那么在這種情況下,移動(dòng)廣告平臺以及行業(yè)內(nèi)的相關(guān)企業(yè)應(yīng)該怎樣做,才能提前化���、量化解決自己已經(jīng)遇到的或者將要遇到的數(shù)據(jù)安全和用戶隱私保護(hù)問題?基于這樣的疑問記者采訪了匯量科技Mobvista的首席財(cái)務(wù)官宋笑飛先生,了解Mobvista對數(shù)據(jù)安全和用戶隱私保護(hù)的戰(zhàn)略布局,同時(shí)展望移動(dòng)廣告行業(yè)的數(shù)據(jù)安全與合規(guī)的發(fā)展方向。
前瞻行業(yè),緊跟新規(guī)
宋笑飛在采訪中表示,長期以來,Mobvista對行業(yè)內(nèi)數(shù)據(jù)安全已經(jīng)存在的問題以及從業(yè)者未來可能對數(shù)據(jù)安全提出的要求進(jìn)行了不間斷的了解和意見收集,同時(shí)對于海外不斷更新的與數(shù)據(jù)安全相關(guān)的法律法規(guī)進(jìn)行跟進(jìn)。
早在2017年前后,他們就觀察到在移動(dòng)互聯(lián)網(wǎng)行業(yè)中,大家對于數(shù)據(jù)安全和隱私保護(hù)的關(guān)注度已經(jīng)處于不斷的提升中��。例如,Facebook頻繁性地被國會(huì)問詢有關(guān)侵犯用戶隱私的問題,谷歌的安卓系統(tǒng)也在被很多人質(zhì)疑它的數(shù)據(jù)安全性,包括很多非常著名的公司以及很多做得很成功的公司,常會(huì)被立法機(jī)構(gòu)����、公眾媒體詢問是否獲取了用戶的隱私。
這讓Mobvista很快就意識到,數(shù)據(jù)安全和用戶隱私保護(hù)對于一個(gè)互聯(lián)網(wǎng)公司的長遠(yuǎn)發(fā)展的重要性�。并且,他們開始關(guān)注和跟進(jìn)國外的數(shù)據(jù)安全法規(guī)、聘請律師進(jìn)行風(fēng)險(xiǎn)評估,以及與大公司交流做法���。
宋笑飛表示:“早前我們對美國的GDPR《通用數(shù)據(jù)保護(hù)條例》�����、CCPA《加州消費(fèi)者隱私法案》以及COPPA《兒童在線隱私保護(hù)法案》都有關(guān)注���。并且,我們常年有在歐美國家聘用相關(guān)的律師,向他們了解最新有關(guān)數(shù)據(jù)安全的立法,并讓他們幫助評估公司在合同簽訂��、日常工作��、以及數(shù)據(jù)處理中存在的數(shù)據(jù)安全風(fēng)險(xiǎn)��?!?/p>
另外值得一提的是,Mobvista在國內(nèi)也一直進(jìn)行著一些行業(yè)性的嘗試。今年5月14日Mobvista針對移動(dòng)廣告作弊問題,發(fā)布了《移動(dòng)廣告反作弊白皮書2.0》,詳細(xì)闡述了當(dāng)前移動(dòng)廣告作弊情況、作弊方式及反作弊策略,目的是為了增強(qiáng)移動(dòng)廣告行業(yè)的透明度并推動(dòng)行業(yè)的規(guī)范化發(fā)展��。
利用第三方審計(jì),提高可信任度
在足夠了解行業(yè)需要怎樣的數(shù)據(jù)安全和隱私保護(hù)之后,Mobvista開始了更為主動(dòng)和實(shí)際的行動(dòng)——利用第三方獨(dú)立機(jī)構(gòu)的審計(jì)與監(jiān)督,保證平臺內(nèi)部各個(gè)環(huán)節(jié)的數(shù)據(jù)合規(guī)性與安全性,來進(jìn)一步提高M(jìn)obvista在行業(yè)內(nèi)的可信任度����。
今年8月26日,Mobvista委托國際四大會(huì)計(jì)師事務(wù)所之一對其進(jìn)行SOC2審計(jì),并獲得SOC2 Type1的鑒證報(bào)告。
SOC是由美國注冊會(huì)計(jì)師協(xié)會(huì)(AICPA)制定的一個(gè)服務(wù)性組織控制框架,包含SOC1�����、 SOC2 �、SOC3三種形式。其中SOC2是專門針對數(shù)據(jù)安全和隱私保護(hù)的鑒證標(biāo)準(zhǔn),根據(jù)審計(jì)產(chǎn)品周期的長短可分為Type1和Type2�。據(jù)悉,這是全球目前公認(rèn)權(quán)威性、專業(yè)性都較高的數(shù)據(jù)安全審計(jì)報(bào)告,能相對客觀的反映被審計(jì)企業(yè)的數(shù)據(jù)安全情況��。
