騰訊安全CSO俱樂部沙龍 | 個人隱私數(shù)據(jù)安全政策頻頻加碼，企業(yè)該如何應對？

進入2020年，涉及個人隱私數(shù)據(jù)保護的各方面工作齊頭并進，各項法律法規(guī)及地方規(guī)范性文件密集出臺。監(jiān)管趨嚴的態(tài)勢下，企業(yè)如何適應新的環(huán)境?

近日，由騰訊安全主辦的CSO俱樂部沙龍在上海舉行了個人隱私數(shù)據(jù)安全防護專場，匯聚了來自金融、物流、汽車、通信、能源、航空等行業(yè)的安全代表，圍繞“個人隱私數(shù)據(jù)安全防護”話題展開討論。本次沙龍設有主題分享和分組研討環(huán)節(jié)，形成了集政策解讀、需求配對、實踐分享、成果沉淀等于一體的沙龍模式，為各行各業(yè)加強個人隱私數(shù)據(jù)安全防護能力及合規(guī)性提供了理論指導和實踐參考。

主題分享

何延哲 | 個人信息保護和數(shù)據(jù)安全合規(guī)政策解讀

全球每天產生大約2EB的數(shù)據(jù)，人類最近兩年產生的數(shù)據(jù)總量已經超過了此前所有數(shù)據(jù)的總和。數(shù)據(jù)創(chuàng)造的價值持續(xù)被挖掘，數(shù)據(jù)正在成為這個時代最寶貴的資源。

由于數(shù)據(jù)本身的經濟價值、數(shù)據(jù)安全涉及個人隱私保護等，數(shù)據(jù)安全備受社會關注。今年5月全國人大表決通過的《民法典》中明確了個人信息受法律保護，市場期待已久的《中華人民共和國數(shù)據(jù)安全法(草案)》、《個人信息保護法(草案)》也先后于7月、10月進入征求意見階段。

根據(jù)受影響的主體，監(jiān)管層面將數(shù)據(jù)分成了幾個大類：

一是企業(yè)自有的數(shù)據(jù)，主要關乎知識產權保護，目前這一塊需要做的工作相對較少。

二是個人信息。個人信息的范圍非常廣，只要和個人身份綁定，會對其產生影響的數(shù)據(jù)，都屬于個人信息。企業(yè)除了保障個人信息的保密性、完整性、可用性外，還要確保用戶的選擇權、知情權以及注銷和刪除的權利。個人信息是當前信息安全防護的重點。

三是對國家安全和公共利益有影響的數(shù)據(jù)，這類數(shù)據(jù)被稱為重要數(shù)據(jù)。關于重要數(shù)據(jù)的安全防護，目前行業(yè)仍處在摸索階段。

蔣瓊 | 后疫情時代的券商數(shù)據(jù)安全體系實踐

和銀行相比，券商自研能力偏弱，需要引入外包人員幫助開發(fā)。如何管控外包人員，保證數(shù)據(jù)資產不被泄露，成了券商企業(yè)面臨的一大挑戰(zhàn)。而零信任安全架構很好地幫助券商解決了這一難題。

零信任安全架構作為一個能落地的安全信任治理方案，提供了一套對安全信任進行全生命周期治理的思路。

基于零信任“永不信任、持續(xù)驗證”的理念，企業(yè)可以接入統(tǒng)一身份認證系統(tǒng)(IAM)，以身份為核心，對默認不可信的訪問請求進行多因素認證加密，再結合動態(tài)訪問控制和持續(xù)信任評估等核心能力，低成本實現(xiàn)安全訪問控制能力的統(tǒng)一建設。此外，這也避免了員工越權操作等權限使用不當帶來的安全隱患，以及權限分散、跨站點/業(yè)務的資源訪問難等問題。

