正文
某科技安全专家沈勇:
滴滴事件为安全相关法律的严肃性、影响力树立了样板,让企业真正重视起来。
对产业特别是大中型企业推动巨大。
个保法的执法检查力度很大,让大中小企业都重视隐私保护,数据安全。另外,教育和提升了全社会消费者的安全和隐私保护意识,影响深远。
汽车行业对于用户数据收集非常积极,但安全意识和保护工作还需跟上。通过消费者和社会舆论的监督,执法机关的跟进,为汽车这个支柱性行业进行数字化改造和安全提升,吹响了号角。
上海电信安全专家黄少琪:
7月2日晚,中国网信网发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》。这成为中国网络安全审查第一案,至今滴滴仍未上架,滴滴宣布美国退市,回香港重新上市,这是网络安全与投资圈的重要交叉。
今年以来工信部对APP超范围、高频次索取权限,非服务场景所必需收集用户个人信息,欺骗误导用户下载等违规行为进行检查,共有106款APP因未按照要求进行整改而被下架,三次回头看之后,仍有多个APP不整改。未来APP合规将成为互联网企业逃不开的必修课。
某金融科技安全专家蔚晨:
工信部已组织APP检测21批次共244万款APP,累计通报2049款违规APP,下架540款拒不整改的APP,应用商店已主动下架40余万款违规APP。
某金融科技安全专家郑太海:
“滴滴”事件,各类中概股回潮,都源于国家对于数据出境的重视,《数据出境安全评估办法(征求意见稿)》的出台,也是国家对数据出境问题重视度的体现。
万向区块链首席安全官蔡俊磊:
从《网安法》到《个保法》,企业在个人信息保护、网络安全和数据安全方面的合法合规义务持续增加,对企业后续在信息安全方面的工作将产生实质性影响。
某外资法务合规经理张殿勇:
在目前的规则体系下,企业在既有的业务场景下,要付出较高的合规成本,可能导致很多企业尤其是中小微企业的发展困境,也会是各行业发展要注意的一个经营难点。
光大证券安全主管胡广跃:
2021年,工信部、网信办、各地通管局在APP侵权方面多次开展整治行动,发现多款产品存在违规问题,并进行了通报、下架。
云丁科技安全总监向阳:
伴随着《数据安全法》及《个人信息保护法》的正式出台生效,国家在数据安全及合规使用进行了进一步的细化要求。从法律要求中可以看出,对于数据的管理需要保证安全,同时要保护数据所有者的权益,对数据的使用满足法律规定的要求。从各部委发布的相应APP监管要求中可以看出,相应的处罚主要是由于在数据的合规获取及管理方面存在不合规的设计。以滴滴应用被数据安全审查作为标志事件,及相应细化的数安法、个保法的出台,可以预见,国家对于数据合规管理会更细化的要求及更多的安全合规检查。
九方智投产品技术负责人张福明:
6月30日,滴滴在美低调上市,2021年7月2日,网信中国发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》。对“滴滴出行”实施网络安全审查,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题,25款滴滴APP下架。受该事件影响,滴滴三季度净亏306亿,并于2021年12月3日官宣在纽交所退市。
滴滴出行被下架后,BOSS直聘、运满满、货车帮等也被网络安全审查,滴滴事件成为了彻底整顿互联网行业的一个契机,国家于9月1号颁布实施了名为《网络产品安全漏洞管理规定》的新规,规范互联网企业的相关产品。
随着人脸识别技术在相关行业和人们社会生活中的深度应用,随意收集、违法获取、过度使用、非法买卖人脸识别数据问题十分突出,利用人脸识别数据侵扰个人生活安宁、危害个人生命健康和财产安全等安全事件层出不穷,引发了社会对于人脸识别数据安全的持续担忧。上海小鹏汽车销售服务有限公司被徐汇区市场监督管理局罚款10万元,之后《人脸识别数据安全标准化研究报告(2021版)》出台,将推动人脸识别数据安全标准化工作进一步深入,促进各方形成安全共识。
上海电信安全专家黄少琪:
《个人信息保护法》标志着两法一条例全部颁布执行,这是《网络安全法》之后,安全行业的又一次重新出发,数字化转型的大背景下,网络中的数据将成为最需要守护的资产。
越秀集团信息安全专家蔡培特:
随着《个人信息保护法》、《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规的颁布,体现出监管层面对全面加强个人信息保护,防范企业非法、过度收集个人信息的重视,个人信息保护也成为各个企业的重要合规工作。
某金融科技安全专家郑太海:
从年头到年尾,网信办、工信部、通管局等监管部门一直持续在对非法非正当获取用户隐私信息的APP进行通报,而且力度越来越大,大大改善了APP隐私数据收集的行业状况。今年的315晚会也成了个人隐私保护专场。
万向区块链首席安全官蔡俊磊:
随着《个保法》和《数安法》的生效,企业在个人信息和隐私保护方面的合规需求陡增,而如何通过技术解决方案来实现全流程的隐私保护,是未来几年安全市场中可以特别关注的方向,国外的OneTrust等安全厂商已通过几年的发展估值到了相当高的规模,都是国内安全厂商可以参考的商业发展模式。
安信证券安全总监李维春:
