進入2020年,涉及個人隱私數據保護的各方面工作齊頭並進,各項法律法規及地方規範性文件密集出臺。監管趨嚴的態勢下,企業如何適應新的環境?
近日,由騰訊安全主辦的CSO俱樂部沙龍在上海舉行了個人隱私數據安全防護專場,匯聚了來自金融、物流、汽車、通信、能源、航空等行業的安全代表,圍繞「個人隱私數據安全防護」話題展開討論。本次沙龍設有主題分享和分組研討環節,形成了集政策解讀、需求配對、實踐分享、成果沉澱等於一體的沙龍模式,為各行各業加強個人隱私數據安全防護能力及合規性提供了理論指導和實踐參考。
主題分享
何延哲|個人信息保護和數據安全合規政策解讀
全球每天產生大約2EB的數據,人類最近兩年產生的數據總量已經超過了此前所有數據的總和。數據創造的價值持續被挖掘,數據正在成為這個時代最寶貴的資源。
由於數據本身的經濟價值、數據安全涉及個人隱私保護等,數據安全備受社會關注。今年5月全國人大表決通過的《民法典》中明確了個人信息受法律保護,市場期待已久的《中華人民共和國數據安全法(草案)》、《個人信息保護法(草案)》也先後於7月、10月進入徵求意見階段。
根據受影響的主體,監管層面將數據分成了幾個大類:
一是企業自有的數據,主要關乎智慧財產權保護,目前這一塊需要做的工作相對較少。
二是個人信息。個人信息的範圍非常廣,只要和個人身份綁定,會對其產生影響的數據,都屬於個人信息。企業除了保障個人信息的保密性、完整性、可用性外,還要確保用戶的選擇權、知情權以及註銷和刪除的權利。個人信息是當前信息安全防護的重點。
三是對國家安全和公共利益有影響的數據,這類數據被稱為重要數據。關於重要數據的安全防護,目前行業仍處在摸索階段。
蔣瓊|後疫情時代的券商數據安全體系實踐
和銀行相比,券商自研能力偏弱,需要引入外包人員幫助開發。如何管控外包人員,保證數據資產不被洩露,成了券商企業面臨的一大挑戰。而零信任安全架構很好地幫助券商解決了這一難題。
零信任安全架構作為一個能落地的安全信任治理方案,提供了一套對安全信任進行全生命周期治理的思路。
基於零信任「永不信任、持續驗證」的理念,企業可以接入統一身份認證系統(IAM),以身份為核心,對默認不可信的訪問請求進行多因素認證加密,再結合動態訪問控制和持續信任評估等核心能力,低成本實現安全訪問控制能力的統一建設。此外,這也避免了員工越權操作等權限使用不當帶來的安全隱患,以及權限分散、跨站點/業務的資源訪問難等問題。
劉海洋|大數據時代隱私數據安全防護實踐
個人隱私數據安全防護已經從合規和安全事件驅動的1.0時代邁進了數據價值驅動的2.0時代。
2.0時代,數據安全防護將朝著整體防護、動態風控、協同參與三大方向發展,而資產管理智能化、安全能力組件化和安全分析中心化是達成三大方向的重要途徑。
目前,企業實際業務中遇到的個人隱私數據安全問題主要出現在數據提取、大數據平臺、APP數據流轉等場景,風險內容包括數據暴露面大、缺少稽核手段、缺少數據行為識別能力和資產狀況不清等。
針對以上現狀,騰訊安全提出了「六步走」的個人隱私數據安全防護實踐策略:
一、明確職責。確定個人隱私數據安全防護究竟該由數據部門、應用部門還是安全部門來牽頭。
二、從資產、訪問、風險、權限四個維度對數據資產進行盤點。資產不清,安全管控就無法到位。
三、梳理數據活動。數據活動的梳理可以幫助企業掌握業務數據的狀態,了解可能存在的風險以及需要重點關注的安全能力。
四、確定防護體系技術路線,目前主要有五種做法:標準單品建設、體系化建設、場景化建設、平臺級建設和按數據生命周期建設。
五、編寫具體制度。制度是否切合實際,能否全面執行,是企業需要重點思考的問題。
六、通過審計與稽核驗證安全防護措施的執行情況。
分組圓桌研討
主題分享結束後,沙龍活動進入圓桌討論環節。圓桌採用分組討論形式,由與會嘉賓組成A、B、C、D四個小組,圍繞個人數據保護治理層和運營層的諸多熱點議題展開思維碰撞,並推選出小組代表輸出討論結果,由集體投票評選出優勝方。
以下是四個小組圍繞熱點議題輸出的精彩觀點:
1.如何解決個人數據保護職責不清、角色不清、權利不夠的問題?