劉海洋 | 大數(shù)據(jù)時代隱私數(shù)據(jù)安全防護實踐

個人隱私數(shù)據(jù)安全防護已經從合規(guī)和安全事件驅動的1.0時代邁進了數(shù)據(jù)價值驅動的2.0時代。

2.0時代，數(shù)據(jù)安全防護將朝著整體防護、動態(tài)風控、協(xié)同參與三大方向發(fā)展，而資產管理智能化、安全能力組件化和安全分析中心化是達成三大方向的重要途徑。

目前，企業(yè)實際業(yè)務中遇到的個人隱私數(shù)據(jù)安全問題主要出現(xiàn)在數(shù)據(jù)提取、大數(shù)據(jù)平臺、APP數(shù)據(jù)流轉等場景，風險內容包括數(shù)據(jù)暴露面大、缺少稽核手段、缺少數(shù)據(jù)行為識別能力和資產狀況不清等。

針對以上現(xiàn)狀，騰訊安全提出了“六步走”的個人隱私數(shù)據(jù)安全防護實踐策略：

一、明確職責。確定個人隱私數(shù)據(jù)安全防護究竟該由數(shù)據(jù)部門、應用部門還是安全部門來牽頭。

二、從資產、訪問、風險、權限四個維度對數(shù)據(jù)資產進行盤點。資產不清，安全管控就無法到位。

三、梳理數(shù)據(jù)活動。數(shù)據(jù)活動的梳理可以幫助企業(yè)掌握業(yè)務數(shù)據(jù)的狀態(tài)，了解可能存在的風險以及需要重點關注的安全能力。

四、確定防護體系技術路線，目前主要有五種做法：標準單品建設、體系化建設、場景化建設、平臺級建設和按數(shù)據(jù)生命周期建設。

五、編寫具體制度。制度是否切合實際，能否全面執(zhí)行，是企業(yè)需要重點思考的問題。

六、通過審計與稽核驗證安全防護措施的執(zhí)行情況。

分組圓桌研討

主題分享結束后，沙龍活動進入圓桌討論環(huán)節(jié)。圓桌采用分組討論形式，由與會嘉賓組成A、B、C、D四個小組，圍繞個人數(shù)據(jù)保護治理層和運營層的諸多熱點議題展開思維碰撞，并推選出小組代表輸出討論結果，由集體投票評選出優(yōu)勝方。

以下是四個小組圍繞熱點議題輸出的精彩觀點：

1.如何解決個人數(shù)據(jù)保護職責不清、角色不清、權利不夠的問題？

A組代表：首先要讓管理層形成統(tǒng)一認識，認識到個人信息保護的重要性。這個目的可以通過兩種途徑來實現(xiàn)：一是事件觸發(fā)，利用安全事件作為數(shù)據(jù)安全保護的重大推手;二是監(jiān)管發(fā)力，針對最新的監(jiān)管政策向管理層做理念灌輸。

其次要專人專崗，成立專門的數(shù)據(jù)安全團隊來做這件事情。

B組代表：職責不清導致隱私保護工作難以開展的情況，各行各行都存在。解決這個問題首先要獲得大老板支持，沒有這個前提，工作肯定開展不下去。

另外，保護個人信息需要業(yè)務部門、安全部門、法務部門等多方參與，只要缺少其中一個角色，工作便推進不下去。

C組代表：個人數(shù)據(jù)保護要有自上而下的頂層設計，明確主責部門，賦予它最大的權利來牽頭協(xié)調安全管理工作。

D組代表：制造類、通信類企業(yè)跟金融、證券企業(yè)面臨的情況有很大差異。金融、證券企業(yè)的個人信息保護可以靠政策和文件直接驅動，而在制造類、通信類企業(yè)卻很難。領導雖然很重視，但沒錢、沒資源，工作很多時候執(zhí)行不下去。

