 奇虎360首设首席隐私官 隐私保护变必需品 面对越来越严重的隐私保护问题。日前,奇虎360公司(NYSE:QIHU)宣布,任命公司副总裁谭晓生为首席隐私官(CPO,Chief Privacy Officer),主要负责规划和制定公司的隐私政策,处理产品中涉及到用户数据的各项事务。由此,奇虎360成为国内首家设立首席隐私官一职的互联网公司。
随着互联网和移动互联网的发展,个人隐私保护已经成为人们上网时最大的担忧。但是,保护隐私谈何容易,大量互联网用户在不知不觉中成为“透明人”。刚刚播出的央视“315”晚会,就爆出罗维邓白氏公司非法买卖公民个人信息。因涉嫌单位犯罪,罗维邓白氏公司总经理已被刑事拘留。
更早之前的去年年底,CSDN(微博)、天涯社区等大量知名网站的用户数据库被黑客拖库,据不完全统计,大概有5000万用户信息遭到曝光。一时间,各家网站如临大敌,紧急通知各自用户尽快更改密码以防不测。由此,掀起了中国互联网用户更改密码的大潮。
从目前看,个人隐私泄露主要有两种途径,一个来自外部的黑客攻击,一个是内外勾结,甚至就是内鬼所为。
而从某种程度上来说,内鬼的危害更为巨大,而且防不胜防,比如央视“315”晚会上曝光的招行、工行员工兜售客户个人信息等。
奇虎360首设“首席隐私官”
有权要求程序员解释代码
统计数据显示,个人隐私的泄露大多是网络服务提供商的责任。由于设备、技术和管理等问题,用户信息无法得到切实有效的保障,信息成为某些人的生财之源。
360总裁齐向东表示,“360设立首席隐私官一职,希望给国内的互联网公司做表率,希望能有更多的互联网公司跟进,这样才能更有效保护网民的隐私”。
对于首席隐私管的职责,360首席隐私官谭晓生解释说:“我的职责是处理隐私的各项政策,审核用户的协议,保证公司的各种产品符合国家的法律法规,进一步提高公司现行的隐私保护制度。”
“当你手中有用户的敏感数据的时候,公司内部的保安是非常重要的”,谭晓生继续解释说,“因此,首先要建立保护用户隐私权的执行体系,每个产品设置隐私控制专员,同时建立一个保护隐私权的监督体系,有权去要求任何一个产品研发团队解释任何一个代码是什么含义,什么作用?这在国内企业中是第一个这么做的,这也是我们有这个信心才敢这么做。”
某不愿具名的业内人士对《证券日报》指出,“对于360、金山网络、瑞星(微博)等安全企业以及银行、券商等金融企业而言,加强内控措施尤为关键。这类企业一旦发生隐私泄露事故,危害非常巨大,此前就多次发生过银行程序开发人员在开发软件时留有后门,窃取用户存款一事。目前,很多公司在开发程序时,由于碍于程序员知识产权保护的主张,难以对每条程序代码的用途进行监控,这就为某些‘不良’程序员留下了空子,埋藏下一个巨大的隐患。”
据360方面透露,360已在2010年4月20日加入了全球最大的隐私保护组织IAPP,并将已将旗下所有产品的源代码托管给中国信息安全测评中心,任何个人和机构都可以查看360产品的源代码。
用户隐私尽在服务器
软性行为需要有边界
随着互联网、移动互联网的发展,网络沟通已经成为人们日常沟通、交换信息的重要途径。尽管很多聊天软件、网上银行等软件都宣称有着最强的加密手段,但那只是对于外部黑客而言的,对于企业内部相关人员,密码上的“*”号都等同于无。
对此,齐向东介绍说:“随着互联网的发展,不管你是交友、看新闻、玩游戏,娱乐生活几乎都在互联网,所以不知不觉中个人隐私已经遍布在互联网上。比如,94%的网民用QQ聊天,聊天过程中难免会传输电话,邮箱等私密信息,这些都已经传到了服务器上;78%的网民在使用框计算,你在框里面输入的内容也传到了服务器;70%的用户使用输入法,敲的任何东西也都存在服务器里面;50%的网民在淘宝上进行交易,不仅仅是电话,银行密码也要上传;40%的网民有微博,微博里面有私信又有电话,这些大量的个人隐私都在服务提供者的服务器上。”
由于服务提供商掌握了大量的用户隐私,因此,对于服务商的管理至关重要。为此,齐向东指出,“目前,个别网站服务商为了追求商业利益最大化,忽视网民的隐私安全,已经成为用户隐私泄露的途径,2011年底爆发的大规模拖库事件,就曾给网民造成巨大损失。因此,网站服务商必须要采取安全措施,提升管理水平,承担起妥善保管用户个人数据的责任。此外,政府机关作为相应的立法和监管者,一方面应惩治病毒、木马制作者的犯罪行为,一方面应惩罚互联网服务商的玩忽职守。互联网时代的个人用户隐私信息保护,不可能由哪一家包办,必须政府、网站、安全公司共同努力,做到三位一体。”
据悉,在设立“首席隐私官”的同时,360还发布了《用户隐私保护白皮书V2.0版》,对涉及用户隐私的软件定义了“四不三必须”的七个规范。其中,“四不”是指:不该看的不看;不该传的不传;不该存的不存;不该用的不用。“三必须”是指:一切行为必须明示;必须经过用户许可;必须对收集的用户隐私信息负责。
对此,谭晓生解释说:“软件的功能不同,其行为也必须要有边界。比如聊天软件、输入法软件等可以调用相关的资源,但是如果主动,特别是在用户不知情的情况下,去访问其它不相关的软件和个人信息,就是不正常的、不健康的行为。” |
