2020年1月4日,中国云计算生态发展峰会暨安徽信息技术应用创新产业联盟揭牌仪式在合肥隆重举行。会议云集政府领导、专家院士以及数百家知名企业,共同探讨信息技术应用的创新前景,剖析云计算生态产业的发展。会上,联想作为云计算生态发展联盟核心单位…
进入2020年,涉及个人隐私数据保护的各方面工作齐头并进,各类法律法规和地方性规范性文件密集出台。监管愈加严格,企业如何适应新环境?
近日,腾讯安全主办的CSO俱乐部沙龙在上海举办个人隐私数据安全保护专场,汇聚了来自金融、物流、汽车、通信、能源、航空等行业的安全代表,共同探讨个人隐私数据话题安全保护。本次沙龙设有主题分享和分组讨论环节,形成了集政策解读、需求对接、实践分享、成果积累于一体的沙龙模式,为各界加强个人隐私数据安全保护能力和合规性提供理论依据。指导和实际参考。
话题分享
何彦哲|个人信息保护及数据安全合规政策解读
世界每天产生大约2EB的数据。人类近两年产生的数据总量已经超过了以往所有数据的总和。数据创造的价值不断被挖掘,数据正在成为这个时代最有价值的资源。
由于数据本身的经济价值以及数据安全涉及的个人隐私保护,数据安全备受社会关注。今年5月全国人大通过的《民法典》明确个人信息受法律保护。期待已久的《中华人民共和国数据安全法(草案)》和《个人信息保护法(草案)》也相继发布。7月、10月将进入征求意见阶段。
根据受影响的实体,监管层面将数据分为几大类:
首先,公司自身数据主要涉及知识产权的保护。目前,这方面需要做的工作相对较少。
第二是个人信息。个人信息的范围非常广泛。只要是与个人身份绑定并对其产生影响的,就是个人信息。企业除了保证个人信息的机密性、完整性、可用性外,还必须保证用户的选择权、知情权、注销删除权。个人信息是当前信息安全保护的重点。
三是影响国家安全和公共利益的数据。这类数据称为重要数据。对于重要数据的安全保护,行业仍处于探索阶段。
江琼|后疫情时代证券公司数据安全体系实践
与银行相比,证券公司自研能力较弱,需要引入外包人员帮助发展。如何管控外包人员,确保数据资产不泄露,成为证券公司面临的一大挑战。零信任安全架构很好地帮助经纪商解决了这个问题。
零信任安全架构作为一种可实施的安全信任治理解决方案,为安全信任的全生命周期治理提供了一套思路。
基于零信任、永不信任、持续验证的理念,企业可以接入统一身份认证系统(IAM),该系统以身份为核心,对默认的不可信访问请求进行多重认证和加密,并结合动态访问控制和持续的信任。评估等核心能力,低成本实现安全准入控制能力的统一建设。此外,这也避免了员工越权操作等权限使用不当带来的安全风险,以及权限分散、跨站点/业务访问资源困难等问题。
刘海洋|大数据时代隐私数据安全保护实践
个人隐私数据安全保护已从合规与安全事件驱动的1.0时代转向数据价值驱动的2.0时代。
2.0时代,数据安全防护将向整体防护、动态风控、协同参与三个方向发展。资产管理智能化、安全能力组件化、安全分析集中化是实现这三个方向的重要途径。
目前,企业在实际业务中遇到的个人隐私数据安全问题主要发生在数据提取、大数据平台、APP数据传输等场景。风险包括大数据暴露、缺乏审计手段、缺乏数据行为识别能力和资产状况等。不清楚等等。
针对上述情况,腾讯安全提出了个人隐私数据安全保护六步实用策略:
1、明确职责。确定数据部门、应用部门或安全部门是否应牵头保护个人隐私数据。
2、从资产、访问、风险、权限四个维度盘点数据资产。如果资产不清晰,安全控制就无法到位。
3.梳理数据活动。梳理数据活动可以帮助企业了解业务数据的状态,了解可能存在的风险,以及需要重点关注的安全能力。
4、确定防护体系的技术路线,目前主要有五种方法:标准单品建设、系统化建设、场景化建设、平台级建设和按照数据生命周期建设。
5、准备具体的制度。制度是否切合实际、得到充分落实,是企业需要关注的问题。
6、通过审核、审核等方式验证安全防护措施的落实情况。
小组圆桌讨论
主题分享结束后,沙龙活动进入圆桌讨论环节。圆桌会议采用小组讨论的形式,与会嘉宾组成A、B、C、D四个小组。他们围绕个人数据保护治理层和运营层的诸多热点话题进行思维碰撞,并选出小组代表输出讨论结果,由集体投票表决。选择获胜者。
以下是四组围绕热点话题输出的精彩观点:
1、如何解决个人数据保护责任不明确、角色不明确、权利不足的问题?
