企业主动构建内部信息安全管理体系，提高数据安全和隐私保护能力

随着移动互联网的发展与技术的革新，个人信息数据也呈现海量增长，随之而来的数据安全和隐私保护问题也越发凸显。

InfoWatch发布的2019年数据泄露报告称，与去年同期相比，全球企业机密数据泄露量增加了近28%，仅在2019年第二季度，就有2.16亿用户数据被泄露。同时，诸如Facebook、Google等大型互联网公司在过去几年内也因数据隐私问题频繁遭到各国政府的调查或起诉。可见，数据泄露和隐私保护问题已成为全球最常见的网络安全事件之一，并给企业带来严重的舆论和信任危机。

而市场规模庞大的移动广告行业与数据有着千丝万缕的关系，海量的用户数据对于移动广告平台实现精准个性化营销具有重要价值。然而作为连接着众多广告主与流量主的中间站，由于处在蜘蛛网的核心，移动广告平台的数据安全和用户隐私保护问题就显得非常敏感，往往会牵一发而动全身。因为移动广告平台的数据不单单属于自己，还关乎与之相关的各大互联网公司及其数量庞大的移动用户。因此，保证数据的绝对安全成为了移动广告平台的重中之重和立身之本。

那么在这种情况下，移动广告平台以及行业内的相关企业应该怎样做，才能提前化、量化解决自己已经遇到的或者将要遇到的数据安全和用户隐私保护问题？基于这样的疑问采访了汇量科技Mobvista的首席财务官宋笑飞先生，了解Mobvista对数据安全和用户隐私保护的战略布局，同时展望移动广告行业的数据安全与合规的发展方向。

前瞻行业，紧跟新规

宋笑飞在采访中表示，长期以来，Mobvista对行业内数据安全已经存在的问题以及从业者未来可能对数据安全提出的要求进行了不间断的了解和意见收集，同时对于海外不断更新的与数据安全相关的法律法规进行跟进。

早在2017年前后，他们就观察到在移动互联网行业中，大家对于数据安全和隐私保护的关注度已经处于不断的提升中。例如，Facebook频繁性地被国会问询有关侵犯用户隐私的问题，谷歌的安卓系统也在被很多人质疑它的数据安全性，包括很多非常著名的公司以及很多做得很成功的公司，常会被立法机构、公众媒体询问是否获取了用户的隐私。

这让Mobvista很快就意识到，数据安全和用户隐私保护对于一个互联网公司的长远发展的重要性。并且，他们开始关注和跟进国外的数据安全法规、聘请律师进行风险评估，以及与大公司交流做法。

宋笑飞表示：“早前我们对美国的GDPR《通用数据保护条例》、CCPA《加州消费者隐私法案》以及COPPA《儿童在线隐私保护法案》都有关注。并且，我们常年有在欧美国家聘用相关的律师，向他们了解最新有关数据安全的立法，并让他们帮助评估公司在合同签订、日常工作、以及数据处理中存在的数据安全风险。”

另外值得一提的是，Mobvista在国内也一直进行着一些行业性的尝试。今年5月14日Mobvista针对移动广告作弊问题，发布了《移动广告反作弊白皮书2.0》，详细阐述了当前移动广告作弊情况、作弊方式及反作弊策略，目的是为了增强移动广告行业的透明度并推动行业的规范化发展。

利用第三方审计，提高可信任度

在足够了解行业需要怎样的数据安全和隐私保护之后，Mobvista开始了更为主动和实际的行动——利用第三方独立机构的审计与监督，保证平台内部各个环节的数据合规性与安全性，来进一步提高Mobvista在行业内的可信任度。

今年8月26日，Mobvista委托国际四大会计师事务所之一对其进行SOC2审计，并获得SOC2 Type1的鉴证报告。

SOC是由美国注册会计师协会（AICPA）制定的一个服务性组织控制框架，包含SOC1、 SOC2 、SOC3三种形式。其中SOC2是专门针对数据安全和隐私保护的鉴证标准，根据审计产品周期的长短可分为Type1和Type2。据悉，这是全球目前公认权威性、专业性都较高的数据安全审计报告，能相对客观的反映被审计企业的数据安全情况。

据宋笑飞介绍，此次SOC2审计针对Mobvista头部媒体投放解决方案、程序化广告解决方案、全网流量聚合营销方案、SpotMax中台体系和移动分析解决方案等服务的安全性、可用性、过程完整性、保密性和隐私性相关控制的设计适当性和执行有效性进行了评估。

另外，在SOC2鉴证过程中，Mobvista同时根据第三方审计机构的要求和意见，对内部进行了全面的改善和提升。例如，规范制度以进一步明确职能边界和权责的分工，通过组织培训优化内控并建立留痕过程，加强权限管理，以及着手建立健全的信息安全管理体系，来实现对数据的规范化管理。

