进入2020年,涉及个人隐私数据保护的各方面工作齐头并进,各项法律法规及地方规范性文件密集出台。监管趋严的态势下,企业如何适应新的环境?
近日,由腾讯安全主办的CSO俱乐部沙龙在上海举行了个人隐私数据安全防护专场,汇聚了来自金融、物流、汽车、通信、能源、航空等行业的安全代表,围绕“个人隐私数据安全防护”话题展开讨论。本次沙龙设有主题分享和分组研讨环节,形成了集政策解读、需求配对、实践分享、成果沉淀等于一体的沙龙模式,为各行各业加强个人隐私数据安全防护能力及合规性提供了理论指导和实践参考。
主题分享
何延哲 | 个人信息保护和数据安全合规政策解读
全球每天产生大约2EB的数据,人类最近两年产生的数据总量已经超过了此前所有数据的总和。数据创造的价值持续被挖掘,数据正在成为这个时代最宝贵的资源。
由于数据本身的经济价值、数据安全涉及个人隐私保护等,数据安全备受社会关注。今年5月全国人大表决通过的《民法典》中明确了个人信息受法律保护,市场期待已久的《中华人民共和国数据安全法(草案)》、《个人信息保护法(草案)》也先后于7月、10月进入征求意见阶段。
根据受影响的主体,监管层面将数据分成了几个大类:
一是企业自有的数据,主要关乎知识产权保护,目前这一块需要做的工作相对较少。
二是个人信息。个人信息的范围非常广,只要和个人身份绑定,会对其产生影响的数据,都属于个人信息。企业除了保障个人信息的保密性、完整性、可用性外,还要确保用户的选择权、知情权以及注销和删除的权利。个人信息是当前信息安全防护的重点。
三是对国家安全和公共利益有影响的数据,这类数据被称为重要数据。关于重要数据的安全防护,目前行业仍处在摸索阶段。
蒋琼 | 后疫情时代的券商数据安全体系实践
和银行相比,券商自研能力偏弱,需要引入外包人员帮助开发。如何管控外包人员,保证数据资产不被泄露,成了券商企业面临的一大挑战。而零信任安全架构很好地帮助券商解决了这一难题。
零信任安全架构作为一个能落地的安全信任治理方案,提供了一套对安全信任进行全生命周期治理的思路。
基于零信任“永不信任、持续验证”的理念,企业可以接入统一身份认证系统(IAM),以身份为核心,对默认不可信的访问请求进行多因素认证加密,再结合动态访问控制和持续信任评估等核心能力,低成本实现安全访问控制能力的统一建设。此外,这也避免了员工越权操作等权限使用不当带来的安全隐患,以及权限分散、跨站点/业务的资源访问难等问题。
刘海洋 | 大数据时代隐私数据安全防护实践
个人隐私数据安全防护已经从合规和安全事件驱动的1.0时代迈进了数据价值驱动的2.0时代。
2.0时代,数据安全防护将朝着整体防护、动态风控、协同参与三大方向发展,而资产管理智能化、安全能力组件化和安全分析中心化是达成三大方向的重要途径。
目前,企业实际业务中遇到的个人隐私数据安全问题主要出现在数据提取、大数据平台、APP数据流转等场景,风险内容包括数据暴露面大、缺少稽核手段、缺少数据行为识别能力和资产状况不清等。
针对以上现状,腾讯安全提出了“六步走”的个人隐私数据安全防护实践策略:
一、明确职责。确定个人隐私数据安全防护究竟该由数据部门、应用部门还是安全部门来牵头。
二、从资产、访问、风险、权限四个维度对数据资产进行盘点。资产不清,安全管控就无法到位。
三、梳理数据活动。数据活动的梳理可以帮助企业掌握业务数据的状态,了解可能存在的风险以及需要重点关注的安全能力。
四、确定防护体系技术路线,目前主要有五种做法:标准单品建设、体系化建设、场景化建设、平台级建设和按数据生命周期建设。
五、编写具体制度。制度是否切合实际,能否全面执行,是企业需要重点思考的问题。
六、通过审计与稽核验证安全防护措施的执行情况。
分组圆桌研讨
主题分享结束后,沙龙活动进入圆桌讨论环节。圆桌采用分组讨论形式,由与会嘉宾组成A、B、C、D四个小组,围绕个人数据保护治理层和运营层的诸多热点议题展开思维碰撞,并推选出小组代表输出讨论结果,由集体投票评选出优胜方。
以下是四个小组围绕热点议题输出的精彩观点:
1.如何解决个人数据保护职责不清、角色不清、权利不够的问题?
A组代表:首先要让管理层形成统一认识,认识到个人信息保护的重要性。这个目的可以通过两种途径来实现:一是事件触发,利用安全事件作为数据安全保护的重大推手;二是监管发力,针对最新的监管政策向管理层做理念灌输。
其次要专人专岗,成立专门的数据安全团队来做这件事情。
B组代表:职责不清导致隐私保护工作难以开展的情况,各行各行都存在。解决这个问题首先要获得大老板支持,没有这个前提,工作肯定开展不下去。
另外,保护个人信息需要业务部门、安全部门、法务部门等多方参与,只要缺少其中一个角色,工作便推进不下去。
C组代表:个人数据保护要有自上而下的顶层设计,明确主责部门,赋予它最大的权利来牵头协调安全管理工作。
D组代表:制造类、通信类企业跟金融、证券企业面临的情况有很大差异。金融、证券企业的个人信息保护可以靠政策和文件直接驱动,而在制造类、通信类企业却很难。领导虽然很重视,但没钱、没资源,工作很多时候执行不下去。
2.PIA流程技术团队是否参与?倾向技术控制为主还是管理控制为主?