A组代表:首先管理层必须形成统一认识,认识到个人信息保护的重要性。这一目标可以通过两种方式实现:一是事件触发,将安全事件作为数据安全保护的主要驱动力;二是监管,根据有针对性的监管政策向管理灌输理念。
其次,要专人专岗,成立专门的数据安全团队。
B组代表:职责不明确,隐私保护工作开展起来困难重重。这种情况在各行各业都存在。要解决这个问题,首先要获得大老板的支持。没有这个前提,工作肯定无法开展。
此外,保护个人信息需要业务部门、安全部门、法务部门等多方参与。只要缺少其中一个角色,工作就不会取得进展。
C组代表:个人数据保护必须有自上而下的设计,明确责任部门,并赋予其牵头协调安全管理的权利。
D组代表:制造、通信企业与金融、证券企业面临的情况截然不同。金融、证券公司的个人信息保护可以通过政策和文件直接驱动,但在制造和通信公司却很难。尽管领导十分重视,但没有资金、没有资源,这项工作往往无法开展。
2.PIA工艺技术团队是否参与?它倾向于注重技术控制还是管理控制?
A组代表:PIA过程评估。该银行的做法是脱离业务线和技术线分开调查。技术团队和业务团队有不同的关注点。技术团队可能更关注加密和传输相关的内容,而业务则在处理过程中看到更多的风险点。因此,这样的两条线调查机制非常重要。技术团队在评估自身技术的同时,也要参与业务评估。
B组代表:技术团队一定要参加,技术控制一定要以技术控制为主。过去总说技术三分,管理七分,但在今天的情况下,没有技术控制,管理很难出好成绩。
C组代表:PIA过程需要技术团队的参与,但仍然需要管理主导。技术团队会无条件执行管理层提出的要求,做到技术与管理结合实施。
D组代表:技术控制优先。管理上要有要求,但技术上还需要落实。
3.更新和处理个人隐私数据的目的是什么?如何保证及时更新、通知并征得用户同意?
A组代表:一是建立专门的团队,要求大家找茬,通过激励激励大家共同努力,确保合规。二是邀请第三方或组织内部评估方进行定期评估。同时,新产品、新服务推出时,必须经过第三方安全部门或数据控制部门的评估,相关标准必须纳入安全开发周期(CSDN)。
B组代表:从实际情况来看,很多单位发布APP时,由于内部流程不完善,内部功能发生了变化,但外部没有更新。结果,顾客抱怨不断。理想的状态是在公司内部建立一套成熟完整的发布流程,覆盖从业务项目立项到最终发布的所有审批环节。然而,在实践中,这种理想化的状态却很难实现。
C组代表:可通过APP、短信、电话、客服中心及时通知用户或合作单位。
D组代表:个人隐私数据更新和登录通知都是按照法律要求执行的。
4.衍生数据应如何控制?