據(jù)宋笑飛介紹,此次SOC2審計(jì)針對Mobvista頭部媒體投放解決方案�����、程序化廣告解決方案����、全網(wǎng)流量聚合營銷方案、SpotMax中臺體系和移動(dòng)分析解決方案等服務(wù)的安全性��、可用性、過程完整性����、保密性和隱私性相關(guān)控制的設(shè)計(jì)適當(dāng)性和執(zhí)行有效性進(jìn)行了評估。
另外,在SOC2鑒證過程中,Mobvista同時(shí)根據(jù)第三方審計(jì)機(jī)構(gòu)的要求和意見,對內(nèi)部進(jìn)行了全面的改善和提升��。例如,規(guī)范制度以進(jìn)一步明確職能邊界和權(quán)責(zé)的分工,通過組織培訓(xùn)優(yōu)化內(nèi)控并建立留痕過程,加強(qiáng)權(quán)限管理,以及著手建立健全的信息安全管理體系,來實(shí)現(xiàn)對數(shù)據(jù)的規(guī)范化管理���。
宋笑飛在采訪中分享到:“國際四大會(huì)計(jì)師事務(wù)所之前做的SOC鑒證服務(wù)主要面向大型的企業(yè)���、跨國公司,比如說銀行、保險(xiǎn)公司���、大型互聯(lián)網(wǎng)公司�、服務(wù)器供應(yīng)商等,少有廣告行業(yè)公司的相關(guān)經(jīng)驗(yàn)���。所以,對于Mobvista的評估,他們反而花了很長的時(shí)間����。對于公司來講,我們肯定是沒經(jīng)驗(yàn)的,但同樣對于鑒證人員來講,他們之前也沒有做過類似企業(yè)的審計(jì),對我們公司的內(nèi)控不是很了解,所以這個(gè)過程花費(fèi)了比較多的精力�����?���!?/p>
另外宋笑飛還透露,其實(shí)早在去年10月份的時(shí)候,他就與審計(jì)師、潛在的合作伙伴談了關(guān)于SOC2簽訂的有關(guān)事宜,但直到今年4月才簽訂了業(yè)務(wù)預(yù)定書���。歷經(jīng)4個(gè)月,Mobvista直到今年的8月26日才拿到SOC2的鑒證報(bào)告,其過程可謂漫長而艱辛����。
既然SOC2鑒證需要耗費(fèi)如此之大的精力,需要各方配合才能完成,而且移動(dòng)廣告行業(yè)內(nèi)還鮮有企業(yè)去做這件事,Mobvista為什么會(huì)有這個(gè)想法并且愿意花費(fèi)大成本去做SOC2鑒證?
宋笑飛透露:“我們是在與大型金融公司的交流中了解到SOC2的,雖然現(xiàn)在行業(yè)確實(shí)沒有要求我們這樣的企業(yè)去做這個(gè)報(bào)告,但隨著數(shù)據(jù)安全和隱私保護(hù)受到越來越多的關(guān)注,投入精力和資源來提升公司的內(nèi)控是非常有必要的��。雖然這不是一個(gè)短期內(nèi)可以馬上見效的事情,但從長遠(yuǎn)的角度來看,作為一個(gè)全球化的公司,不僅要在業(yè)務(wù)規(guī)模上領(lǐng)先,對全球公認(rèn)的標(biāo)準(zhǔn)的遵守����、并以更嚴(yán)格的標(biāo)準(zhǔn)來要求自己做到在數(shù)據(jù)合規(guī)上的領(lǐng)先也非常重要。同時(shí),我們希望通過做這件事情來慢慢影響行業(yè)內(nèi)的參與者,起到一個(gè)引領(lǐng)的作用,推動(dòng)整個(gè)行業(yè)生態(tài)的發(fā)展�。”
綜合來看,Mobvista通過第三方機(jī)構(gòu)的審計(jì)與監(jiān)督,優(yōu)化組織內(nèi)控結(jié)構(gòu),從而加強(qiáng)公司數(shù)據(jù)的安全性,以達(dá)到確保合作商的數(shù)據(jù)安全以及保障用戶個(gè)人的隱私安全的最終目的��。值得注意的是,Mobvista是行業(yè)內(nèi)第一個(gè)獲得該鑒證的移動(dòng)廣告公司���。另外,宋笑飛還表示,由于SOC2 Type1報(bào)告具有一定的時(shí)效性,Mobvista已經(jīng)將SOC2 Type2列入工作計(jì)劃,未來也將會(huì)每年進(jìn)行一次鑒證,持續(xù)地按照SOC2的要求進(jìn)行內(nèi)控的提升,以保證公司一直處于數(shù)據(jù)安全狀態(tài)�����。
主動(dòng)構(gòu)建內(nèi)部信息安全管理體系