2.PIA流程技術團隊是否參與？傾向技術控制為主還是管理控制為主？

A組代表：PIA流程評估，銀行的做法是從業(yè)務和技術兩條線分別排查。技術團隊和業(yè)務團隊有不同的關注點，技術團隊可能更關注加密、傳輸相關的內容，業(yè)務看到的更多是處理流程上的風險點。所以這樣一個雙線排查的機制非常重要。技術團隊在評估自己技術的同時，也要參與到業(yè)務評估當中。

B組代表：技術團隊必須參與，而且要以技術控制為主。以前總說“三分技術，七分管理”，但在今天的形勢下，沒有技術控制，管理很難產生好的效果。

C組代表：PIA流程需要技術團隊參與，但還是要以管理為主。管理層提的要求，技術團隊無條件去執(zhí)行，所以技術是配合管理來實施的。

D組代表：技術控制優(yōu)先，管理上肯定有要求，但還是需要技術落地。

3.個人隱私數(shù)據(jù)更新處理的目的？怎么確保及時更新、告知和獲取用戶同意？

A組代表：一是通過“大家來找茬”的方式，建立專門的團隊，通過獎勵措施激勵大家群策群力，以確保合規(guī)性。二是邀請第三方或者組織內部測評方，開展定期評估。同時，新產品和新業(yè)務上線時，要有第三方安全部門或數(shù)據(jù)管控部門進行評估，把相關標準納入到安全開發(fā)周期(CSDN)。

B組代表：從實際情況來看，很多單位在發(fā)布APP時，因為內部流程不暢，導致內部功能發(fā)生了變化，但外部沒有更新，結果被客戶投訴。理想化的狀態(tài)是，公司內部建立一套成熟完善的發(fā)布流程，囊括業(yè)務立項到最后發(fā)布之間的所有審批環(huán)節(jié)。但實際情況下，這種理想化狀態(tài)很難實現(xiàn)。

C組代表：可以通過APP、短信、電話和客服中心對用戶或合作單位進行及時告知。

D組代表：個人隱私數(shù)據(jù)更新和登錄告知，都是按照法務的要求來執(zhí)行的。

4.衍生數(shù)據(jù)應該如何管控？

A組代表：衍生數(shù)據(jù)是一個比較新的概念，指的是客戶畫像等數(shù)據(jù)經過大數(shù)據(jù)分析后產生的結果。

首先企業(yè)要確定自己有哪些衍生數(shù)據(jù)，這些數(shù)據(jù)重要性如何，泄露后會產生哪些風險;然后針對管控現(xiàn)狀中的薄弱點進行整改;整套流程有點類似PDCA。

B組代表：首先判斷是不是敏感數(shù)據(jù)，如果是則納入敏感數(shù)據(jù)管控體系，如果不是則不納入?，F(xiàn)在也有一些灰色地帶，是不是敏感數(shù)據(jù)，大家沒有定論。按照對現(xiàn)行法律的理解，如果無法確定，則默認為不是。

C組代表：一是去標識化，二是確保衍生數(shù)據(jù)無法溯源到原始數(shù)據(jù)。首先要保證衍生數(shù)據(jù)不會導致原始數(shù)據(jù)泄密，其次要根據(jù)法律法規(guī)明確衍生數(shù)據(jù)是否屬于敏感數(shù)據(jù)。

D組代表：衍生數(shù)據(jù)的管控問題可能在互聯(lián)網企業(yè)會比較明顯。衍生數(shù)據(jù)管控最大的問題是沒有數(shù)據(jù)owner。在傳統(tǒng)行業(yè)，財務的數(shù)據(jù)歸財務，開發(fā)產品的數(shù)據(jù)歸研發(fā)，職責很清晰。而衍生數(shù)據(jù)一方面沒有owner，另一方面使用方又非常多。