A组代表:衍生数据是一个比较新的概念,是指客户画像等数据经过大数据分析后的结果。
首先,企业必须确定自己拥有哪些衍生数据、这些数据的重要性以及如果泄露会产生哪些风险;其次,要纠正当前管控形势中的薄弱环节;整个过程有点类似于PDCA。
B组代表:首先判断是否是敏感数据。如果是,将纳入敏感数据管控系统。如果不是,则不会包含在内。现在也存在一些灰色地带,是否属于敏感数据还没有人下定论。根据现行法律的理解,如果不能确定,则默认不成立。
C组代表:一是去标识化,二是保证衍生数据无法追溯到原始数据。首先,要保证推导出来的数据不会导致原始数据的泄露。其次,需要根据法律法规明确衍生数据是否属于敏感数据。
D组代表:衍生品数据控制的问题在互联网公司可能更加明显。派生数据控制的问题在于没有数据所有者。在传统行业中,财务数据属于金融,产品开发数据属于研发。职责非常明确。一方面,派生数据没有所有者,另一方面,又有很多用户。
5.个人有权被遗忘和删除私人数据。这是如何实施的?如何实现自我认证?
A组代表:大数据必须流动才有价值。银行业有很多系统。数据一旦采集,经过汇总、整合、流通后,将保留在各个系统中。一次性彻底清除是非常困难的。这种情况下,比较简单的做法是先对内部系统进行梳理,分析有多少系统是客户感兴趣的,然后先删除这些系统中的数据。
B组代表:建议开发一个可以删除用户的系统,并且可以看到哪些用户被删除了。这只能作为简单的自我证明,并不能很深入。其次,在数据库设计层面,将个人隐私和个人行为数据关联起来,方便用户自我删除、遗忘时的前端操作和后端实现。如果数据分散在多个系统中,则无法一键清除。
C组代表:建议通过第三方认证和内部文件保存来审核数据访问的自我认证。很多时候不清楚如何证明自己,所以建议采用三方合作的方式。
D组代表:如果我有贷款记录,可以注销账户或者被遗忘吗?答案是不。虽然可以关掉账户,但是贷款记录还在。
6、如果个人隐私数据批量发送给第三方,除了合同之外,第三方还有哪些有效的监管方式来保证安全?
A组代表:除了签订数据合作协议、数据包协议外,银行还会从两个方面进行外包管控:一是甲乙方管控,二是年检。
所谓甲乙方控制,首先要明确甲方作为外包管理部门或者业务实施部门对于这项业务应该承担哪些职责,然后沿着这个思路延伸,知道甲方的管理和执行有哪些规定。内部相关部门应当遵守。实施到什么程度。其次,我们将从机房、应用、数据、人员、业务连续性等多个维度为乙方制定安全指引,并通过现场勘察或远程检索访问过程中的信息进行安全印象评估。
B组代表:除了合同之外,还有隐私条款、NDA等。此外,还可以对第三方进行安全评估,审查数据发送时会对哪些数据进行脱敏,这可能会涉及到多方计算、匿名沙箱等相关技术。此外,如果出现安全问题,第三方还可能被要求缴纳押金并处以罚款。
C组代表:首先要告知用户,第三方披露必须经过用户同意,并符合法律法规。
D组代表:作为企业安全人员,首先要考虑个人隐私数据为什么会批量发送给第三方。为了自己的目的,业务方不会考虑这些问题,但安全人员必须时刻踩刹车。首先评估业务场景的真实性、是否有必要、对公司是否有价值;然后考虑场景中可能存在的风险以及应采取哪些控制措施。
随着《民法典》、《数据安全法(草案)》、《个人信息保护法(草案)》等法律的出台,个人隐私数据安全与合规管理将成为企业必备能力,推动企业从产品形态向产品形态转型。数据应用机制、技术安全措施等多维度落实法律监管要求。
腾讯安全将持续提升在隐私数据安全保护方面的技术积累和科研能力,利用腾讯云数据安全端到端的云数据全生命周期安全体系优势,帮助企业强化数据安全防护水平和合规性。