隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展與技術(shù)的革新，個(gè)人信息數(shù)據(jù)也呈現(xiàn)海量增長(zhǎng)，隨之而來(lái)的數(shù)據(jù)安全和隱私保護(hù)問(wèn)題也越發(fā)凸顯。

InfoWatch發(fā)布的2019年數(shù)據(jù)泄露報(bào)告稱，與去年同期相比，全球企業(yè)機(jī)密數(shù)據(jù)泄露量增加了近28%，僅在2019年第二季度，就有2.16億用戶數(shù)據(jù)被泄露。同時(shí)，諸如Facebook、Google等大型互聯(lián)網(wǎng)公司在過(guò)去幾年內(nèi)也因數(shù)據(jù)隱私問(wèn)題頻繁遭到各國(guó)政府的調(diào)查或起訴?？梢?jiàn)，數(shù)據(jù)泄露和隱私保護(hù)問(wèn)題已成為全球最常見(jiàn)的網(wǎng)絡(luò)安全事件之一，并給企業(yè)帶來(lái)嚴(yán)重的輿論和信任危機(jī)。

而市場(chǎng)規(guī)模龐大的移動(dòng)廣告行業(yè)與數(shù)據(jù)有著千絲萬(wàn)縷的關(guān)系，海量的用戶數(shù)據(jù)對(duì)于移動(dòng)廣告平臺(tái)實(shí)現(xiàn)精準(zhǔn)個(gè)性化營(yíng)銷具有重要價(jià)值。然而作為連接著眾多廣告主與流量主的中間站，由于處在蜘蛛網(wǎng)的核心，移動(dòng)廣告平臺(tái)的數(shù)據(jù)安全和用戶隱私保護(hù)問(wèn)題就顯得非常敏感，往往會(huì)牽一發(fā)而動(dòng)全身。因?yàn)橐苿?dòng)廣告平臺(tái)的數(shù)據(jù)不單單屬于自己，還關(guān)乎與之相關(guān)的各大互聯(lián)網(wǎng)公司及其數(shù)量龐大的移動(dòng)用戶。因此，保證數(shù)據(jù)的絕對(duì)安全成為了移動(dòng)廣告平臺(tái)的重中之重和立身之本。

那么在這種情況下，移動(dòng)廣告平臺(tái)以及行業(yè)內(nèi)的相關(guān)企業(yè)應(yīng)該怎樣做，才能提前化、量化解決自己已經(jīng)遇到的或者將要遇到的數(shù)據(jù)安全和用戶隱私保護(hù)問(wèn)題？基于這樣的疑問(wèn)采訪了匯量科技Mobvista的首席財(cái)務(wù)官宋笑飛先生，了解Mobvista對(duì)數(shù)據(jù)安全和用戶隱私保護(hù)的戰(zhàn)略布局，同時(shí)展望移動(dòng)廣告行業(yè)的數(shù)據(jù)安全與合規(guī)的發(fā)展方向。

前瞻行業(yè)，緊跟新規(guī)

宋笑飛在采訪中表示，長(zhǎng)期以來(lái)，Mobvista對(duì)行業(yè)內(nèi)數(shù)據(jù)安全已經(jīng)存在的問(wèn)題以及從業(yè)者未來(lái)可能對(duì)數(shù)據(jù)安全提出的要求進(jìn)行了不間斷的了解和意見(jiàn)收集，同時(shí)對(duì)于海外不斷更新的與數(shù)據(jù)安全相關(guān)的法律法規(guī)進(jìn)行跟進(jìn)。

早在2017年前后，他們就觀察到在移動(dòng)互聯(lián)網(wǎng)行業(yè)中，大家對(duì)于數(shù)據(jù)安全和隱私保護(hù)的關(guān)注度已經(jīng)處于不斷的提升中。例如，F(xiàn)acebook頻繁性地被國(guó)會(huì)問(wèn)詢有關(guān)侵犯用戶隱私的問(wèn)題，谷歌的安卓系統(tǒng)也在被很多人質(zhì)疑它的數(shù)據(jù)安全性，包括很多非常著名的公司以及很多做得很成功的公司，常會(huì)被立法機(jī)構(gòu)、公眾媒體詢問(wèn)是否獲取了用戶的隱私。

