【3·15 直击】招聘网站的“个人数据泄露”通病如何治?
直击3·15
消费者权益
个人信息保护
——安恒信息
前情回顾
一年一度的3·15晚会准时播出,而今年的3·15晚会又格外关注个人隐私问题,有未经同意随意获取人脸信息的,有专门针对老年人使用手机进行恶意捆绑广告。不法分子利用手机安全提示,一步步设下陷阱,获取个人信息数据进行精准诈骗,而其中个人简历信息被肆意贩卖的现象更是触目惊心。
经记者调查,只需注册某招聘网站企业账号,便可以不限量下载包括姓名、年龄、邮箱等求职者的个人敏感信息,之后这些个人简历信息大量流入黑市,被不法分子用于交易。
另外近年来,移动互联网应用程序(APP)得到广泛应用,在促进经济社会发展、服务、民生等方面发挥了不可替代的作用。同时,APP 强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出,广大网民对此反映强烈。个人信息保护关系着每一个人的权益。
那么我们的个人隐私信息是否能得到相应保护呢?对此,安恒信息AiLPHA数据安全团队发表相应的观点和解决方案。
法制不断完善
近年来国家与行业高度重视数据安全保护工作,先后起草多项法律法规和安全规范,使得个人信息、数据安全的保护做到有法可依。
针对网络求职简历被卖等问题,人社部出台的《网络招聘服务管理规定》2021年3月1日正式施行。这是我国网络招聘服务领域第一部部门规章,明确要求人力资源服务机构对用人单位所提供材料的真实性、合法性进行审查,不得泄露、非法出售、非法向他人提供其收集的个人信息,违者将被处罚。
(注:各行业分级分类指南可在文末进行下载)
此外,今年全国政协十三届四次会议新闻发布会的消息显示,《个人信息保护法》草案已经提请全国人大常委会审议。总体来讲,国家和行业层面对数据安全越来越重视,隐私保护的要求越来越严格。
个人要谨慎
首先不要随意点击链接,更不要随意输入身份证号、手机号、密码等敏感信息。
再次下载软件或app要到官方网站,或者正规应用商店下载。在安装、使用软件或app时要注意看清提示,仔细阅读,防止部分厂商利用模糊描述骗取个人隐私信息。
最后如果发现侵犯个人隐私的软件或app,可在“App个人信息举报”微信公众号进行举报。
企业要自查
企业要加强自查,不拿用户的隐私信息来换取一时利益,要先厘清自身拥有哪些数据,数据属于什么级别,该如何去保护。
以招聘网站为例,其拥有的是应聘者的较为完整的个人信息,这些信息受《中华人民共和国数据安全法(草案)》,《信息安全技术 个人信息安全规范》等法律、规范严格约束,使用前应征得用户同意。但目前很多企业缺乏数据安全方面的防护,造成大量信息泄露。
在此,安恒信息AiLPHA数据安全团队作为专业团队给企业一些建议:
1.严格按照相关法规对数据进行分类分级
2.加强制度建设,从思想上加强安全意识
3.对数据进行多方位防护,防止有意无意导致的数据泄露
同时提供以下帮助:
#
首先发现敏感数据,进行分类分级
AiSort数据安全分级与风险评估系统能够对用户数据进行自动数据发现、基于AI算法对敏感数据准确高效识别,然后依据内置法规、行业标准自动分类分级操作,生成数据资产目录,同时还能对数据库进行漏洞检测,基线检测,评估数据库安全配置,梳理用户权限,帮助企业快速梳理数据资产,并自动分级,为后续防护打好基础。
#
加强溯源,泄露可追溯
对如招聘企业下载的简历进行水印溯源处理,即便泄露也能找到泄漏源
#
操作审计,预警分析
通过数据库审计系统与AiThink用户与实体行为分析系统(UEBA)相结合的方案,对于数据的访问做到完整审计,并对审计日志进行分析建模,接入用户上下文等数据信息,并将数据全局关联到用户上。然后利用AI机器学习算法,进行行为基线分析和群体异常分析,从而可以识别行为风险异常,甚至可以检测出未知威胁。对不合理的企业用户的不当访问行为进行预警,及时发现处理。
各行业数据分级分类指南
长按识别下方二维码
获取指南文件
往期精选
围观
两会里的“数”说|「数字化发展」成为高频热词(附两会多项报告下载)
热文
数字化转型“百家谈”| 国有企业数字化转型背景下,如何应对物联网安全挑战(附国资政策文件)
热文
报告下载|《2021年中国网络安全态势感知十大技术趋势预测分析报告》