騰訊安全CSO俱樂部沙龍 | 個(gè)人隱私數(shù)據(jù)安全政策頻頻加碼,企業(yè)該如何應(yīng)對(duì)?

  • 人閱讀
  • 2020-12-19 17:49:10

  • 來源:互聯(lián)網(wǎng)

  • 相關(guān)關(guān)鍵詞

進(jìn)入2020年,涉及個(gè)人隱私數(shù)據(jù)保護(hù)的各方面工作齊頭并進(jìn),各項(xiàng)法律法規(guī)及地方規(guī)范性文件密集出臺(tái)。監(jiān)管趨嚴(yán)的態(tài)勢(shì)下,企業(yè)如何適應(yīng)新的環(huán)境?

近日,由騰訊安全主辦的CSO俱樂部沙龍?jiān)谏虾Ee行了個(gè)人隱私數(shù)據(jù)安全防護(hù)專場(chǎng),匯聚了來自金融、物流、汽車、通信、能源、航空等行業(yè)的安全代表,圍繞“個(gè)人隱私數(shù)據(jù)安全防護(hù)”話題展開討論。本次沙龍?jiān)O(shè)有主題分享和分組研討環(huán)節(jié),形成了集政策解讀、需求配對(duì)、實(shí)踐分享、成果沉淀等于一體的沙龍模式,為各行各業(yè)加強(qiáng)個(gè)人隱私數(shù)據(jù)安全防護(hù)能力及合規(guī)性提供了理論指導(dǎo)和實(shí)踐參考。

主題分享

何延哲 | 個(gè)人信息保護(hù)和數(shù)據(jù)安全合規(guī)政策解讀

騰訊安全CSO俱樂部沙龍

全球每天產(chǎn)生大約2EB的數(shù)據(jù),人類最近兩年產(chǎn)生的數(shù)據(jù)總量已經(jīng)超過了此前所有數(shù)據(jù)的總和。數(shù)據(jù)創(chuàng)造的價(jià)值持續(xù)被挖掘,數(shù)據(jù)正在成為這個(gè)時(shí)代最寶貴的資源。

由于數(shù)據(jù)本身的經(jīng)濟(jì)價(jià)值、數(shù)據(jù)安全涉及個(gè)人隱私保護(hù)等,數(shù)據(jù)安全備受社會(huì)關(guān)注。今年5月全國人大表決通過的《民法典》中明確了個(gè)人信息受法律保護(hù),市場(chǎng)期待已久的《中華人民共和國數(shù)據(jù)安全法(草案)》、《個(gè)人信息保護(hù)法(草案)》也先后于7月、10月進(jìn)入征求意見階段。

根據(jù)受影響的主體,監(jiān)管層面將數(shù)據(jù)分成了幾個(gè)大類:

一是企業(yè)自有的數(shù)據(jù),主要關(guān)乎知識(shí)產(chǎn)權(quán)保護(hù),目前這一塊需要做的工作相對(duì)較少。

二是個(gè)人信息。個(gè)人信息的范圍非常廣,只要和個(gè)人身份綁定,會(huì)對(duì)其產(chǎn)生影響的數(shù)據(jù),都屬于個(gè)人信息。企業(yè)除了保障個(gè)人信息的保密性、完整性、可用性外,還要確保用戶的選擇權(quán)、知情權(quán)以及注銷和刪除的權(quán)利。個(gè)人信息是當(dāng)前信息安全防護(hù)的重點(diǎn)。

三是對(duì)國家安全和公共利益有影響的數(shù)據(jù),這類數(shù)據(jù)被稱為重要數(shù)據(jù)。關(guān)于重要數(shù)據(jù)的安全防護(hù),目前行業(yè)仍處在摸索階段。

蔣瓊 | 后疫情時(shí)代的券商數(shù)據(jù)安全體系實(shí)踐

騰訊安全CSO俱樂部沙龍

和銀行相比,券商自研能力偏弱,需要引入外包人員幫助開發(fā)。如何管控外包人員,保證數(shù)據(jù)資產(chǎn)不被泄露,成了券商企業(yè)面臨的一大挑戰(zhàn)。而零信任安全架構(gòu)很好地幫助券商解決了這一難題。

