对于个人信息保护，大众都会有一个“刻板印象”，我们默认网络运营者会保护他们收集到的个人信息不被泄露。虽然，网络安全法规定网络运营者有责任和义务保护客户的个人信息。但是，法律归法律，现实是现实。比如，在2018年，某原新三板挂牌公司涉嫌非法窃取 30 亿条用户数据，操控用户账号进行微博、微信、QQ、抖音等社交平台的加粉、刷量、加群、违规推广，从中获利，涉及包括百度、阿里、腾讯、今日头条在内的全国 96 家互联网公司。该公司一年营收就超过 3000 万元。

30 亿条数据，多么耸人听闻，那么，这些数据是从哪来的？

该公司与全国十余省市的电信、移动、联通、铁通、广电等运营商签订营销广告系统服务合同，为运营商提供精准广告投放系统的开发、维护。进而拿到了运营商服务器的远程登录权限，然后将非法程序置入用于自动采集用户 cookie、手机号等信息。

现如今互联网越来越便利，智能手机的普及，几乎人手一台手机，再加上实名制的要求，因此电信、移动等运营商手上必定掌握着大量的用户个人信息。

为此，运营商也做了许多安全方面的措施，由于内部结构复杂，业务系统众多，数据量大，安全措施无法全方位覆盖。真正要做好用户个人信息的安全防护，首先要站在法制高度，满足合规的要求，从内部入手，从数据维度综合考虑。

合规  顶住个人信息安全的一片天 

《中华人民共和国网络安全法》的颁布给个人信息的保护带来了曙光，《网络安全法》整个第四章都在描述个人信息的合规收集和保护：

第四十条  网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。

第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

第四十七条 网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。

第四十九条 网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。

有关个人信息保护的合规政策步伐仍在继续。

《个人信息保护法（草案）》

《信息安全技术 个人信息安全规范》

……

未来还会有更多的有关个人信息安全的法规政策落到实处，由法规政策为个人信息的安全顶住一片天。

撑起个人信息的“保护伞”：数据安全合规检测与防护

运营商的用户个人信息数据真实程度很高；通过对大数据的采集可以得到精确的用户敏感信息，例如位置信息；有了这些个人信息作为基石，通过大数据关联分析，可以全面了解用户各种行为爱好，理论上这些个人信息可以挖掘出巨大的商业价值。

一旦泄露给运营商造成损失，还会给用户带了一定的困扰，为个人信息撑起“保护伞”势在必行。

世平信息建议，在大监管背景下，从数据运营维度，依据数据全生命周期构建各个环节个人信息安全防护能力，依托大数据平台将日常安全管理工作嵌入到用户个人信息数据采集、传输、存储、使用、共享与销毁之中，运用智能化（机器学习、人工智能AI、自然语言处理NLP等）技术。

突破传统的安全管控模式，融合合规检测与安全防护，将原先离散的数据安全防护能力、缺失的数据安全合规检测能力做深度结合。融合数据分级分类管理、数据合规检测、数据动态/静态脱敏、数据水印追溯审计、UEBA(异常行为监测预警)等能力，建立一套完整的、创新的、实用的全生命周期个人信息数据安全合规检测与安全防护体系。