主要是减少了明文数据的流转面,就不用挨个系统去搞脱敏啥的
@shengl99:一般团队不敢这么干@mcvoodoo:是,工程能力要求很高。万一挂了,就是生产链路挂了,且无法降级
@shengl99:万一加密过程出错了,彻底回不来
@潇然:这种一般是每次随机加密生成,还是开始一次,后面一直用?
@mcvoodoo:后面一直用
@潇然:每次都变化,对业务服务能力负担太大了
@shengl99:根据最佳实践,应该是二级加密体系。Data KEY保持不变,Data Key的Key定时轮换,所以每次轮换时不会出现大面积的数据加密和解密场景
@潇然:这种体系从安全层面肯定是比较好的
其他观点:
@成见
不用电子产品就不会信息泄漏。某些app,提示可以用微信登录,结果微信登录之后又要手机验证,我直接手机验证不就完事了,直接套路我两份信息
互联网联盟数据共享,不是什么稀奇事了,你淘宝搜手机,你点开京东马上就给你推荐手机
给客户送奖品,要报销,提取客户清单,还带身份证号的
建议颁布 GDPR类似的法规
数据可以给国家,但是不能给企业
工作和生活的手机号,要分开
国内对这个用户隐私保护没那么严格,要是和欧盟一样,直接罚款,罚到倾家荡产
我的手机号已经泄露无数次了,现在很多APP都要你写手机号和身份证才给你用,所谓的国家强制实名 为了反诈骗而生,而现在成为了诈骗的最佳帮手。某些厂商也很乐意打着这个旗号强制你写身份证手机号名字,然后搞不好偷偷定个位 。对于诈骗,只能谨慎,对于社工,健身房、锻炼肌肉、脚本小子贴脸发你地址的时候请露出你的肌肉
互动福利
活动时间:2021年4月27日-4月29日
开奖时间:2021年30日12:00
参与方式:围绕本期话题,在文章下方参与评论互动,FB客服将随机抽取3名带优质观点的小伙伴送出FreeBuf周边定制礼品~
(以上仅为部分周边定制礼品)
此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码添加FB小编加入群聊吧~
回顾往期精彩话题讨论可关注专辑:Let’s Talk
来源:freebuf.com 2021-04-25 13:28:28 by: Sandra1432
请登录后发表评论
注册