A組代表:首先要讓管理層形成統一認識,認識到個人信息保護的重要性。這個目的可以通過兩種途徑來實現:一是事件觸發,利用安全事件作為數據安全保護的重大推手;二是監管發力,針對最新的監管政策向管理層做理念灌輸。
其次要專人專崗,成立專門的數據安全團隊來做這件事情。
B組代表:職責不清導致隱私保護工作難以開展的情況,各行各行都存在。解決這個問題首先要獲得大老闆支持,沒有這個前提,工作肯定開展不下去。
另外,保護個人信息需要業務部門、安全部門、法務部門等多方參與,只要缺少其中一個角色,工作便推進不下去。
C組代表:個人數據保護要有自上而下的頂層設計,明確主責部門,賦予它最大的權利來牽頭協調安全管理工作。
D組代表:製造類、通信類企業跟金融、證券企業面臨的情況有很大差異。金融、證券企業的個人信息保護可以靠政策和文件直接驅動,而在製造類、通信類企業卻很難。領導雖然很重視,但沒錢、沒資源,工作很多時候執行不下去。
2.PIA流程技術團隊是否參與?傾向技術控制為主還是管理控制為主?
A組代表:PIA流程評估,銀行的做法是從業務和技術兩條線分別排查。技術團隊和業務團隊有不同的關注點,技術團隊可能更關注加密、傳輸相關的內容,業務看到的更多是處理流程上的風險點。所以這樣一個雙線排查的機制非常重要。技術團隊在評估自己技術的同時,也要參與到業務評估當中。
B組代表:技術團隊必須參與,而且要以技術控制為主。以前總說「三分技術,七分管理」,但在今天的形勢下,沒有技術控制,管理很難產生好的效果。
C組代表:PIA流程需要技術團隊參與,但還是要以管理為主。管理層提的要求,技術團隊無條件去執行,所以技術是配合管理來實施的。
D組代表:技術控制優先,管理上肯定有要求,但還是需要技術落地。
3.個人隱私數據更新處理的目的?怎麼確保及時更新、告知和獲取用戶同意?
A組代表:一是通過「大家來找茬」的方式,建立專門的團隊,通過獎勵措施激勵大家群策群力,以確保合規性。二是邀請第三方或者組織內部測評方,開展定期評估。同時,新產品和新業務上線時,要有第三方安全部門或數據管控部門進行評估,把相關標準納入到安全開發周期(CSDN)。
B組代表:從實際情況來看,很多單位在發布APP時,因為內部流程不暢,導致內部功能發生了變化,但外部沒有更新,結果被客戶投訴。理想化的狀態是,公司內部建立一套成熟完善的發布流程,囊括業務立項到最後發布之間的所有審批環節。但實際情況下,這種理想化狀態很難實現。
C組代表:可以通過APP、簡訊、電話和客服中心對用戶或合作單位進行及時告知。
D組代表:個人隱私數據更新和登錄告知,都是按照法務的要求來執行的。
4.衍生數據應該如何管控?