零信任安全架構(gòu)作為一個(gè)能落地的安全信任治理方案,提供了一套對(duì)安全信任進(jìn)行全生命周期治理的思路。

基于零信任“永不信任、持續(xù)驗(yàn)證”的理念,企業(yè)可以接入統(tǒng)一身份認(rèn)證系統(tǒng)(IAM),以身份為核心,對(duì)默認(rèn)不可信的訪問請(qǐng)求進(jìn)行多因素認(rèn)證加密,再結(jié)合動(dòng)態(tài)訪問控制和持續(xù)信任評(píng)估等核心能力,低成本實(shí)現(xiàn)安全訪問控制能力的統(tǒng)一建設(shè)。此外,這也避免了員工越權(quán)操作等權(quán)限使用不當(dāng)帶來的安全隱患,以及權(quán)限分散、跨站點(diǎn)/業(yè)務(wù)的資源訪問難等問題。

劉海洋 | 大數(shù)據(jù)時(shí)代隱私數(shù)據(jù)安全防護(hù)實(shí)踐

 騰訊安全CSO俱樂部沙龍

個(gè)人隱私數(shù)據(jù)安全防護(hù)已經(jīng)從合規(guī)和安全事件驅(qū)動(dòng)的1.0時(shí)代邁進(jìn)了數(shù)據(jù)價(jià)值驅(qū)動(dòng)的2.0時(shí)代。

2.0時(shí)代,數(shù)據(jù)安全防護(hù)將朝著整體防護(hù)、動(dòng)態(tài)風(fēng)控、協(xié)同參與三大方向發(fā)展,而資產(chǎn)管理智能化、安全能力組件化和安全分析中心化是達(dá)成三大方向的重要途徑。

目前,企業(yè)實(shí)際業(yè)務(wù)中遇到的個(gè)人隱私數(shù)據(jù)安全問題主要出現(xiàn)在數(shù)據(jù)提取、大數(shù)據(jù)平臺(tái)、APP數(shù)據(jù)流轉(zhuǎn)等場(chǎng)景,風(fēng)險(xiǎn)內(nèi)容包括數(shù)據(jù)暴露面大、缺少稽核手段、缺少數(shù)據(jù)行為識(shí)別能力和資產(chǎn)狀況不清等。

針對(duì)以上現(xiàn)狀,騰訊安全提出了“六步走”的個(gè)人隱私數(shù)據(jù)安全防護(hù)實(shí)踐策略:

一、明確職責(zé)。確定個(gè)人隱私數(shù)據(jù)安全防護(hù)究竟該由數(shù)據(jù)部門、應(yīng)用部門還是安全部門來牽頭。

二、從資產(chǎn)、訪問、風(fēng)險(xiǎn)、權(quán)限四個(gè)維度對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行盤點(diǎn)。資產(chǎn)不清,安全管控就無法到位。

三、梳理數(shù)據(jù)活動(dòng)。數(shù)據(jù)活動(dòng)的梳理可以幫助企業(yè)掌握業(yè)務(wù)數(shù)據(jù)的狀態(tài),了解可能存在的風(fēng)險(xiǎn)以及需要重點(diǎn)關(guān)注的安全能力。

四、確定防護(hù)體系技術(shù)路線,目前主要有五種做法:標(biāo)準(zhǔn)單品建設(shè)、體系化建設(shè)、場(chǎng)景化建設(shè)、平臺(tái)級(jí)建設(shè)和按數(shù)據(jù)生命周期建設(shè)。

五、編寫具體制度。制度是否切合實(shí)際,能否全面執(zhí)行,是企業(yè)需要重點(diǎn)思考的問題。

六、通過審計(jì)與稽核驗(yàn)證安全防護(hù)措施的執(zhí)行情況。

分組圓桌研討

主題分享結(jié)束后,沙龍活動(dòng)進(jìn)入圓桌討論環(huán)節(jié)。圓桌采用分組討論形式,由與會(huì)嘉賓組成A、B、C、D四個(gè)小組,圍繞個(gè)人數(shù)據(jù)保護(hù)治理層和運(yùn)營(yíng)層的諸多熱點(diǎn)議題展開思維碰撞,并推選出小組代表輸出討論結(jié)果,由集體投票評(píng)選出優(yōu)勝方。

騰訊安全CSO俱樂部沙龍

以下是四個(gè)小組圍繞熱點(diǎn)議題輸出的精彩觀點(diǎn):

1.如何解決個(gè)人數(shù)據(jù)保護(hù)職責(zé)不清、角色不清、權(quán)利不夠的問題?