這讓Mobvista很快就意識(shí)到，數(shù)據(jù)安全和用戶隱私保護(hù)對(duì)于一個(gè)互聯(lián)網(wǎng)公司的長(zhǎng)遠(yuǎn)發(fā)展的重要性。并且，他們開(kāi)始關(guān)注和跟進(jìn)國(guó)外的數(shù)據(jù)安全法規(guī)、聘請(qǐng)律師進(jìn)行風(fēng)險(xiǎn)評(píng)估，以及與大公司交流做法。

宋笑飛表示：“早前我們對(duì)美國(guó)的GDPR《通用數(shù)據(jù)保護(hù)條例》、CCPA《加州消費(fèi)者隱私法案》以及COPPA《兒童在線隱私保護(hù)法案》都有關(guān)注。并且，我們常年有在歐美國(guó)家聘用相關(guān)的律師，向他們了解最新有關(guān)數(shù)據(jù)安全的立法，并讓他們幫助評(píng)估公司在合同簽訂、日常工作、以及數(shù)據(jù)處理中存在的數(shù)據(jù)安全風(fēng)險(xiǎn)?！?/p>

另外值得一提的是，Mobvista在國(guó)內(nèi)也一直進(jìn)行著一些行業(yè)性的嘗試。今年5月14日Mobvista針對(duì)移動(dòng)廣告作弊問(wèn)題，發(fā)布了《移動(dòng)廣告反作弊白皮書(shū)2.0》，詳細(xì)闡述了當(dāng)前移動(dòng)廣告作弊情況、作弊方式及反作弊策略，目的是為了增強(qiáng)移動(dòng)廣告行業(yè)的透明度并推動(dòng)行業(yè)的規(guī)范化發(fā)展。

利用第三方審計(jì)，提高可信任度

在足夠了解行業(yè)需要怎樣的數(shù)據(jù)安全和隱私保護(hù)之后，Mobvista開(kāi)始了更為主動(dòng)和實(shí)際的行動(dòng)——利用第三方獨(dú)立機(jī)構(gòu)的審計(jì)與監(jiān)督，保證平臺(tái)內(nèi)部各個(gè)環(huán)節(jié)的數(shù)據(jù)合規(guī)性與安全性，來(lái)進(jìn)一步提高M(jìn)obvista在行業(yè)內(nèi)的可信任度。

今年8月26日，Mobvista委托國(guó)際四大會(huì)計(jì)師事務(wù)所之一對(duì)其進(jìn)行SOC2審計(jì)，并獲得SOC2 Type1的鑒證報(bào)告。

SOC是由美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)（AICPA）制定的一個(gè)服務(wù)性組織控制框架，包含SOC1、 SOC2 、SOC3三種形式。其中SOC2是專門針對(duì)數(shù)據(jù)安全和隱私保護(hù)的鑒證標(biāo)準(zhǔn)，根據(jù)審計(jì)產(chǎn)品周期的長(zhǎng)短可分為Type1和Type2。據(jù)悉，這是全球目前公認(rèn)權(quán)威性、專業(yè)性都較高的數(shù)據(jù)安全審計(jì)報(bào)告，能相對(duì)客觀的反映被審計(jì)企業(yè)的數(shù)據(jù)安全情況。

據(jù)宋笑飛介紹，此次SOC2審計(jì)針對(duì)Mobvista頭部媒體投放解決方案、程序化廣告解決方案、全網(wǎng)流量聚合營(yíng)銷方案、SpotMax中臺(tái)體系和移動(dòng)分析解決方案等服務(wù)的安全性、可用性、過(guò)程完整性、保密性和隱私性相關(guān)控制的設(shè)計(jì)適當(dāng)性和執(zhí)行有效性進(jìn)行了評(píng)估。

另外，在SOC2鑒證過(guò)程中，Mobvista同時(shí)根據(jù)第三方審計(jì)機(jī)構(gòu)的要求和意見(jiàn)，對(duì)內(nèi)部進(jìn)行了全面的改善和提升。例如，規(guī)范制度以進(jìn)一步明確職能邊界和權(quán)責(zé)的分工，通過(guò)組織培訓(xùn)優(yōu)化內(nèi)控并建立留痕過(guò)程，加強(qiáng)權(quán)限管理，以及著手建立健全的信息安全管理體系，來(lái)實(shí)現(xiàn)對(duì)數(shù)據(jù)的規(guī)范化管理。