A組代表:衍生數據是一個比較新的概念,指的是客戶畫像等數據經過大數據分析後產生的結果。
首先企業要確定自己有哪些衍生數據,這些數據重要性如何,洩露後會產生哪些風險;然後針對管控現狀中的薄弱點進行整改;整套流程有點類似PDCA。
B組代表:首先判斷是不是敏感數據,如果是則納入敏感數據管控體系,如果不是則不納入。現在也有一些灰色地帶,是不是敏感數據,大家沒有定論。按照對現行法律的理解,如果無法確定,則默認為不是。
C組代表:一是去標識化,二是確保衍生數據無法溯源到原始數據。首先要保證衍生數據不會導致原始數據洩密,其次要根據法律法規明確衍生數據是否屬於敏感數據。
D組代表:衍生數據的管控問題可能在網際網路企業會比較明顯。衍生數據管控最大的問題是沒有數據owner。在傳統行業,財務的數據歸財務,開發產品的數據歸研發,職責很清晰。而衍生數據一方面沒有owner,另一方面使用方又非常多。
5.個人有被遺忘、可刪除隱私數據的權利,這方面是如何實現的?如何實現自我證明?
A組代表:大數據要流動起來才有價值。銀行業有非常多的系統,數據一旦採集進來,經過匯聚融合和流轉,會在各個系統中留存,要一下子完全清除,是非常困難的。這種情況下,比較容易落地的做法是:先對內部系統進行梳理,分析有多少系統是客戶有感的,先把這些系統中的數據刪除。
B組代表:建議開發一套系統,系統上可以刪除用戶,以及看到哪些用戶被刪除了。這只能起到簡單自我證明的作用,沒辦法做到很深入。其次,在資料庫的設計層面,把個人隱私和個人行為數據進行關聯,便於用戶自我刪除和自我遺忘時的前臺操作和後臺實現。如果數據散落在多個系統當中,是無法做到一鍵清除的。
C組代表:建議通過第三方認證和內部文檔留存來審核數據訪問的自我證實。很多時候自己證明自己並不很明確,因此建議採用三方合作的方式。
D組代表:假如我有一筆貸款記錄,我能銷戶,能被遺忘嗎?答案是不能。雖然我可以銷戶,但貸款記錄還在。
6.個人隱私數據向第三方批量發送,對第三方除了合同還有哪些有效的監管手段保障安全?
A組代表:除了籤訂數據合作協議和數據包協議外,銀行還會從兩個方面進行外包管控:一是甲乙方控制,二是年度檢查。
所謂甲乙方控制,首先要明確甲方作為外包的管理部門或者業務的實施部門,針對這項業務應該承擔什麼樣的責任,然後順著這個思路延展,知曉管理層和內部相關部門應該遵守哪些規定,執行到什麼程度。其次,從機房、應用、數據、人員、業務連續性等多個維度給乙方制定安全準則,在準入的時候通過現場調研或遠程調取資料進行安全印象評估。
B組代表:除了合同還有隱私保密條款、NDA等。此外,還可以對第三方做安全評估,在數據發送時,審查哪些數據是會脫敏的,當中可能會涉及多方計算、匿名沙盒等相關技術。另外,還可以要求第三方支付一筆押金,在出現安全問題時,對其進行罰款。
C組代表:首先要告知用戶,在獲得用戶同意和符合法律法規的前提下,進行第三方披露。
D組代表:作為企業的安全人員,首先要考慮為什麼會出現個人隱私數據向第三方批量發送的情況。業務方出於自己的目的,不太會考慮這些問題,但安全人員一定要經常踩剎車。首先要評估業務場景的真實性,評估其是否必要、對公司是否有價值;然後再去考慮場景當中可能的風險,以及該採取怎樣的控制手段。
隨著《民法典》、《數據安全法(草案)》、《個人信息保護法(草案)》等法律陸續出臺,個人隱私數據安全合規管理將成為企業的必備能力,促進企業從產品形態、數據應用機制、技術安全措施等多維度落實法律法規要求。
騰訊安全將持續提升隱私數據安全防護方面的技術積累和科研能力,發揮騰訊雲數據安全中臺端到端的雲數據全生命周期安全體系的優勢,幫助企業加強數據安全防護水平及合規性。