A組代表:首先要讓管理層形成統(tǒng)一認(rèn)識(shí),認(rèn)識(shí)到個(gè)人信息保護(hù)的重要性。這個(gè)目的可以通過兩種途徑來實(shí)現(xiàn):一是事件觸發(fā),利用安全事件作為數(shù)據(jù)安全保護(hù)的重大推手;二是監(jiān)管發(fā)力,針對(duì)最新的監(jiān)管政策向管理層做理念灌輸。

其次要專人專崗,成立專門的數(shù)據(jù)安全團(tuán)隊(duì)來做這件事情。

B組代表:職責(zé)不清導(dǎo)致隱私保護(hù)工作難以開展的情況,各行各行都存在。解決這個(gè)問題首先要獲得大老板支持,沒有這個(gè)前提,工作肯定開展不下去。

另外,保護(hù)個(gè)人信息需要業(yè)務(wù)部門、安全部門、法務(wù)部門等多方參與,只要缺少其中一個(gè)角色,工作便推進(jìn)不下去。

C組代表:個(gè)人數(shù)據(jù)保護(hù)要有自上而下的頂層設(shè)計(jì),明確主責(zé)部門,賦予它最大的權(quán)利來牽頭協(xié)調(diào)安全管理工作。

D組代表:制造類、通信類企業(yè)跟金融、證券企業(yè)面臨的情況有很大差異。金融、證券企業(yè)的個(gè)人信息保護(hù)可以靠政策和文件直接驅(qū)動(dòng),而在制造類、通信類企業(yè)卻很難。領(lǐng)導(dǎo)雖然很重視,但沒錢、沒資源,工作很多時(shí)候執(zhí)行不下去。

2.PIA流程技術(shù)團(tuán)隊(duì)是否參與??jī)A向技術(shù)控制為主還是管理控制為主?

A組代表:PIA流程評(píng)估,銀行的做法是從業(yè)務(wù)和技術(shù)兩條線分別排查。技術(shù)團(tuán)隊(duì)和業(yè)務(wù)團(tuán)隊(duì)有不同的關(guān)注點(diǎn),技術(shù)團(tuán)隊(duì)可能更關(guān)注加密、傳輸相關(guān)的內(nèi)容,業(yè)務(wù)看到的更多是處理流程上的風(fēng)險(xiǎn)點(diǎn)。所以這樣一個(gè)雙線排查的機(jī)制非常重要。技術(shù)團(tuán)隊(duì)在評(píng)估自己技術(shù)的同時(shí),也要參與到業(yè)務(wù)評(píng)估當(dāng)中。

B組代表:技術(shù)團(tuán)隊(duì)必須參與,而且要以技術(shù)控制為主。以前總說“三分技術(shù),七分管理”,但在今天的形勢(shì)下,沒有技術(shù)控制,管理很難產(chǎn)生好的效果。

C組代表:PIA流程需要技術(shù)團(tuán)隊(duì)參與,但還是要以管理為主。管理層提的要求,技術(shù)團(tuán)隊(duì)無條件去執(zhí)行,所以技術(shù)是配合管理來實(shí)施的。

D組代表:技術(shù)控制優(yōu)先,管理上肯定有要求,但還是需要技術(shù)落地。

3.個(gè)人隱私數(shù)據(jù)更新處理的目的?怎么確保及時(shí)更新、告知和獲取用戶同意?