《个保法》姗姗来迟却迅猛落地,它对国内个人信息保护的影响将是深远的。律师、安全人士、IT人员、咨询专家纷纷出马解读、交流、探讨、考证,稍微懂行的安全人士纷纷开始出手维护自己的个人信息保护权利。但它的靴子怎么落地却是万众期待的。
七牛云网络安全负责人朱士贺:
《个保法》于11月1日正式施行,企业违规收集用户数据和设备权限,现在隐私政策整改不到位,app就下架。
诸子云上海会长赵锐:
为了让大家下载国家反诈中心APP,最近一年各地公安用尽各种方式进行推广。例如:上海、深圳下载摸狗(警犬),多地下载帮老人干活。电信网络诈骗犯罪活动已经成为当前发案最高、损失最大、群众反映最强烈的突出犯罪,《反电信网络诈骗法》提请审议,有望于2022年颁布。
适应信息技术迅猛发展的需要,制定个人信息保护法,筑牢法治“防火墙”,最大程度保护个人信息权益。应对境外长臂管辖。
九方智投产品技术负责人张福明:
非法买卖公民个人信息已形成产业化,公民信息被滥用问题日趋严重,2021年11月1日,《中华人民共和国个人信息保护法》正式施行,在法律方面规范了公民个人信息的使用原则,滥用公民信息应当承担的法律责任,使得非法违规行为的处理有法可依。
某电商公司安全管理杨文斌:
严重级别被堪称核弹级,应用范围的普遍性及可利用的难度都将漏洞推向了风口浪尖,以及衍生出了更多的安全管控问题,也进一步推动研发人员重点关注开源软件安全性。
某金融科技公司安全主管陈勤伟:
一周内连续爆两个高危漏洞,涉及应用范围很广,乙方忙着排期打补丁,甲方着急忙慌只能天天催,对甲方的补丁管理流程和事件响应都是一次很好的测试。
上海电信安全专家黄少琪:
安全厂商的反应质检器,长尾效应十足,顺便科普了《网络产品安全漏洞管理规定》。
某金融科技安全专家郑太海:
该漏洞影响之大,可以跟10年前Struts2的心脏滴血漏洞相媲美,对整个安全生态的推动也起到了不小的作用。
七牛云网络安全负责人朱士贺:
基于Java语言的开源日志框架,被广泛用于业务系统开发。12月10日爆出Log4j2组件中存在远程代码执行漏洞,影响程度在互联网属于‘核弹级’,包含了全球各行各业的各个领域。
光大证券安全主管胡广跃:
该类开源组件,被全世界企业和组织广泛应用于各种业务系统开发,一旦出现严重漏洞,影响极其庞大。
诸子云上海会长赵锐:
该漏洞影响广泛,风险极高。从大家知道这个漏洞到现在已经经过了相当长的一段时间,期间官方出过多个补丁,但总有新问题,有点像不断变异的新冠。
诸子云南京会长宋士明:
阿里云安全研究员发现log4j2漏洞通告未遵守国家《网络产品安全漏洞管理规定》的问题,给国内的安全企业和安全研究人员的漏洞和威胁通告敲响了警钟,安全技术无国界,但安全人员有国界。
云丁科技安全总监向阳:
从监管机构出台关于漏洞管理的要求,指出了对于漏洞发现、报告、修补和发布等行为的合规要求,规范化了漏洞管理的合规性。但在行业内也出现不同的意见,认为漏洞管理办法会限定安全技术相应的发展。以阿里云关于在Log4j漏洞报送事件中受相应的处罚,可以看出,监管机构在于漏洞管理中要求合规及合法,违法行为的处罚力度。这个事件可以看做为标志性事件,为以后做参考。同时在一定程度上也会影响对于漏洞发布的及时有效处理,对安全技术的发展存在一定的限制。
中银证券安全主管蒋琼:
log4j漏洞管理。类似log4j2 rce漏洞涉及多个组件版本,对于整个生态完成漏洞修复需要耗费大量时间。对于这种利用门槛较低的远程代码执行漏洞,余威更甚。迫使企业加强安全防护上的投入,这里的防护不仅是安全防护软件,还有的是企业安全开发的投入。更要加强对于供应链的代码安全检测,以及开源产品的使用管理。
某电商公司安全管理杨文斌:
开源是个技术共享的概念,技术本身的不稳定性和可利用,导致开源用户在技术借鉴时也引入了风险,供应链安全的问题引发大量思考。
某金融科技安全专家蔚晨:
中国人民银行、中央网信办等五部门为规范金融机构合理应用开源技术,提高应用水平和自主可控能力,促进开源技术健康可持续发展提出若干《关于规范金融业开源技术应用与发展的意见》。
越秀集团信息安全专家蔡培特:
国内某银行系统源代码泄漏、美国政府机构SolarWinds事件将供应链安全推上了风口浪尖,如何保障供应链安全给各个企业带来了挑战。
万向区块链首席安全官蔡俊磊:
从疫情导致的供应链短缺问题,到频频爆出的开源软件安全漏洞,企业在仅仅做好自身安全防护的情况下已经无法全面抵御安全风险,对于供应链的安全风险管理或许将成为未来几年安全团队需要重点关注的领域。
安信证券安全总监李维春:
SloarWind,HW期间小鱼互联被利用、突破靶标系统,Log4J漏洞的广泛存在,供应链安全已经引起了广泛的关注。但是怎么做,怎么做好,却是难上加难。
云丁科技安全总监向阳:
开源软件在使用上成本较低、但在出现安全风险时,可能没有成熟的应急影响应对机制及升级更新方案,企业会面临较大安全风险。相对比大多数商业软件,能提供完善的服务支撑及问题升级更新方案,降低企业的安全风险。在之后的软件开发中,组件的引入,会更多的考虑对供应链安全的审查及软件安全能力修复的保障。
诸子云南京会长宋士明:
近年来,软件供应链安全事件频发,对于用户个人隐私、财产安全乃至国家安全造成重大威胁。软件已成为当今社会运转组件,软件供应链安全将直接关系着关键基础设施和重要信息系统安全,保障软件供应链安全现已成为业界关注焦点,也是企业共同的诉求。