5.個人有被遺忘、可刪除隱私數(shù)據(jù)的權利，這方面是如何實現(xiàn)的？如何實現(xiàn)自我證明？

A組代表：大數(shù)據(jù)要流動起來才有價值。銀行業(yè)有非常多的系統(tǒng)，數(shù)據(jù)一旦采集進來，經過匯聚融合和流轉，會在各個系統(tǒng)中留存，要一下子完全清除，是非常困難的。這種情況下，比較容易落地的做法是：先對內部系統(tǒng)進行梳理，分析有多少系統(tǒng)是客戶有感的，先把這些系統(tǒng)中的數(shù)據(jù)刪除。

B組代表：建議開發(fā)一套系統(tǒng)，系統(tǒng)上可以刪除用戶，以及看到哪些用戶被刪除了。這只能起到簡單自我證明的作用，沒辦法做到很深入。其次，在數(shù)據(jù)庫的設計層面，把個人隱私和個人行為數(shù)據(jù)進行關聯(lián)，便于用戶自我刪除和自我遺忘時的前臺操作和后臺實現(xiàn)。如果數(shù)據(jù)散落在多個系統(tǒng)當中，是無法做到一鍵清除的。

C組代表：建議通過第三方認證和內部文檔留存來審核數(shù)據(jù)訪問的自我證實。很多時候自己證明自己并不很明確，因此建議采用三方合作的方式。

D組代表：假如我有一筆貸款記錄，我能銷戶，能被遺忘嗎?答案是不能。雖然我可以銷戶，但貸款記錄還在。

6.個人隱私數(shù)據(jù)向第三方批量發(fā)送，對第三方除了合同還有哪些有效的監(jiān)管手段保障安全？

A組代表：除了簽訂數(shù)據(jù)合作協(xié)議和數(shù)據(jù)包協(xié)議外，銀行還會從兩個方面進行外包管控：一是甲乙方控制，二是年度檢查。

所謂甲乙方控制，首先要明確甲方作為外包的管理部門或者業(yè)務的實施部門，針對這項業(yè)務應該承擔什么樣的責任，然后順著這個思路延展，知曉管理層和內部相關部門應該遵守哪些規(guī)定，執(zhí)行到什么程度。其次，從機房、應用、數(shù)據(jù)、人員、業(yè)務連續(xù)性等多個維度給乙方制定安全準則，在準入的時候通過現(xiàn)場調研或遠程調取資料進行安全印象評估。

B組代表：除了合同還有隱私保密條款、NDA等。此外，還可以對第三方做安全評估，在數(shù)據(jù)發(fā)送時，審查哪些數(shù)據(jù)是會脫敏的，當中可能會涉及多方計算、匿名沙盒等相關技術。另外，還可以要求第三方支付一筆押金，在出現(xiàn)安全問題時，對其進行罰款。

C組代表：首先要告知用戶，在獲得用戶同意和符合法律法規(guī)的前提下，進行第三方披露。

D組代表：作為企業(yè)的安全人員，首先要考慮為什么會出現(xiàn)個人隱私數(shù)據(jù)向第三方批量發(fā)送的情況。業(yè)務方出于自己的目的，不太會考慮這些問題，但安全人員一定要經常踩剎車。首先要評估業(yè)務場景的真實性，評估其是否必要、對公司是否有價值;然后再去考慮場景當中可能的風險，以及該采取怎樣的控制手段。

隨著《民法典》、《數(shù)據(jù)安全法(草案)》、《個人信息保護法(草案)》等法律陸續(xù)出臺，個人隱私數(shù)據(jù)安全合規(guī)管理將成為企業(yè)的必備能力，促進企業(yè)從產品形態(tài)、數(shù)據(jù)應用機制、技術安全措施等多維度落實法律法規(guī)要求。

騰訊安全將持續(xù)提升隱私數(shù)據(jù)安全防護方面的技術積累和科研能力，發(fā)揮騰訊云數(shù)據(jù)安全中臺端到端的云數(shù)據(jù)全生命周期安全體系的優(yōu)勢，幫助企業(yè)加強數(shù)據(jù)安全防護水平及合規(guī)性。

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現(xiàn)的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）