A組代表:一是通過“大家來找茬”的方式,建立專門的團(tuán)隊(duì),通過獎(jiǎng)勵(lì)措施激勵(lì)大家群策群力,以確保合規(guī)性。二是邀請(qǐng)第三方或者組織內(nèi)部測(cè)評(píng)方,開展定期評(píng)估。同時(shí),新產(chǎn)品和新業(yè)務(wù)上線時(shí),要有第三方安全部門或數(shù)據(jù)管控部門進(jìn)行評(píng)估,把相關(guān)標(biāo)準(zhǔn)納入到安全開發(fā)周期(CSDN)。

B組代表:從實(shí)際情況來看,很多單位在發(fā)布APP時(shí),因?yàn)閮?nèi)部流程不暢,導(dǎo)致內(nèi)部功能發(fā)生了變化,但外部沒有更新,結(jié)果被客戶投訴。理想化的狀態(tài)是,公司內(nèi)部建立一套成熟完善的發(fā)布流程,囊括業(yè)務(wù)立項(xiàng)到最后發(fā)布之間的所有審批環(huán)節(jié)。但實(shí)際情況下,這種理想化狀態(tài)很難實(shí)現(xiàn)。

C組代表:可以通過APP、短信、電話和客服中心對(duì)用戶或合作單位進(jìn)行及時(shí)告知。

D組代表:個(gè)人隱私數(shù)據(jù)更新和登錄告知,都是按照法務(wù)的要求來執(zhí)行的。

4.衍生數(shù)據(jù)應(yīng)該如何管控?

A組代表:衍生數(shù)據(jù)是一個(gè)比較新的概念,指的是客戶畫像等數(shù)據(jù)經(jīng)過大數(shù)據(jù)分析后產(chǎn)生的結(jié)果。

首先企業(yè)要確定自己有哪些衍生數(shù)據(jù),這些數(shù)據(jù)重要性如何,泄露后會(huì)產(chǎn)生哪些風(fēng)險(xiǎn);然后針對(duì)管控現(xiàn)狀中的薄弱點(diǎn)進(jìn)行整改;整套流程有點(diǎn)類似PDCA。

B組代表:首先判斷是不是敏感數(shù)據(jù),如果是則納入敏感數(shù)據(jù)管控體系,如果不是則不納入?,F(xiàn)在也有一些灰色地帶,是不是敏感數(shù)據(jù),大家沒有定論。按照對(duì)現(xiàn)行法律的理解,如果無法確定,則默認(rèn)為不是。

C組代表:一是去標(biāo)識(shí)化,二是確保衍生數(shù)據(jù)無法溯源到原始數(shù)據(jù)。首先要保證衍生數(shù)據(jù)不會(huì)導(dǎo)致原始數(shù)據(jù)泄密,其次要根據(jù)法律法規(guī)明確衍生數(shù)據(jù)是否屬于敏感數(shù)據(jù)。

D組代表:衍生數(shù)據(jù)的管控問題可能在互聯(lián)網(wǎng)企業(yè)會(huì)比較明顯。衍生數(shù)據(jù)管控最大的問題是沒有數(shù)據(jù)owner。在傳統(tǒng)行業(yè),財(cái)務(wù)的數(shù)據(jù)歸財(cái)務(wù),開發(fā)產(chǎn)品的數(shù)據(jù)歸研發(fā),職責(zé)很清晰。而衍生數(shù)據(jù)一方面沒有owner,另一方面使用方又非常多。

5.個(gè)人有被遺忘、可刪除隱私數(shù)據(jù)的權(quán)利,這方面是如何實(shí)現(xiàn)的?如何實(shí)現(xiàn)自我證明?

A組代表:大數(shù)據(jù)要流動(dòng)起來才有價(jià)值。銀行業(yè)有非常多的系統(tǒng),數(shù)據(jù)一旦采集進(jìn)來,經(jīng)過匯聚融合和流轉(zhuǎn),會(huì)在各個(gè)系統(tǒng)中留存,要一下子完全清除,是非常困難的。這種情況下,比較容易落地的做法是:先對(duì)內(nèi)部系統(tǒng)進(jìn)行梳理,分析有多少系統(tǒng)是客戶有感的,先把這些系統(tǒng)中的數(shù)據(jù)刪除。

