進(jìn)入2020年,涉及個人隱私數(shù)據(jù)保護(hù)的各方面工作齊頭并進(jìn),各項法律法規(guī)及地方規(guī)范性文件密集出臺。監(jiān)管趨嚴(yán)的態(tài)勢下,企業(yè)如何適應(yīng)新的環(huán)境?
近日,由騰訊安全主辦的CSO俱樂部沙龍在上海舉行了個人隱私數(shù)據(jù)安全防護(hù)專場,匯聚了來自金融、物流、汽車、通信、能源、航空等行業(yè)的安全代表,圍繞“個人隱私數(shù)據(jù)安全防護(hù)”話題展開討論。本次沙龍設(shè)有主題分享和分組研討環(huán)節(jié),形成了集政策解讀、需求配對、實踐分享、成果沉淀等于一體的沙龍模式,為各行各業(yè)加強個人隱私數(shù)據(jù)安全防護(hù)能力及合規(guī)性提供了理論指導(dǎo)和實踐參考。
主題分享
何延哲 | 個人信息保護(hù)和數(shù)據(jù)安全合規(guī)政策解讀
全球每天產(chǎn)生大約2EB的數(shù)據(jù),人類最近兩年產(chǎn)生的數(shù)據(jù)總量已經(jīng)超過了此前所有數(shù)據(jù)的總和。數(shù)據(jù)創(chuàng)造的價值持續(xù)被挖掘,數(shù)據(jù)正在成為這個時代最寶貴的資源。
由于數(shù)據(jù)本身的經(jīng)濟價值、數(shù)據(jù)安全涉及個人隱私保護(hù)等,數(shù)據(jù)安全備受社會關(guān)注。今年5月全國人大表決通過的《民法典》中明確了個人信息受法律保護(hù),市場期待已久的《中華人民共和國數(shù)據(jù)安全法(草案)》、《個人信息保護(hù)法(草案)》也先后于7月、10月進(jìn)入征求意見階段。
根據(jù)受影響的主體,監(jiān)管層面將數(shù)據(jù)分成了幾個大類:
一是企業(yè)自有的數(shù)據(jù),主要關(guān)乎知識產(chǎn)權(quán)保護(hù),目前這一塊需要做的工作相對較少。
二是個人信息。個人信息的范圍非常廣,只要和個人身份綁定,會對其產(chǎn)生影響的數(shù)據(jù),都屬于個人信息。企業(yè)除了保障個人信息的保密性、完整性、可用性外,還要確保用戶的選擇權(quán)、知情權(quán)以及注銷和刪除的權(quán)利。個人信息是當(dāng)前信息安全防護(hù)的重點。
三是對國家安全和公共利益有影響的數(shù)據(jù),這類數(shù)據(jù)被稱為重要數(shù)據(jù)。關(guān)于重要數(shù)據(jù)的安全防護(hù),目前行業(yè)仍處在摸索階段。
蔣瓊 | 后疫情時代的券商數(shù)據(jù)安全體系實踐
#FormatImgID_1#
和銀行相比,券商自研能力偏弱,需要引入外包人員幫助開發(fā)。如何管控外包人員,保證數(shù)據(jù)資產(chǎn)不被泄露,成了券商企業(yè)面臨的一大挑戰(zhàn)。而零信任安全架構(gòu)很好地幫助券商解決了這一難題。
零信任安全架構(gòu)作為一個能落地的安全信任治理方案,提供了一套對安全信任進(jìn)行全生命周期治理的思路。
基于零信任“永不信任、持續(xù)驗證”的理念,企業(yè)可以接入統(tǒng)一身份認(rèn)證系統(tǒng)(IAM),以身份為核心,對默認(rèn)不可信的訪問請求進(jìn)行多因素認(rèn)證加密,再結(jié)合動態(tài)訪問控制和持續(xù)信任評估等核心能力,低成本實現(xiàn)安全訪問控制能力的統(tǒng)一建設(shè)。此外,這也避免了員工越權(quán)操作等權(quán)限使用不當(dāng)帶來的安全隱患,以及權(quán)限分散、跨站點/業(yè)務(wù)的資源訪問難等問題。
劉海洋 | 大數(shù)據(jù)時代隱私數(shù)據(jù)安全防護(hù)實踐
#FormatImgID_2#
個人隱私數(shù)據(jù)安全防護(hù)已經(jīng)從合規(guī)和安全事件驅(qū)動的1.0時代邁進(jìn)了數(shù)據(jù)價值驅(qū)動的2.0時代。
2.0時代,數(shù)據(jù)安全防護(hù)將朝著整體防護(hù)、動態(tài)風(fēng)控、協(xié)同參與三大方向發(fā)展,而資產(chǎn)管理智能化、安全能力組件化和安全分析中心化是達(dá)成三大方向的重要途徑。
