数据过度收集是安全与合规风险，CISO需要参与数据收集决策

关键要点

数据过度收集增加了安全与合规的风险。CISO在确定应用程序所需数据方面应参与讨论。TikTok是一个明显的数据过度收集的例子，面临监管调查。新的美国数据隐私与保护法案ADPPA即将出台，提供了保护隐私的框架。

在每次用户打开设备上的应用程序时，他们似乎都被要求提供必要的信息来使用应用，以及之后常常需要提供的为市场营销或非必要的信息。CISO参与讨论应用程序所需的数据是基本要求。他们应该在数据安全管理上有发言权，以确保数据符合隐私法律的保护。此外，CISO还应帮助员工在网上保持安全，保护他们及公司自身的隐私。

数据过度收集的风险

在最近与DeleteMe创始人Rob Shavell的谈话中，他提到，由于公司过度收集数据的问题相当普遍。数据经纪人会利用用户提供的以及他们自动抓取的数据进行打包和出售。他指出：“雇主现在在帮助员工保护他们的个人可识别信息PII，因为这也是公司自身的利益所在。”

梯子npv官网

关于CISO可能采取的措施，Shavell建议他们关注数据收集的合规性及数据标记。这样，流程和程序随着时间的推移能够演变，使得“数据的保留时间即按照必要的程度，若个人希望删除其PII，这可以变得可行”。欧盟的通用数据保护条例GDPR涵盖了“被遗忘权”，要求公司应用户请求删除个人信息。

TikTok：数据过度收集的明显例子

一个引人注目的应用是TikTok。Shavell提到，“TikTok看起来是一个无害的应用，适合孩子、青少年和成年人使用。每次视频互动都会被记录下来，青少年最终会成为成年人。”他继续讲道，随着时间的推移，这些“生活轨迹数据”很可能会被用于预测分析，以描绘个人的未来发展方向。

一篇近期的Gizmodo文章对澳大利亚网络安全公司Internet 20进行的研究进行了剖析，标题为它们的话与他们的源代码。研究显示，该应用确实连接到中国，并在使用时请求“几乎完全访问手机的内容。这些数据包括日历、联系人列表和照片。”Internet 20的联合CSO Robert Potter告诉Gizmodo：“当应用程序在使用时，它能够扫描整个硬盘、访问联系人列表以及查看设备上已安装的所有其他应用。”他指出，这“远远超过”TikTok这类应用所需的访问权限。

TikTok回应Gizmodo表示，他们的数据收集方式“符合行业标准。我们收集用户选择提供的信息及帮助应用正常、安全运行并改善用户体验的信息。”

在9月26日，英国信息专员办公室发布了一项关于TikTok的初步调查结果，可能导致数百万美元的罚款。调查发现该公司可能存在以下问题：

在没有适当父母同意的情况下处理13岁以下儿童的数据未能以简明、透明且易于理解的方式向用户提供适当信息在没有法律依据的情况下处理特殊类别的数据

信息专员John Edwards表示：“我们都希望孩子们能在保持适当的数据隐私保护的情况下，学习和体验数字世界。提供数字服务的公司有法律责任落实这些保护措施，但我们的初步观点是TikTok未能满足这一要求。”

ADPPA即将出台

2022年6月底，美国数据隐私与保护法案ADPPA已在众议院能源与商业委员会提出，并于7月22日退出委员会。尽管这不是万