宋笑飞在采访中分享到：“国际四大会计师事务所之前做的SOC鉴证服务主要面向大型的企业、跨国公司，比如说银行、保险公司、大型互联网公司、服务器供应商等，少有广告行业公司的相关经验。所以，对于Mobvista的评估，他们反而花了很长的时间。对于公司来讲，我们肯定是没经验的，但同样对于鉴证人员来讲，他们之前也没有做过类似企业的审计，对我们公司的内控不是很了解，所以这个过程花费了比较多的精力。”

另外宋笑飞还透露，其实早在去年10月份的时候，他就与审计师、潜在的合作伙伴谈了关于SOC2签订的有关事宜，但直到今年4月才签订了业务预定书。历经4个月，Mobvista直到今年的8月26日才拿到SOC2的鉴证报告，其过程可谓漫长而艰辛。

既然SOC2鉴证需要耗费如此之大的精力，需要各方配合才能完成，而且移动广告行业内还鲜有企业去做这件事，Mobvista为什么会有这个想法并且愿意花费大成本去做SOC2鉴证？

宋笑飞透露：“我们是在与大型金融公司的交流中了解到SOC2的，虽然现在行业确实没有要求我们这样的企业去做这个报告，但随着数据安全和隐私保护受到越来越多的关注，投入精力和资源来提升公司的内控是非常有必要的。虽然这不是一个短期内可以马上见效的事情，但从长远的角度来看，作为一个全球化的公司，不仅要在业务规模上领先，对全球公认的标准的遵守、并以更严格的标准来要求自己做到在数据合规上的领先也非常重要。同时，我们希望通过做这件事情来慢慢影响行业内的参与者，起到一个引领的作用，推动整个行业生态的发展。”

综合来看，Mobvista通过第三方机构的审计与监督，优化组织内控结构，从而加强公司数据的安全性，以达到确保合作商的数据安全以及保障用户个人的隐私安全的最终目的。值得注意的是，Mobvista是行业内第一个获得该鉴证的移动广告公司。另外，宋笑飞还表示，由于SOC2 Type1报告具有一定的时效性，Mobvista已经将SOC2 Type2列入工作计划，未来也将会每年进行一次鉴证，持续地按照SOC2的要求进行内控的提升，以保证公司一直处于数据安全状态。

主动构建内部信息安全管理体系

长期以来对数据安全的关注和重视，了解相关的法规政策，过程中委托第三方机构进行审计和监督，从而进行企业内部优化，但这对于完整的数据信息安全部署还不够。要想真正实现数据安全保障，还需要移动广告平台从内部构建自己的信息安全管理体系。

信息安全管理体系是由英文Information Security Management System而来，是指规范企业的信息安全管理，通过安全体系构建提升组织内部安全意识，加强对信息资产的保护，避免信息安全带来的法律合规风险，支持企业的安全发展。ISMS是1998年前后从英国发展起来的一个信息安全领域的新概念，是管理体系的思想和方法，应用于信息安全领域。

为了从内部加强数据安全保障，Mobvista进行了信息安全管理体系建设（ISMS），目前该体系建设已经完成了内部的审查，准备进入审核阶段。在公司最终符合审查构建标准，满足条件之后将会获得ISO认证，该认证将会为企业提供诚信资本，同时这也是对企业业务运营方式和具备持续改进能力的有力证明。

该体系的核心建设还是在企业的安全管理领域，从宏观组织架构的搭建、规则的的生成，再落实到各个业务层面的实施中，紧接着是人员架构的不间断评审和规范，最后则是系统运行过后的调优和改进。

未来在行业内将会有越来越多的互联网企业进行信息安全体系建设。因为互联网信息安全面临着来自多方面的威胁，企业信息泄漏问责成为一种常态。基于此，信息安全管理体系建设一方面可以切实提高公司的安全属性，组织核心业务所赖以持续的各项信息资产都得到了妥善保护，并且建立有效业务的持续性计划性的框架。另一方面也可以避免一些网络全责的纠纷如隐私纠纷、作弊嫌疑、信息泄露等等。

从Mobvista一路的数据信息安全布局中，我们可以发现移动广告平台企业可以通过三个层面进行适用于互联网企业自身的数据信息安全部署。

具体来讲，第一步应尽早地关注到全球互联网行业的数据安全发展态势，了解相关法律法规，初步形成保护数据安全的意识，寻找合适的方法来进行数据安全和隐私保护规范；第二步主动委托第三方独立机构进行审计与监督，根据即时变化的法规要求，不断调整和优化公司的内控结构，来保障公司内部的数据安全；第三步则需要搭建一套企业内部的信息安全管理体系，从信息安全方针、政策的制定，到信息安全工作的落实执行，使全公司至上而下建立起良好的信息安全意识。

尤其是在互联网信息安全面临着多方面的威胁、全球越来越多数据隐私保护法规的实施背景下，企业要提早做好信息安全部署、主动提升内控，打造真正的数据安全“护城河”，才能不断提升企业在行业中的可信任度，以获得长期良好的发展。

责任编辑：gt