目前,企業(yè)實際業(yè)務(wù)中遇到的個人隱私數(shù)據(jù)安全問題主要出現(xiàn)在數(shù)據(jù)提取、大數(shù)據(jù)平臺、APP數(shù)據(jù)流轉(zhuǎn)等場景,風(fēng)險內(nèi)容包括數(shù)據(jù)暴露面大、缺少稽核手段、缺少數(shù)據(jù)行為識別能力和資產(chǎn)狀況不清等。
針對以上現(xiàn)狀,騰訊安全提出了“六步走”的個人隱私數(shù)據(jù)安全防護(hù)實踐策略:
一、明確職責(zé)。確定個人隱私數(shù)據(jù)安全防護(hù)究竟該由數(shù)據(jù)部門、應(yīng)用部門還是安全部門來牽頭。
二、從資產(chǎn)、訪問、風(fēng)險、權(quán)限四個維度對數(shù)據(jù)資產(chǎn)進(jìn)行盤點。資產(chǎn)不清,安全管控就無法到位。
三、梳理數(shù)據(jù)活動。數(shù)據(jù)活動的梳理可以幫助企業(yè)掌握業(yè)務(wù)數(shù)據(jù)的狀態(tài),了解可能存在的風(fēng)險以及需要重點關(guān)注的安全能力。
四、確定防護(hù)體系技術(shù)路線,目前主要有五種做法:標(biāo)準(zhǔn)單品建設(shè)、體系化建設(shè)、場景化建設(shè)、平臺級建設(shè)和按數(shù)據(jù)生命周期建設(shè)。
五、編寫具體制度。制度是否切合實際,能否全面執(zhí)行,是企業(yè)需要重點思考的問題。
六、通過審計與稽核驗證安全防護(hù)措施的執(zhí)行情況。
分組圓桌研討
主題分享結(jié)束后,沙龍活動進(jìn)入圓桌討論環(huán)節(jié)。圓桌采用分組討論形式,由與會嘉賓組成A、B、C、D四個小組,圍繞個人數(shù)據(jù)保護(hù)治理層和運營層的諸多熱點議題展開思維碰撞,并推選出小組代表輸出討論結(jié)果,由集體投票評選出優(yōu)勝方。
以下是四個小組圍繞熱點議題輸出的精彩觀點:
1.如何解決個人數(shù)據(jù)保護(hù)職責(zé)不清、角色不清、權(quán)利不夠的問題?
A組代表:首先要讓管理層形成統(tǒng)一認(rèn)識,認(rèn)識到個人信息保護(hù)的重要性。這個目的可以通過兩種途徑來實現(xiàn):一是事件觸發(fā),利用安全事件作為數(shù)據(jù)安全保護(hù)的重大推手;二是監(jiān)管發(fā)力,針對最新的監(jiān)管政策向管理層做理念灌輸。
其次要專人專崗,成立專門的數(shù)據(jù)安全團隊來做這件事情。
B組代表:職責(zé)不清導(dǎo)致隱私保護(hù)工作難以開展的情況,各行各行都存在。解決這個問題首先要獲得大老板支持,沒有這個前提,工作肯定開展不下去。
另外,保護(hù)個人信息需要業(yè)務(wù)部門、安全部門、法務(wù)部門等多方參與,只要缺少其中一個角色,工作便推進(jìn)不下去。
C組代表:個人數(shù)據(jù)保護(hù)要有自上而下的頂層設(shè)計,明確主責(zé)部門,賦予它最大的權(quán)利來牽頭協(xié)調(diào)安全管理工作。
D組代表:制造類、通信類企業(yè)跟金融、證券企業(yè)面臨的情況有很大差異。金融、證券企業(yè)的個人信息保護(hù)可以靠政策和文件直接驅(qū)動,而在制造類、通信類企業(yè)卻很難。領(lǐng)導(dǎo)雖然很重視,但沒錢、沒資源,工作很多時候執(zhí)行不下去。
2.PIA流程技術(shù)團隊是否參與?傾向技術(shù)控制為主還是管理控制為主?
A組代表:PIA流程評估,銀行的做法是從業(yè)務(wù)和技術(shù)兩條線分別排查。技術(shù)團隊和業(yè)務(wù)團隊有不同的關(guān)注點,技術(shù)團隊可能更關(guān)注加密、傳輸相關(guān)的內(nèi)容,業(yè)務(wù)看到的更多是處理流程上的風(fēng)險點。所以這樣一個雙線排查的機制非常重要。技術(shù)團隊在評估自己技術(shù)的同時,也要參與到業(yè)務(wù)評估當(dāng)中。
B組代表:技術(shù)團隊必須參與,而且要以技術(shù)控制為主。以前總說“三分技術(shù),七分管理”,但在今天的形勢下,沒有技術(shù)控制,管理很難產(chǎn)生好的效果。
C組代表:PIA流程需要技術(shù)團隊參與,但還是要以管理為主。管理層提的要求,技術(shù)團隊無條件去執(zhí)行,所以技術(shù)是配合管理來實施的。
D組代表:技術(shù)控制優(yōu)先,管理上肯定有要求,但還是需要技術(shù)落地。
3.個人隱私數(shù)據(jù)更新處理的目的?怎么確保及時更新、告知和獲取用戶同意?
