随着移动互联网的发展与技术的革新,个人信息数据也呈现海量增长,随之而来的数据安全和隐私保护问题也越发凸显。
InfoWatch发布的2019年数据泄露报告称,与去年同期相比,全球企业机密数据泄露量增加了近28%,仅在2019年第二季度,就有2.16亿用户数据被泄露。同时,诸如Facebook、Google等大型互联网公司在过去几年内也因数据隐私问题频繁遭到各国政府的调查或起诉。可见,数据泄露和隐私保护问题已成为全球最常见的网络安全事件之一,并给企业带来严重的舆论和信任危机。
而市场规模庞大的移动广告行业与数据有着千丝万缕的关系,海量的用户数据对于移动广告平台实现精准个性化营销具有重要价值。然而作为连接着众多广告主与流量主的中间站,由于处在蜘蛛网的核心,移动广告平台的数据安全和用户隐私保护问题就显得非常敏感,往往会牵一发而动全身。因为移动广告平台的数据不单单属于自己,还关乎与之相关的各大互联网公司及其数量庞大的移动用户。因此,保证数据的绝对安全成为了移动广告平台的重中之重和立身之本。
那么在这种情况下,移动广告平台以及行业内的相关企业应该怎样做,才能提前化、量化解决自己已经遇到的或者将要遇到的数据安全和用户隐私保护问题?基于这样的疑问记者采访了汇量科技Mobvista的首席财务官宋笑飞先生,了解Mobvista对数据安全和用户隐私保护的战略布局,同时展望移动广告行业的数据安全与合规的发展方向。
前瞻行业,紧跟新规
宋笑飞在采访中表示,长期以来,Mobvista对行业内数据安全已经存在的问题以及从业者未来可能对数据安全提出的要求进行了不间断的了解和意见收集,同时对于海外不断更新的与数据安全相关的法律法规进行跟进。
早在2017年前后,他们就观察到在移动互联网行业中,大家对于数据安全和隐私保护的关注度已经处于不断的提升中。例如,Facebook频繁性地被国会问询有关侵犯用户隐私的问题,谷歌的安卓系统也在被很多人质疑它的数据安全性,包括很多非常著名的公司以及很多做得很成功的公司,常会被立法机构、公众媒体询问是否获取了用户的隐私。
这让Mobvista很快就意识到,数据安全和用户隐私保护对于一个互联网公司的长远发展的重要性。并且,他们开始关注和跟进国外的数据安全法规、聘请律师进行风险评估,以及与大公司交流做法。
宋笑飞表示:“早前我们对美国的GDPR《通用数据保护条例》、CCPA《加州消费者隐私法案》以及COPPA《儿童在线隐私保护法案》都有关注。并且,我们常年有在欧美国家聘用相关的律师,向他们了解最新有关数据安全的立法,并让他们帮助评估公司在合同签订、日常工作、以及数据处理中存在的数据安全风险。”
另外值得一提的是,Mobvista在国内也一直进行着一些行业性的尝试。今年5月14日Mobvista针对移动广告作弊问题,发布了《移动广告反作弊白皮书2.0》,详细阐述了当前移动广告作弊情况、作弊方式及反作弊策略,目的是为了增强移动广告行业的透明度并推动行业的规范化发展。
利用第三方审计,提高可信任度
在足够了解行业需要怎样的数据安全和隐私保护之后,Mobvista开始了更为主动和实际的行动——利用第三方独立机构的审计与监督,保证平台内部各个环节的数据合规性与安全性,来进一步提高Mobvista在行业内的可信任度。
今年8月26日,Mobvista委托国际四大会计师事务所之一对其进行SOC2审计,并获得SOC2 Type1的鉴证报告。
SOC是由美国注册会计师协会(AICPA)制定的一个服务性组织控制框架,包含SOC1、 SOC2 、SOC3三种形式。其中SOC2是专门针对数据安全和隐私保护的鉴证标准,根据审计产品周期的长短可分为Type1和Type2。据悉,这是全球目前公认权威性、专业性都较高的数据安全审计报告,能相对客观的反映被审计企业的数据安全情况。
据宋笑飞介绍,此次SOC2审计针对Mobvista头部媒体投放解决方案、程序化广告解决方案、全网流量聚合营销方案、SpotMax中台体系和移动分析解决方案等服务的安全性、可用性、过程完整性、保密性和隐私性相关控制的设计适当性和执行有效性进行了评估。
另外,在SOC2鉴证过程中,Mobvista同时根据第三方审计机构的要求和意见,对内部进行了全面的改善和提升。例如,规范制度以进一步明确职能边界和权责的分工,通过组织培训优化内控并建立留痕过程,加强权限管理,以及着手建立健全的信息安全管理体系,来实现对数据的规范化管理。
宋笑飞在采访中分享到:“国际四大会计师事务所之前做的SOC鉴证服务主要面向大型的企业、跨国公司,比如说银行、保险公司、大型互联网公司、服务器供应商等,少有广告行业公司的相关经验。所以,对于Mobvista的评估,他们反而花了很长的时间。对于公司来讲,我们肯定是没经验的,但同样对于鉴证人员来讲,他们之前也没有做过类似企业的审计,对我们公司的内控不是很了解,所以这个过程花费了比较多的精力。”
另外宋笑飞还透露,其实早在去年10月份的时候,他就与审计师、潜在的合作伙伴谈了关于SOC2签订的有关事宜,但直到今年4月才签订了业务预定书。历经4个月,Mobvista直到今年的8月26日才拿到SOC2的鉴证报告,其过程可谓漫长而艰辛。
既然SOC2鉴证需要耗费如此之大的精力,需要各方配合才能完成,而且移动广告行业内还鲜有企业去做这件事,Mobvista为什么会有这个想法并且愿意花费大成本去做SOC2鉴证?
宋笑飞透露:“我们是在与大型金融公司的交流中了解到SOC2的,虽然现在行业确实没有要求我们这样的企业去做这个报告,但随着数据安全和隐私保护受到越来越多的关注,投入精力和资源来提升公司的内控是非常有必要的。虽然这不是一个短期内可以马上见效的事情,但从长远的角度来看,作为一个全球化的公司,不仅要在业务规模上领先,对全球公认的标准的遵守、并以更严格的标准来要求自己做到在数据合规上的领先也非常重要。同时,我们希望通过做这件事情来慢慢影响行业内的参与者,起到一个引领的作用,推动整个行业生态的发展。”