A组代表:PIA流程评估,银行的做法是从业务和技术两条线分别排查。技术团队和业务团队有不同的关注点,技术团队可能更关注加密、传输相关的内容,业务看到的更多是处理流程上的风险点。所以这样一个双线排查的机制非常重要。技术团队在评估自己技术的同时,也要参与到业务评估当中。
B组代表:技术团队必须参与,而且要以技术控制为主。以前总说“三分技术,七分管理”,但在今天的形势下,没有技术控制,管理很难产生好的效果。
C组代表:PIA流程需要技术团队参与,但还是要以管理为主。管理层提的要求,技术团队无条件去执行,所以技术是配合管理来实施的。
D组代表:技术控制优先,管理上肯定有要求,但还是需要技术落地。
3.个人隐私数据更新处理的目的?怎么确保及时更新、告知和获取用户同意?
A组代表:一是通过“大家来找茬”的方式,建立专门的团队,通过奖励措施激励大家群策群力,以确保合规性。二是邀请第三方或者组织内部测评方,开展定期评估。同时,新产品和新业务上线时,要有第三方安全部门或数据管控部门进行评估,把相关标准纳入到安全开发周期(CSDN)。
B组代表:从实际情况来看,很多单位在发布APP时,因为内部流程不畅,导致内部功能发生了变化,但外部没有更新,结果被客户投诉。理想化的状态是,公司内部建立一套成熟完善的发布流程,囊括业务立项到最后发布之间的所有审批环节。但实际情况下,这种理想化状态很难实现。
C组代表:可以通过APP、短信、电话和客服中心对用户或合作单位进行及时告知。
D组代表:个人隐私数据更新和登录告知,都是按照法务的要求来执行的。
4.衍生数据应该如何管控?
A组代表:衍生数据是一个比较新的概念,指的是客户画像等数据经过大数据分析后产生的结果。
首先企业要确定自己有哪些衍生数据,这些数据重要性如何,泄露后会产生哪些风险;然后针对管控现状中的薄弱点进行整改;整套流程有点类似PDCA。
B组代表:首先判断是不是敏感数据,如果是则纳入敏感数据管控体系,如果不是则不纳入。现在也有一些灰色地带,是不是敏感数据,大家没有定论。按照对现行法律的理解,如果无法确定,则默认为不是。
C组代表:一是去标识化,二是确保衍生数据无法溯源到原始数据。首先要保证衍生数据不会导致原始数据泄密,其次要根据法律法规明确衍生数据是否属于敏感数据。
D组代表:衍生数据的管控问题可能在互联网企业会比较明显。衍生数据管控最大的问题是没有数据owner。在传统行业,财务的数据归财务,开发产品的数据归研发,职责很清晰。而衍生数据一方面没有owner,另一方面使用方又非常多。
5.个人有被遗忘、可删除隐私数据的权利,这方面是如何实现的?如何实现自我证明?
A组代表:大数据要流动起来才有价值。银行业有非常多的系统,数据一旦采集进来,经过汇聚融合和流转,会在各个系统中留存,要一下子完全清除,是非常困难的。这种情况下,比较容易落地的做法是:先对内部系统进行梳理,分析有多少系统是客户有感的,先把这些系统中的数据删除。
B组代表:建议开发一套系统,系统上可以删除用户,以及看到哪些用户被删除了。这只能起到简单自我证明的作用,没办法做到很深入。其次,在数据库的设计层面,把个人隐私和个人行为数据进行关联,便于用户自我删除和自我遗忘时的前台操作和后台实现。如果数据散落在多个系统当中,是无法做到一键清除的。
C组代表:建议通过第三方认证和内部文档留存来审核数据访问的自我证实。很多时候自己证明自己并不很明确,因此建议采用三方合作的方式。
D组代表:假如我有一笔贷款记录,我能销户,能被遗忘吗?答案是不能。虽然我可以销户,但贷款记录还在。
6.个人隐私数据向第三方批量发送,对第三方除了合同还有哪些有效的监管手段保障安全?
A组代表:除了签订数据合作协议和数据包协议外,银行还会从两个方面进行外包管控:一是甲乙方控制,二是年度检查。
所谓甲乙方控制,首先要明确甲方作为外包的管理部门或者业务的实施部门,针对这项业务应该承担什么样的责任,然后顺着这个思路延展,知晓管理层和内部相关部门应该遵守哪些规定,执行到什么程度。其次,从机房、应用、数据、人员、业务连续性等多个维度给乙方制定安全准则,在准入的时候通过现场调研或远程调取资料进行安全印象评估。
B组代表:除了合同还有隐私保密条款、NDA等。此外,还可以对第三方做安全评估,在数据发送时,审查哪些数据是会脱敏的,当中可能会涉及多方计算、匿名沙盒等相关技术。另外,还可以要求第三方支付一笔押金,在出现安全问题时,对其进行罚款。
C组代表:首先要告知用户,在获得用户同意和符合法律法规的前提下,进行第三方披露。
D组代表:作为企业的安全人员,首先要考虑为什么会出现个人隐私数据向第三方批量发送的情况。业务方出于自己的目的,不太会考虑这些问题,但安全人员一定要经常踩刹车。首先要评估业务场景的真实性,评估其是否必要、对公司是否有价值;然后再去考虑场景当中可能的风险,以及该采取怎样的控制手段。
随着《民法典》、《数据安全法(草案)》、《个人信息保护法(草案)》等法律陆续出台,个人隐私数据安全合规管理将成为企业的必备能力,促进企业从产品形态、数据应用机制、技术安全措施等多维度落实法律法规要求。
腾讯安全将持续提升隐私数据安全防护方面的技术积累和科研能力,发挥腾讯云数据安全中台端到端的云数据全生命周期安全体系的优势,帮助企业加强数据安全防护水平及合规性。