A組代表:一是通過“大家來找茬”的方式,建立專門的團隊,通過獎勵措施激勵大家群策群力,以確保合規(guī)性。二是邀請第三方或者組織內(nèi)部測評方,開展定期評估。同時,新產(chǎn)品和新業(yè)務(wù)上線時,要有第三方安全部門或數(shù)據(jù)管控部門進(jìn)行評估,把相關(guān)標(biāo)準(zhǔn)納入到安全開發(fā)周期(CSDN)。
B組代表:從實際情況來看,很多單位在發(fā)布APP時,因為內(nèi)部流程不暢,導(dǎo)致內(nèi)部功能發(fā)生了變化,但外部沒有更新,結(jié)果被客戶投訴。理想化的狀態(tài)是,公司內(nèi)部建立一套成熟完善的發(fā)布流程,囊括業(yè)務(wù)立項到最后發(fā)布之間的所有審批環(huán)節(jié)。但實際情況下,這種理想化狀態(tài)很難實現(xiàn)。
C組代表:可以通過APP、短信、電話和客服中心對用戶或合作單位進(jìn)行及時告知。
D組代表:個人隱私數(shù)據(jù)更新和登錄告知,都是按照法務(wù)的要求來執(zhí)行的。
4.衍生數(shù)據(jù)應(yīng)該如何管控?
A組代表:衍生數(shù)據(jù)是一個比較新的概念,指的是客戶畫像等數(shù)據(jù)經(jīng)過大數(shù)據(jù)分析后產(chǎn)生的結(jié)果。
首先企業(yè)要確定自己有哪些衍生數(shù)據(jù),這些數(shù)據(jù)重要性如何,泄露后會產(chǎn)生哪些風(fēng)險;然后針對管控現(xiàn)狀中的薄弱點進(jìn)行整改;整套流程有點類似PDCA。
B組代表:首先判斷是不是敏感數(shù)據(jù),如果是則納入敏感數(shù)據(jù)管控體系,如果不是則不納入,F(xiàn)在也有一些灰色地帶,是不是敏感數(shù)據(jù),大家沒有定論。按照對現(xiàn)行法律的理解,如果無法確定,則默認(rèn)為不是。
C組代表:一是去標(biāo)識化,二是確保衍生數(shù)據(jù)無法溯源到原始數(shù)據(jù)。首先要保證衍生數(shù)據(jù)不會導(dǎo)致原始數(shù)據(jù)泄密,其次要根據(jù)法律法規(guī)明確衍生數(shù)據(jù)是否屬于敏感數(shù)據(jù)。
D組代表:衍生數(shù)據(jù)的管控問題可能在互聯(lián)網(wǎng)企業(yè)會比較明顯。衍生數(shù)據(jù)管控最大的問題是沒有數(shù)據(jù)owner。在傳統(tǒng)行業(yè),財務(wù)的數(shù)據(jù)歸財務(wù),開發(fā)產(chǎn)品的數(shù)據(jù)歸研發(fā),職責(zé)很清晰。而衍生數(shù)據(jù)一方面沒有owner,另一方面使用方又非常多。
5.個人有被遺忘、可刪除隱私數(shù)據(jù)的權(quán)利,這方面是如何實現(xiàn)的?如何實現(xiàn)自我證明?
A組代表:大數(shù)據(jù)要流動起來才有價值。銀行業(yè)有非常多的系統(tǒng),數(shù)據(jù)一旦采集進(jìn)來,經(jīng)過匯聚融合和流轉(zhuǎn),會在各個系統(tǒng)中留存,要一下子完全清除,是非常困難的。這種情況下,比較容易落地的做法是:先對內(nèi)部系統(tǒng)進(jìn)行梳理,分析有多少系統(tǒng)是客戶有感的,先把這些系統(tǒng)中的數(shù)據(jù)刪除。
B組代表:建議開發(fā)一套系統(tǒng),系統(tǒng)上可以刪除用戶,以及看到哪些用戶被刪除了。這只能起到簡單自我證明的作用,沒辦法做到很深入。其次,在數(shù)據(jù)庫的設(shè)計層面,把個人隱私和個人行為數(shù)據(jù)進(jìn)行關(guān)聯(lián),便于用戶自我刪除和自我遺忘時的前臺操作和后臺實現(xiàn)。如果數(shù)據(jù)散落在多個系統(tǒng)當(dāng)中,是無法做到一鍵清除的。
C組代表:建議通過第三方認(rèn)證和內(nèi)部文檔留存來審核數(shù)據(jù)訪問的自我證實。很多時候自己證明自己并不很明確,因此建議采用三方合作的方式。
D組代表:假如我有一筆貸款記錄,我能銷戶,能被遺忘嗎?答案是不能。雖然我可以銷戶,但貸款記錄還在。
6.個人隱私數(shù)據(jù)向第三方批量發(fā)送,對第三方除了合同還有哪些有效的監(jiān)管手段保障安全?