長期以來對數(shù)據(jù)安全的關(guān)注和重視,了解相關(guān)的法規(guī)政策,過程中委托第三方機(jī)構(gòu)進(jìn)行審計(jì)和監(jiān)督,從而進(jìn)行企業(yè)內(nèi)部優(yōu)化,但這對于完整的數(shù)據(jù)信息安全部署還不夠�。要想真正實(shí)現(xiàn)數(shù)據(jù)安全保障,還需要移動(dòng)廣告平臺從內(nèi)部構(gòu)建自己的信息安全管理體系。
信息安全管理體系是由英文Information Security Management System而來,是指規(guī)范企業(yè)的信息安全管理,通過安全體系構(gòu)建提升組織內(nèi)部安全意識,加強(qiáng)對信息資產(chǎn)的保護(hù),避免信息安全帶來的法律合規(guī)風(fēng)險(xiǎn),支持企業(yè)的安全發(fā)展��。ISMS是1998年前后從英國發(fā)展起來的一個(gè)信息安全領(lǐng)域的新概念,是管理體系的思想和方法,應(yīng)用于信息安全領(lǐng)域�����。
為了從內(nèi)部加強(qiáng)數(shù)據(jù)安全保障,Mobvista進(jìn)行了信息安全管理體系建設(shè)(ISMS),目前該體系建設(shè)已經(jīng)完成了內(nèi)部的審查,準(zhǔn)備進(jìn)入審核階段�����。在公司最終符合審查構(gòu)建標(biāo)準(zhǔn),滿足條件之后將會(huì)獲得ISO認(rèn)證,該認(rèn)證將會(huì)為企業(yè)提供誠信資本,同時(shí)這也是對企業(yè)業(yè)務(wù)運(yùn)營方式和具備持續(xù)改進(jìn)能力的有力證明����。
該體系的核心建設(shè)還是在企業(yè)的安全管理領(lǐng)域,從宏觀組織架構(gòu)的搭建、規(guī)則的的生成,再落實(shí)到各個(gè)業(yè)務(wù)層面的實(shí)施中,緊接著是人員架構(gòu)的不間斷評審和規(guī)范,最后則是系統(tǒng)運(yùn)行過后的調(diào)優(yōu)和改進(jìn)����。
未來在行業(yè)內(nèi)將會(huì)有越來越多的互聯(lián)網(wǎng)企業(yè)進(jìn)行信息安全體系建設(shè)。因?yàn)榛ヂ?lián)網(wǎng)信息安全面臨著來自多方面的威脅,企業(yè)信息泄漏問責(zé)成為一種常態(tài)�。基于此,信息安全管理體系建設(shè)一方面可以切實(shí)提高公司的安全屬性,組織核心業(yè)務(wù)所賴以持續(xù)的各項(xiàng)信息資產(chǎn)都得到了妥善保護(hù),并且建立有效業(yè)務(wù)的持續(xù)性計(jì)劃性的框架�����。另一方面也可以避免一些網(wǎng)絡(luò)全責(zé)的糾紛如隱私糾紛�����、作弊嫌疑�����、信息泄露等等����。
從Mobvista一路的數(shù)據(jù)信息安全布局中,我們可以發(fā)現(xiàn)移動(dòng)廣告平臺企業(yè)可以通過三個(gè)層面進(jìn)行適用于互聯(lián)網(wǎng)企業(yè)自身的數(shù)據(jù)信息安全部署。
具體來講,第一步應(yīng)盡早地關(guān)注到全球互聯(lián)網(wǎng)行業(yè)的數(shù)據(jù)安全發(fā)展態(tài)勢,了解相關(guān)法律法規(guī),初步形成保護(hù)數(shù)據(jù)安全的意識,尋找合適的方法來進(jìn)行數(shù)據(jù)安全和隱私保護(hù)規(guī)范;第二步主動(dòng)委托第三方獨(dú)立機(jī)構(gòu)進(jìn)行審計(jì)與監(jiān)督,根據(jù)即時(shí)變化的法規(guī)要求,不斷調(diào)整和優(yōu)化公司的內(nèi)控結(jié)構(gòu),來保障公司內(nèi)部的數(shù)據(jù)安全;第三步則需要搭建一套企業(yè)內(nèi)部的信息安全管理體系,從信息安全方針���、政策的制定,到信息安全工作的落實(shí)執(zhí)行使,全公司至上而下建立起良好的信息安全意識�。
尤其是在互聯(lián)網(wǎng)信息安全面臨著多方面的威脅�、全球越來越多數(shù)據(jù)隱私保護(hù)法規(guī)的實(shí)施背景下,企業(yè)要提早做好信息安全部署、主動(dòng)提升內(nèi)控,打造真正的數(shù)據(jù)安全“護(hù)城河”,才能不斷提升企業(yè)在行業(yè)中的可信任度,以獲得長期良好的發(fā)展����。