宋笑飛在采訪中分享到：“國(guó)際四大會(huì)計(jì)師事務(wù)所之前做的SOC鑒證服務(wù)主要面向大型的企業(yè)、跨國(guó)公司，比如說(shuō)銀行、保險(xiǎn)公司、大型互聯(lián)網(wǎng)公司、服務(wù)器供應(yīng)商等，少有廣告行業(yè)公司的相關(guān)經(jīng)驗(yàn)。所以，對(duì)于Mobvista的評(píng)估，他們反而花了很長(zhǎng)的時(shí)間。對(duì)于公司來(lái)講，我們肯定是沒(méi)經(jīng)驗(yàn)的，但同樣對(duì)于鑒證人員來(lái)講，他們之前也沒(méi)有做過(guò)類似企業(yè)的審計(jì)，對(duì)我們公司的內(nèi)控不是很了解，所以這個(gè)過(guò)程花費(fèi)了比較多的精力?！?/p>

另外宋笑飛還透露，其實(shí)早在去年10月份的時(shí)候，他就與審計(jì)師、潛在的合作伙伴談了關(guān)于SOC2簽訂的有關(guān)事宜，但直到今年4月才簽訂了業(yè)務(wù)預(yù)定書(shū)。歷經(jīng)4個(gè)月，Mobvista直到今年的8月26日才拿到SOC2的鑒證報(bào)告，其過(guò)程可謂漫長(zhǎng)而艱辛。

既然SOC2鑒證需要耗費(fèi)如此之大的精力，需要各方配合才能完成，而且移動(dòng)廣告行業(yè)內(nèi)還鮮有企業(yè)去做這件事，Mobvista為什么會(huì)有這個(gè)想法并且愿意花費(fèi)大成本去做SOC2鑒證？

宋笑飛透露：“我們是在與大型金融公司的交流中了解到SOC2的，雖然現(xiàn)在行業(yè)確實(shí)沒(méi)有要求我們這樣的企業(yè)去做這個(gè)報(bào)告，但隨著數(shù)據(jù)安全和隱私保護(hù)受到越來(lái)越多的關(guān)注，投入精力和資源來(lái)提升公司的內(nèi)控是非常有必要的。雖然這不是一個(gè)短期內(nèi)可以馬上見(jiàn)效的事情，但從長(zhǎng)遠(yuǎn)的角度來(lái)看，作為一個(gè)全球化的公司，不僅要在業(yè)務(wù)規(guī)模上領(lǐng)先，對(duì)全球公認(rèn)的標(biāo)準(zhǔn)的遵守、并以更嚴(yán)格的標(biāo)準(zhǔn)來(lái)要求自己做到在數(shù)據(jù)合規(guī)上的領(lǐng)先也非常重要。同時(shí)，我們希望通過(guò)做這件事情來(lái)慢慢影響行業(yè)內(nèi)的參與者，起到一個(gè)引領(lǐng)的作用，推動(dòng)整個(gè)行業(yè)生態(tài)的發(fā)展?！?/p>

綜合來(lái)看，Mobvista通過(guò)第三方機(jī)構(gòu)的審計(jì)與監(jiān)督，優(yōu)化組織內(nèi)控結(jié)構(gòu)，從而加強(qiáng)公司數(shù)據(jù)的安全性，以達(dá)到確保合作商的數(shù)據(jù)安全以及保障用戶個(gè)人的隱私安全的最終目的。值得注意的是，Mobvista是行業(yè)內(nèi)第一個(gè)獲得該鑒證的移動(dòng)廣告公司。另外，宋笑飛還表示，由于SOC2 Type1報(bào)告具有一定的時(shí)效性，Mobvista已經(jīng)將SOC2 Type2列入工作計(jì)劃，未來(lái)也將會(huì)每年進(jìn)行一次鑒證，持續(xù)地按照SOC2的要求進(jìn)行內(nèi)控的提升，以保證公司一直處于數(shù)據(jù)安全狀態(tài)。

主動(dòng)構(gòu)建內(nèi)部信息安全管理體系

長(zhǎng)期以來(lái)對(duì)數(shù)據(jù)安全的關(guān)注和重視，了解相關(guān)的法規(guī)政策，過(guò)程中委托第三方機(jī)構(gòu)進(jìn)行審計(jì)和監(jiān)督，從而進(jìn)行企業(yè)內(nèi)部?jī)?yōu)化，但這對(duì)于完整的數(shù)據(jù)信息安全部署還不夠。要想真正實(shí)現(xiàn)數(shù)據(jù)安全保障，還需要移動(dòng)廣告平臺(tái)從內(nèi)部構(gòu)建自己的信息安全管理體系。

信息安全管理體系是由英文Information Security Management System而來(lái)，是指規(guī)范企業(yè)的信息安全管理，通過(guò)安全體系構(gòu)建提升組織內(nèi)部安全意識(shí)，加強(qiáng)對(duì)信息資產(chǎn)的保護(hù)，避免信息安全帶來(lái)的法律合規(guī)風(fēng)險(xiǎn)，支持企業(yè)的安全發(fā)展。ISMS是1998年前后從英國(guó)發(fā)展起來(lái)的一個(gè)信息安全領(lǐng)域的新概念，是管理體系的思想和方法，應(yīng)用于信息安全領(lǐng)域。

為了從內(nèi)部加強(qiáng)數(shù)據(jù)安全保障，Mobvista進(jìn)行了信息安全管理體系建設(shè)（ISMS），目前該體系建設(shè)已經(jīng)完成了內(nèi)部的審查，準(zhǔn)備進(jìn)入審核階段。在公司最終符合審查構(gòu)建標(biāo)準(zhǔn)，滿足條件之后將會(huì)獲得ISO認(rèn)證，該認(rèn)證將會(huì)為企業(yè)提供誠(chéng)信資本，同時(shí)這也是對(duì)企業(yè)業(yè)務(wù)運(yùn)營(yíng)方式和具備持續(xù)改進(jìn)能力的有力證明。

該體系的核心建設(shè)還是在企業(yè)的安全管理領(lǐng)域，從宏觀組織架構(gòu)的搭建、規(guī)則的的生成，再落實(shí)到各個(gè)業(yè)務(wù)層面的實(shí)施中，緊接著是人員架構(gòu)的不間斷評(píng)審和規(guī)范，最后則是系統(tǒng)運(yùn)行過(guò)后的調(diào)優(yōu)和改進(jìn)。

未來(lái)在行業(yè)內(nèi)將會(huì)有越來(lái)越多的互聯(lián)網(wǎng)企業(yè)進(jìn)行信息安全體系建設(shè)。因?yàn)榛ヂ?lián)網(wǎng)信息安全面臨著來(lái)自多方面的威脅，企業(yè)信息泄漏問(wèn)責(zé)成為一種常態(tài)?；诖耍畔踩芾眢w系建設(shè)一方面可以切實(shí)提高公司的安全屬性，組織核心業(yè)務(wù)所賴以持續(xù)的各項(xiàng)信息資產(chǎn)都得到了妥善保護(hù)，并且建立有效業(yè)務(wù)的持續(xù)性計(jì)劃性的框架。另一方面也可以避免一些網(wǎng)絡(luò)全責(zé)的糾紛如隱私糾紛、作弊嫌疑、信息泄露等等。

從Mobvista一路的數(shù)據(jù)信息安全布局中，我們可以發(fā)現(xiàn)移動(dòng)廣告平臺(tái)企業(yè)可以通過(guò)三個(gè)層面進(jìn)行適用于互聯(lián)網(wǎng)企業(yè)自身的數(shù)據(jù)信息安全部署。

具體來(lái)講，第一步應(yīng)盡早地關(guān)注到全球互聯(lián)網(wǎng)行業(yè)的數(shù)據(jù)安全發(fā)展態(tài)勢(shì)，了解相關(guān)法律法規(guī)，初步形成保護(hù)數(shù)據(jù)安全的意識(shí)，尋找合適的方法來(lái)進(jìn)行數(shù)據(jù)安全和隱私保護(hù)規(guī)范；第二步主動(dòng)委托第三方獨(dú)立機(jī)構(gòu)進(jìn)行審計(jì)與監(jiān)督，根據(jù)即時(shí)變化的法規(guī)要求，不斷調(diào)整和優(yōu)化公司的內(nèi)控結(jié)構(gòu)，來(lái)保障公司內(nèi)部的數(shù)據(jù)安全；第三步則需要搭建一套企業(yè)內(nèi)部的信息安全管理體系，從信息安全方針、政策的制定，到信息安全工作的落實(shí)執(zhí)行，使全公司至上而下建立起良好的信息安全意識(shí)。

尤其是在互聯(lián)網(wǎng)信息安全面臨著多方面的威脅、全球越來(lái)越多數(shù)據(jù)隱私保護(hù)法規(guī)的實(shí)施背景下，企業(yè)要提早做好信息安全部署、主動(dòng)提升內(nèi)控，打造真正的數(shù)據(jù)安全“護(hù)城河”，才能不斷提升企業(yè)在行業(yè)中的可信任度，以獲得長(zhǎng)期良好的發(fā)展。

責(zé)任編輯：gt