A組代表:除了簽訂數(shù)據(jù)合作協(xié)議和數(shù)據(jù)包協(xié)議外,銀行還會從兩個方面進(jìn)行外包管控:一是甲乙方控制,二是年度檢查。
所謂甲乙方控制,首先要明確甲方作為外包的管理部門或者業(yè)務(wù)的實施部門,針對這項業(yè)務(wù)應(yīng)該承擔(dān)什么樣的責(zé)任,然后順著這個思路延展,知曉管理層和內(nèi)部相關(guān)部門應(yīng)該遵守哪些規(guī)定,執(zhí)行到什么程度。其次,從機房、應(yīng)用、數(shù)據(jù)、人員、業(yè)務(wù)連續(xù)性等多個維度給乙方制定安全準(zhǔn)則,在準(zhǔn)入的時候通過現(xiàn)場調(diào)研或遠(yuǎn)程調(diào)取資料進(jìn)行安全印象評估。
B組代表:除了合同還有隱私保密條款、NDA等。此外,還可以對第三方做安全評估,在數(shù)據(jù)發(fā)送時,審查哪些數(shù)據(jù)是會脫敏的,當(dāng)中可能會涉及多方計算、匿名沙盒等相關(guān)技術(shù)。另外,還可以要求第三方支付一筆押金,在出現(xiàn)安全問題時,對其進(jìn)行罰款。
C組代表:首先要告知用戶,在獲得用戶同意和符合法律法規(guī)的前提下,進(jìn)行第三方披露。
D組代表:作為企業(yè)的安全人員,首先要考慮為什么會出現(xiàn)個人隱私數(shù)據(jù)向第三方批量發(fā)送的情況。業(yè)務(wù)方出于自己的目的,不太會考慮這些問題,但安全人員一定要經(jīng)常踩剎車。首先要評估業(yè)務(wù)場景的真實性,評估其是否必要、對公司是否有價值;然后再去考慮場景當(dāng)中可能的風(fēng)險,以及該采取怎樣的控制手段。
隨著《民法典》、《數(shù)據(jù)安全法(草案)》、《個人信息保護(hù)法(草案)》等法律陸續(xù)出臺,個人隱私數(shù)據(jù)安全合規(guī)管理將成為企業(yè)的必備能力,促進(jìn)企業(yè)從產(chǎn)品形態(tài)、數(shù)據(jù)應(yīng)用機制、技術(shù)安全措施等多維度落實法律法規(guī)要求。
騰訊安全將持續(xù)提升隱私數(shù)據(jù)安全防護(hù)方面的技術(shù)積累和科研能力,發(fā)揮騰訊云數(shù)據(jù)安全中臺端到端的云數(shù)據(jù)全生命周期安全體系的優(yōu)勢,幫助企業(yè)加強數(shù)據(jù)安全防護(hù)水平及合規(guī)性。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹(jǐn)慎對待。投資者據(jù)此操作,風(fēng)險自擔(dān)。
2024年的Adobe MAX 2024發(fā)布會上,Adobe推出了最新版本的Adobe Creative Cloud。
奧維云網(wǎng)(AVC)推總數(shù)據(jù)顯示,2024年1-9月明火炊具線上零售額94.2億元,同比增加3.1%,其中抖音渠道表現(xiàn)優(yōu)異,同比有14%的漲幅,傳統(tǒng)電商略有下滑,同比降低2.3%。
“以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進(jìn)了21600元。
華碩ProArt創(chuàng)藝27 Pro PA279CRV顯示器,憑借其優(yōu)秀的性能配置和精準(zhǔn)的色彩呈現(xiàn)能力,為您的創(chuàng)作工作帶來實質(zhì)性的幫助,雙十一期間低至2799元,性價比很高,簡直是創(chuàng)作者們的首選。
9月14日,2024全球工業(yè)互聯(lián)網(wǎng)大會——工業(yè)互聯(lián)網(wǎng)標(biāo)識解析專題論壇在沈陽成功舉辦。