B組代表:建議開發(fā)一套系統(tǒng),系統(tǒng)上可以刪除用戶,以及看到哪些用戶被刪除了。這只能起到簡(jiǎn)單自我證明的作用,沒辦法做到很深入。其次,在數(shù)據(jù)庫的設(shè)計(jì)層面,把個(gè)人隱私和個(gè)人行為數(shù)據(jù)進(jìn)行關(guān)聯(lián),便于用戶自我刪除和自我遺忘時(shí)的前臺(tái)操作和后臺(tái)實(shí)現(xiàn)。如果數(shù)據(jù)散落在多個(gè)系統(tǒng)當(dāng)中,是無法做到一鍵清除的。

C組代表:建議通過第三方認(rèn)證和內(nèi)部文檔留存來審核數(shù)據(jù)訪問的自我證實(shí)。很多時(shí)候自己證明自己并不很明確,因此建議采用三方合作的方式。

D組代表:假如我有一筆貸款記錄,我能銷戶,能被遺忘嗎?答案是不能。雖然我可以銷戶,但貸款記錄還在。

6.個(gè)人隱私數(shù)據(jù)向第三方批量發(fā)送,對(duì)第三方除了合同還有哪些有效的監(jiān)管手段保障安全?

A組代表:除了簽訂數(shù)據(jù)合作協(xié)議和數(shù)據(jù)包協(xié)議外,銀行還會(huì)從兩個(gè)方面進(jìn)行外包管控:一是甲乙方控制,二是年度檢查。

所謂甲乙方控制,首先要明確甲方作為外包的管理部門或者業(yè)務(wù)的實(shí)施部門,針對(duì)這項(xiàng)業(yè)務(wù)應(yīng)該承擔(dān)什么樣的責(zé)任,然后順著這個(gè)思路延展,知曉管理層和內(nèi)部相關(guān)部門應(yīng)該遵守哪些規(guī)定,執(zhí)行到什么程度。其次,從機(jī)房、應(yīng)用、數(shù)據(jù)、人員、業(yè)務(wù)連續(xù)性等多個(gè)維度給乙方制定安全準(zhǔn)則,在準(zhǔn)入的時(shí)候通過現(xiàn)場(chǎng)調(diào)研或遠(yuǎn)程調(diào)取資料進(jìn)行安全印象評(píng)估。

B組代表:除了合同還有隱私保密條款、NDA等。此外,還可以對(duì)第三方做安全評(píng)估,在數(shù)據(jù)發(fā)送時(shí),審查哪些數(shù)據(jù)是會(huì)脫敏的,當(dāng)中可能會(huì)涉及多方計(jì)算、匿名沙盒等相關(guān)技術(shù)。另外,還可以要求第三方支付一筆押金,在出現(xiàn)安全問題時(shí),對(duì)其進(jìn)行罰款。

C組代表:首先要告知用戶,在獲得用戶同意和符合法律法規(guī)的前提下,進(jìn)行第三方披露。

D組代表:作為企業(yè)的安全人員,首先要考慮為什么會(huì)出現(xiàn)個(gè)人隱私數(shù)據(jù)向第三方批量發(fā)送的情況。業(yè)務(wù)方出于自己的目的,不太會(huì)考慮這些問題,但安全人員一定要經(jīng)常踩剎車。首先要評(píng)估業(yè)務(wù)場(chǎng)景的真實(shí)性,評(píng)估其是否必要、對(duì)公司是否有價(jià)值;然后再去考慮場(chǎng)景當(dāng)中可能的風(fēng)險(xiǎn),以及該采取怎樣的控制手段。

隨著《民法典》、《數(shù)據(jù)安全法(草案)》、《個(gè)人信息保護(hù)法(草案)》等法律陸續(xù)出臺(tái),個(gè)人隱私數(shù)據(jù)安全合規(guī)管理將成為企業(yè)的必備能力,促進(jìn)企業(yè)從產(chǎn)品形態(tài)、數(shù)據(jù)應(yīng)用機(jī)制、技術(shù)安全措施等多維度落實(shí)法律法規(guī)要求。

騰訊安全將持續(xù)提升隱私數(shù)據(jù)安全防護(hù)方面的技術(shù)積累和科研能力,發(fā)揮騰訊云數(shù)據(jù)安全中臺(tái)端到端的云數(shù)據(jù)全生命周期安全體系的優(yōu)勢(shì),幫助企業(yè)加強(qiáng)數(shù)據(jù)安全防護(hù)水平及合規(guī)性。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )