首页 > 传媒 > 关键词 > 腾讯安全最新资讯 > 正文

腾讯安全CSO俱乐部沙龙 | 个人隐私数据安全政策频频加码,企业该如何应对?

2020-12-21 10:03 · 稿源:站长之家用户投稿

进入2020年,涉及个人隐私数据保护的各方面工作齐头并进,各项法律法规及地方规范性文件密集出台。监管趋严的态势下,企业如何适应新的环境?

近日,由腾讯安全主办的CSO俱乐部沙龙在上海举行了个人隐私数据安全防护专场,汇聚了来自金融、物流、汽车、通信、能源、航空等行业的安全代表,围绕“个人隐私数据安全防护”话题展开讨论。本次沙龙设有主题分享和分组研讨环节,形成了集政策解读、需求配对、实践分享、成果沉淀等于一体的沙龙模式,为各行各业加强个人隐私数据安全防护能力及合规性提供了理论指导和实践参考。

主题分享

何延哲 | 个人信息保护和数据安全合规政策解读

全球每天产生大约2EB的数据,人类最近两年产生的数据总量已经超过了此前所有数据的总和。数据创造的价值持续被挖掘,数据正在成为这个时代最宝贵的资源。

由于数据本身的经济价值、数据安全涉及个人隐私保护等,数据安全备受社会关注。今年5月全国人大表决通过的《民法典》中明确了个人信息受法律保护,市场期待已久的《中华人民共和国数据安全法(草案)》、《个人信息保护法(草案)》也先后于7月、10月进入征求意见阶段。

根据受影响的主体,监管层面将数据分成了几个大类:

一是企业自有的数据,主要关乎知识产权保护,目前这一块需要做的工作相对较少。

二是个人信息。个人信息的范围非常广,只要和个人身份绑定,会对其产生影响的数据,都属于个人信息。企业除了保障个人信息的保密性、完整性、可用性外,还要确保用户的选择权、知情权以及注销和删除的权利。个人信息是当前信息安全防护的重点。

三是对国家安全和公共利益有影响的数据,这类数据被称为重要数据。关于重要数据的安全防护,目前行业仍处在摸索阶段。

蒋琼 | 后疫情时代的券商数据安全体系实践

和银行相比,券商自研能力偏弱,需要引入外包人员帮助开发。如何管控外包人员,保证数据资产不被泄露,成了券商企业面临的一大挑战。而零信任安全架构很好地帮助券商解决了这一难题。

零信任安全架构作为一个能落地的安全信任治理方案,提供了一套对安全信任进行全生命周期治理的思路。

基于零信任“永不信任、持续验证”的理念,企业可以接入统一身份认证系统(IAM),以身份为核心,对默认不可信的访问请求进行多因素认证加密,再结合动态访问控制和持续信任评估等核心能力,低成本实现安全访问控制能力的统一建设。此外,这也避免了员工越权操作等权限使用不当带来的安全隐患,以及权限分散、跨站点/业务的资源访问难等问题。

刘海洋 | 大数据时代隐私数据安全防护实践

个人隐私数据安全防护已经从合规和安全事件驱动的1.0时代迈进了数据价值驱动的2.0时代。

2.0时代,数据安全防护将朝着整体防护、动态风控、协同参与三大方向发展,而资产管理智能化、安全能力组件化和安全分析中心化是达成三大方向的重要途径。

目前,企业实际业务中遇到的个人隐私数据安全问题主要出现在数据提取、大数据平台、APP数据流转等场景,风险内容包括数据暴露面大、缺少稽核手段、缺少数据行为识别能力和资产状况不清等。

针对以上现状,腾讯安全提出了“六步走”的个人隐私数据安全防护实践策略:

一、明确职责。确定个人隐私数据安全防护究竟该由数据部门、应用部门还是安全部门来牵头。

二、从资产、访问、风险、权限四个维度对数据资产进行盘点。资产不清,安全管控就无法到位。

三、梳理数据活动。数据活动的梳理可以帮助企业掌握业务数据的状态,了解可能存在的风险以及需要重点关注的安全能力。

四、确定防护体系技术路线,目前主要有五种做法:标准单品建设、体系化建设、场景化建设、平台级建设和按数据生命周期建设。

五、编写具体制度。制度是否切合实际,能否全面执行,是企业需要重点思考的问题。

六、通过审计与稽核验证安全防护措施的执行情况。

分组圆桌研讨

主题分享结束后,沙龙活动进入圆桌讨论环节。圆桌采用分组讨论形式,由与会嘉宾组成A、B、C、D四个小组,围绕个人数据保护治理层和运营层的诸多热点议题展开思维碰撞,并推选出小组代表输出讨论结果,由集体投票评选出优胜方。

以下是四个小组围绕热点议题输出的精彩观点:

1.如何解决个人数据保护职责不清、角色不清、权利不够的问题?

A组代表:首先要让管理层形成统一认识,认识到个人信息保护的重要性。这个目的可以通过两种途径来实现:一是事件触发,利用安全事件作为数据安全保护的重大推手;二是监管发力,针对最新的监管政策向管理层做理念灌输。

其次要专人专岗,成立专门的数据安全团队来做这件事情。

B组代表:职责不清导致隐私保护工作难以开展的情况,各行各行都存在。解决这个问题首先要获得大老板支持,没有这个前提,工作肯定开展不下去。

另外,保护个人信息需要业务部门、安全部门、法务部门等多方参与,只要缺少其中一个角色,工作便推进不下去。

C组代表:个人数据保护要有自上而下的顶层设计,明确主责部门,赋予它最大的权利来牵头协调安全管理工作。

D组代表:制造类、通信类企业跟金融、证券企业面临的情况有很大差异。金融、证券企业的个人信息保护可以靠政策和文件直接驱动,而在制造类、通信类企业却很难。领导虽然很重视,但没钱、没资源,工作很多时候执行不下去。

2.PIA流程技术团队是否参与?倾向技术控制为主还是管理控制为主?

A组代表:PIA流程评估,银行的做法是从业务和技术两条线分别排查。技术团队和业务团队有不同的关注点,技术团队可能更关注加密、传输相关的内容,业务看到的更多是处理流程上的风险点。所以这样一个双线排查的机制非常重要。技术团队在评估自己技术的同时,也要参与到业务评估当中。

B组代表:技术团队必须参与,而且要以技术控制为主。以前总说“三分技术,七分管理”,但在今天的形势下,没有技术控制,管理很难产生好的效果。

C组代表:PIA流程需要技术团队参与,但还是要以管理为主。管理层提的要求,技术团队无条件去执行,所以技术是配合管理来实施的。

D组代表:技术控制优先,管理上肯定有要求,但还是需要技术落地。

3.个人隐私数据更新处理的目的?怎么确保及时更新、告知和获取用户同意?

A组代表:一是通过“大家来找茬”的方式,建立专门的团队,通过奖励措施激励大家群策群力,以确保合规性。二是邀请第三方或者组织内部测评方,开展定期评估。同时,新产品和新业务上线时,要有第三方安全部门或数据管控部门进行评估,把相关标准纳入到安全开发周期(CSDN)。

B组代表:从实际情况来看,很多单位在发布APP时,因为内部流程不畅,导致内部功能发生了变化,但外部没有更新,结果被客户投诉。理想化的状态是,公司内部建立一套成熟完善的发布流程,囊括业务立项到最后发布之间的所有审批环节。但实际情况下,这种理想化状态很难实现。

C组代表:可以通过APP、短信、电话和客服中心对用户或合作单位进行及时告知。

D组代表:个人隐私数据更新和登录告知,都是按照法务的要求来执行的。

4.衍生数据应该如何管控?

A组代表:衍生数据是一个比较新的概念,指的是客户画像等数据经过大数据分析后产生的结果。

首先企业要确定自己有哪些衍生数据,这些数据重要性如何,泄露后会产生哪些风险;然后针对管控现状中的薄弱点进行整改;整套流程有点类似PDCA。

B组代表:首先判断是不是敏感数据,如果是则纳入敏感数据管控体系,如果不是则不纳入。现在也有一些灰色地带,是不是敏感数据,大家没有定论。按照对现行法律的理解,如果无法确定,则默认为不是。

C组代表:一是去标识化,二是确保衍生数据无法溯源到原始数据。首先要保证衍生数据不会导致原始数据泄密,其次要根据法律法规明确衍生数据是否属于敏感数据。

D组代表:衍生数据的管控问题可能在互联网企业会比较明显。衍生数据管控最大的问题是没有数据owner。在传统行业,财务的数据归财务,开发产品的数据归研发,职责很清晰。而衍生数据一方面没有owner,另一方面使用方又非常多。

5.个人有被遗忘、可删除隐私数据的权利,这方面是如何实现的?如何实现自我证明?

A组代表:大数据要流动起来才有价值。银行业有非常多的系统,数据一旦采集进来,经过汇聚融合和流转,会在各个系统中留存,要一下子完全清除,是非常困难的。这种情况下,比较容易落地的做法是:先对内部系统进行梳理,分析有多少系统是客户有感的,先把这些系统中的数据删除。

B组代表:建议开发一套系统,系统上可以删除用户,以及看到哪些用户被删除了。这只能起到简单自我证明的作用,没办法做到很深入。其次,在数据库的设计层面,把个人隐私和个人行为数据进行关联,便于用户自我删除和自我遗忘时的前台操作和后台实现。如果数据散落在多个系统当中,是无法做到一键清除的。

C组代表:建议通过第三方认证和内部文档留存来审核数据访问的自我证实。很多时候自己证明自己并不很明确,因此建议采用三方合作的方式。

D组代表:假如我有一笔贷款记录,我能销户,能被遗忘吗?答案是不能。虽然我可以销户,但贷款记录还在。

6.个人隐私数据向第三方批量发送,对第三方除了合同还有哪些有效的监管手段保障安全?

A组代表:除了签订数据合作协议和数据包协议外,银行还会从两个方面进行外包管控:一是甲乙方控制,二是年度检查。

所谓甲乙方控制,首先要明确甲方作为外包的管理部门或者业务的实施部门,针对这项业务应该承担什么样的责任,然后顺着这个思路延展,知晓管理层和内部相关部门应该遵守哪些规定,执行到什么程度。其次,从机房、应用、数据、人员、业务连续性等多个维度给乙方制定安全准则,在准入的时候通过现场调研或远程调取资料进行安全印象评估。

B组代表:除了合同还有隐私保密条款、NDA等。此外,还可以对第三方做安全评估,在数据发送时,审查哪些数据是会脱敏的,当中可能会涉及多方计算、匿名沙盒等相关技术。另外,还可以要求第三方支付一笔押金,在出现安全问题时,对其进行罚款。

C组代表:首先要告知用户,在获得用户同意和符合法律法规的前提下,进行第三方披露。

D组代表:作为企业的安全人员,首先要考虑为什么会出现个人隐私数据向第三方批量发送的情况。业务方出于自己的目的,不太会考虑这些问题,但安全人员一定要经常踩刹车。首先要评估业务场景的真实性,评估其是否必要、对公司是否有价值;然后再去考虑场景当中可能的风险,以及该采取怎样的控制手段。

随着《民法典》、《数据安全法(草案)》、《个人信息保护法(草案)》等法律陆续出台,个人隐私数据安全合规管理将成为企业的必备能力,促进企业从产品形态、数据应用机制、技术安全措施等多维度落实法律法规要求。

腾讯安全将持续提升隐私数据安全防护方面的技术积累和科研能力,发挥腾讯云数据安全中台端到端的云数据全生命周期安全体系的优势,帮助企业加强数据安全防护水平及合规性。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 超级科技与信隆行达成战略合作,用科技助力政企数据安全建设

    2020 年 1 月,杭州超级科技有限公司与上市公司上海信隆行信息科技股份有限公司(870522)达成战略合作。通过本次合作,两大公司实现金融、政企资源端与网络安全科技端的资源整合及优势互补,助力双方在网络安全建设,金融行业数据安全,政企数字化等领域更加稳健地发展。国家对于网络安全日益重视近年来,“以隐私泄露为代表的数据泄露问题”形势严峻,已经威胁到政治、民生等领域的稳定,特别是数字经济的持续、健康发展,数据安全

  • 首发!腾讯安全《CCGP跨链协同治理平台技术白皮书》正式亮相

    备受热议的区块链技术从概念向场景应用加速落地,而国内区块链底层技术平台“千链争艳”格局的形成,使得链间协作成为行业普遍关注的焦点。 1 月 13 日,在国家工业信息安全发展研究中心指导、计世资讯(CCW Research)主办的2020 IT用户满意度大会上,腾讯安全领御正式发布了聚焦跨链协同治理的解决方案——《CCGP跨链协同治理平台技术白皮书》(以下简称白皮书)。(腾讯安全发布《T-Sec CCGP跨链协同治理平台技术白皮书》)针对

  • 腾讯QQ:兴趣部落将在2月底全面停止运营

    今日,QQ兴趣部落团队发布停运公告称,由于业务发展方向调整,兴趣部落(包括兴趣部落App、兴趣部落网页版及手机QQ端)将全面停止运营并下线。

  • 中金数据集团与腾讯云签署战略合作协议,共同布局并拓展信息安全、区块链等业务领域

    2021 年 1 月 19 日,中金数据集团有限公司与腾讯云计算(北京)有限责任公司在深圳腾讯公司总部签署战略合作协议,双方将共同布局并合力拓展信息安全、区块链等业务领域。中金数据集团董事长杨洁、腾讯副总裁丁珂、腾讯云副总裁陈平出席签约仪式,中金数据集团副总裁廖常如、腾讯云战略合作总经理兼华北渠道总经理庆雪辉代表双方签署战略合作协议。根据协议,在网络安全和信息安全领域,双方将以中金武汉数谷大数据中心为基础,合

  • 安全问题堪忧!新西兰央行数据系统遭黑客攻击

    当地时间周日,新西兰中央银行表示,一名身份不明的黑客入侵该行一个数据系统,该黑客可能访问商业和个人敏感信息。

  • 腾讯6大端手游集结,游戏安全月重拳整治不良游戏行为

    在刚刚过去的12 月,腾讯游戏安全在其官方微博和微信发布了一系列关于“游戏安全月”的推送,涉及的内容包括外挂打击、恶意信息打击、消极游戏行为打击等,如此密集的消息推送,让不少游戏玩家感受到了官方对游戏环境的整治力度之大。据了解,每年年底,腾讯游戏安全都会联合腾讯旗下各大游戏IP共同举办“游戏安全日”,至今已经连续举办了三届,2020 年的游戏安全日与过去两年不同,腾讯游戏安全把“安全日”升级为“安全月”,以

  • 腾讯6大端手游集结,游戏安全月重拳整治不良游戏行为

    在刚刚过去的12月,腾讯游戏安全在其官方微博和微信发布了一系列关于“游戏安全月”的推送,涉及的内容包括外挂打击、恶意信息打击、消极游戏行为打击等,如此密集的消息推送,让不少游戏玩家感受到了官方对游戏环境的整治力度之大。据了解,每年年底,腾讯游戏安全都会联合腾讯旗下各大游戏IP共同举办“游戏安全日”,至今已经连续举办了三届,2020年的游戏安全日与过去两年不同,腾讯游戏安全把“安全日”升级为“安全月”,以每

  • 腾讯云原生安全产品体系入选“ICT创新奖”

    云计算发展近二十年,已经步入了云原生时代。随着云原生加速普及应用,相关的安全风险与威胁也不断显现出来,安全成为了企业在云原生时代稳定持续发展的重要基石。日前,2020 年度《人民邮电》“ICT创新奖”评选结果正式揭晓,腾讯云原生安全产品体系凭借全面卓越的安全能力和开箱即用、弹性自适应的产品特性,获评“云安全产品领先奖”。由权威行业专家组成的评审团队,给予了腾讯云原生安全产品体系高度评价:腾讯云原生安全产品

  • 腾讯手机管家上线8.10版本,资料上云更安全

    在智能手机使用过程中,大家难免会存储一些重要的照片、视频等资料,方便需要的时候使用,例如身份证、银行卡照片。但当手机不小心安装了不良软件,或中木马病毒后,这些重要资料就可能会被窃取导致个人隐私泄露,甚至可能造成财产损失等严重后果。近期,腾讯手机管家上线8. 10 版本,为用户提供照片、视频、通讯录等手机资料备份能力,并提供密码、指纹、人脸识别三种资料查看验证机制,能够有效保障用户隐私安全。对于照片、视频

  • 美创数据治理助力市医保局建立全方位的医保监管防护网

    某市医保局为切实保障医保基金安全,提高使用效率,通过美创科技数据治理和可视化建设方案,形成多层次、立体化的基金监管网络,有效遏制了不法分子欺诈骗保行为,挽回了流失的医保基金,织就了保障人民群众健康的安全网。需求背景近年来,我国医疗卫生资源和服务量迅速增长,医疗卫生服务新产业、新业态、新模式不断涌现,医疗卫生领域“放管服”改革不断深化,同时,一些深层次的矛盾也逐渐暴露,特别是违规行为多样化与监管机制

  • 牵手世界500强!融慧金科数据管理平台全面落地

    进入数字经济时代,数据的价值日益凸显,已经成为各类机构的关键性战略资源和重要生产力。尤其在金融领域,数据更是支撑金融业务发展创新的重要基石,而构建完善、智能、高效的大数据“选、用、管”体系已成为行业的普遍诉求。近日,融慧金科合作伙伴再添重量级“大咖”:世界500强企业——远东宏信有限公司旗下宏信金服,双方共就数据管理平台建设项目达成合作。凭借领先的人工智能和丰富的大数据治理技术,融慧金科将为宏信金服?

  • 揭底疫情相关五大骗局,腾讯手机管家提醒注意安全防护

    近日,全国各地陆续开启疫苗接种工作,就在新冠疫苗成为大家热议话题时,有些骗子又紧跟上新冠疫苗的“时事热点”。对此,腾讯手机管家揭底疫情中骗子包装出的几种典型诈骗套路,帮助用户远离疫情相关骗局。 冒充权威机构,诱导点击链接 近期,新冠疫苗预约在全国范围内展开,骗子冒充疾控中心群发“新冠疫苗预约”的信息。以“开放预约、名额有限”等字眼,引诱受害人点击木马网址链接。点开链接要求填写身份证号、银行卡号等,?

  • 瓜瓜龙启蒙全新升级 全力突围兴趣启蒙

    在线教育可能是近两年国内竞争最激烈的行业之一,而其中专注于2-8岁儿童教育的Pre-k赛道,由于潜力巨大且胜负未定,日渐成为各家教育公司的必争之地。如何在Pre-k赛道脱颖而出,打造自己的长期作战能力?“后起之秀”瓜瓜龙启蒙的近期动作或许可以给行业提供一个新的视角。数据显示,瓜瓜龙自2020年6月正式推广至今,半年时间已实现从0到20万的用户增长,其中仅在2020年11、12两个月,新增学员数就超过10万,环比增长150%。基于此,瓜瓜龙迅速

  • T3出行发布2021年春运保障举措 “AI+大数据”护航安全健康出行

    近日,2021年春运正式拉开序幕。为贯彻落实国务院联防联控机制关于春运工作的统筹部署,积极响应“就地过年”的倡议,T3出行全面升级春运安保机制,从防疫、运营安全、应急响应等方面推出多项安全举措,全力保障司乘健康安全出行。“今年春运是常态化疫情防控下的第一个春运。T3出行把安全生产作为保障春运交通安全的第一要务,将严格落实疫情防控和出行安全的各项措施。”T3出行CEO崔大勇表示。成立春运安全领导小组 7x24小时轮岗

  • 天谕手游全部音轨位置坐标 音轨位置大全

    天谕手游中是可以探索地图获取一些音轨的,很多玩家还不清楚音轨的位置在哪,下面就来为大家分享一下天谕手游的音轨位置坐标。

  • 中金昆山数据中心暨腾讯云IDC上榜2020年度国家绿色数据中心公示名单

    为加快绿色数据中心建设,引领数据中心走高效、低碳、集约、循环的绿色发展道路,工信部、国家发改委等六部门联合发文,选择推荐一批能效水平高、技术先进、管理完善、代表性强的数据中心,入选2020年度国家绿色数据中心名单。2021年1月12日工信部公布的名单中,中金花桥数据系统有限公司昆山数据中心暨腾讯云IDC榜上有名,成为本次互联网领域上榜的企业之一。此次获评国家绿色数据中心,彰显了中金昆山数据中心一直以来追求绿色?

  • 滴滴公布春运安全保障公告 成立春运安全工作指挥部

    1月28日至3月8日,为期40天的2021年春运即将正式开启。对此,滴滴宣布成立春运安全工作指挥部,滴滴出行CEO、安全委员会主任程维任总指挥,滴滴出行总裁、安全委员会副主任柳青任副总指挥。

  • 腾讯Nintendo Switch马力欧限定版主机套装将于2月12日全球同步发售

    腾讯NintendoSwitch官方宣布,任天堂 Switch 马力欧限定版主机套装(马力欧特别版)将于2月12日全球同步发售,售价不变仍为2099元。

  • 挖掘数百万商户数据价值 腾讯云星星海携手微盟加速企业智慧转型

    “刮目相看”,微盟集团高级副总裁兼首席技术官黄骏伟这样形容腾讯云星星海服务器。作为“新经济SaaS第一股”和微信生态最大的第三方开发服务提供商,微盟围绕商业云、营销云、销售云打造智慧云端生态体系,通过去中心化的智慧商业解決方案赋能企业实现数字化转型。截至 2020 年上半年,微盟集团SaaS产品拥有超过 88000 位付费商户,包括联想、梦洁、林清轩、上海家化、巴拉巴拉、鄂尔多斯、安奈儿、内外等头部知名品牌。2020 年 6

  • 支付宝安全中心上线“安全学院” 警示“备用金退款”等多种骗局

    1月25日,国家反诈中心官方新媒体账号上线,在国家反诈中心指导下,支付宝安全中心设立的公益反诈防骗平台“安全学院”也正式登陆支付宝。来自全国公安机关的防骗专家将通过新媒体形式,为7亿支付宝用户提供反欺诈知识,帮助用户树立全面的防骗意识。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签

热文