近年来国内外相继出台与实施多部重量级的数据安全法律法规,其对企业在处理数据活动过程中提出更多、更严、更具体的约束和要求。欧盟 GDPR 作为一部“大而全”的数据安全法规,在全球相关的法规非常具代表性,同时对我国拥有欧盟业务的企业有较大的影响,解读和分析具有借鉴意义。
《网络安全法》作为我国已经实施的首部全面规范网络空间安全的基础性法律,在相关章节条款确立一些基本数据安全制度与个人信息保护基本规定。我们以欧盟 GDPR 和国内《网络安全法》为代表,从法规保护的数据对象、用户的数据权利、企业的安全义务以及违法违规的处罚四个方面,对国内外数据安全的合规性进行简要地解读与探讨。
在合规视角下,数据安全的需求和驱动力发生了根本性的改变,数据安全保护的数据对象范畴变得更大,数据安全覆盖的应用场景将变得更加多样化,数据安全需求将覆盖数据的全生命周期。根据企业的应用场景与数据域分布,可将数据安全合规场景分为用户隐私数据安全合规、企业内部数据安全治理、企业间数据安全共享与计算,分析典型场景的合规性要求与安全挑战,以助力企业更好地应对合规性问题。
1. 数据安全合规热点解读
1.1 保护的数据对象
GDPR:保护的数据对象是欧盟公民的“个人数据”。GDPR 将“个人数据”定义为“是关于一个已识别或者可能识别的自然人(即数据主体)的任何信息”。该定义下的“个人数据”范畴边界十分宽泛,涵盖信息十分丰富,不仅包括传统意义的姓名、年龄、性别这些基本的个人信息,还包括一些特殊的数据也被归并为“个人数据”,比如生物识别数据—指纹、虹膜、DNA 数据等,这些数据在一定条件下(比如生物数据库对照)具有“可识别性”;宗教信仰,心理和生理特征信息,通过与其他属性信息结合,例如年龄、性别、地区结合也具有“可识别性”,可以唯一识别和定位特定的自然人;再比如 IP 地址、MAC 地址、Cookie 信息等,这些信息以往被认为是网络设备信息或网络行为信息, GDPR 将其定位“个人数据”,在一定程度有利于网络数据的隐私保护。
宽泛的定义可以最大限度保护好自然人的各类隐私数据,规避一些“擦边球”的场景。但这给企业如何在复杂的业务环境中去识别和发现各类结构化和非结构等各类个人数据带来巨大的挑战,也意味着在企业需要在数据安全治理与安全建设上投入更多的安全成本。
《网络安全法》:第四章节明确规定保障个人信息安全,保护的重点数据对象是“个人信息”。其定义是“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。类似于 GDPR,《网络安全法》的个人信息定义同样以“识别说”为基础,包括单独识别的如身份证号、姓名等,结合识别比如出生年月信息,由于结合性别、地址等属性信息重新识别的个人身份。
在《个人信息保护法》 给出的个人信息新定义为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”,与 GDPR 的宽泛定义趋向类似,增加“有关的”修饰词,进一步明确地拓展“个人信息”定义和范畴。因此国内企业应未雨绸缪,在涉及个人信息安全的数据安全治理方面,需要在个人信息的识别、分类与分级等基础能力投入更多安全建设。
1.2 用户的数据权利
GDPR: 第 12-22 条款上赋予了“数据主体”(或称用户)知情权、访问权、修改权、限制处理权、删除权(也称“被遗忘权”)、可携带权、拒绝权等多项权利。 “被遗忘权”和“可携带权”是 GDPR 新增两项用户“特权”:被遗忘权,在一些注销账户、或者超过时间期限等场景中,用户可以行使该项权利,要求“数据控制者”(或称企业)删除与自己相关的个人数据,同时也要求通知合作第三方删除同样的数据;可携带权,用户可以便携地将其个人数据从一个数据控制者处转移至另一个数据控制者处, 数据控制者需要配合完成该过程。
《网络安全法》:第 43 条赋予了用户一定程度的“删除权”:“个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息”;一定程度的“修改权”:“发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正”。在《个人信息保护法》中,赋予了用户更丰富更具体的数据权利,诸如知情权、访问权、被解释权等。
1.3 企业的安全义务
GDPR: 赋予用户“访问权”、“被遗忘权”等各项数据权利,相应地,企业必须响应和履行为用户行使权利提供方便的义务,比如用户行使“被遗忘权”,企业必须提供删除数据的界面与入口,并执行相关处理操作与流程,以及对用户输出响应报告。以外,GDPR 规定企业必须保存数据处理活动的记录,针对数据泄露风险建立快速响应与通知机制;对数据采取假名化、加密等与风险相适应的安全措施。
《网络安全法》:企业同样需配合用户行使数据权利。此外,企业在防止数据泄露、窃取篡改等数据安全事件上,需履行安全管理制度、组织和规范建设,落实有效的网络安全措施,以及采取数据分类,重要数据备份和加密等技术措施,数据泄露建立快速响应与补救措施机制,保存网络日志不少于 6 个月等各项安全义务。
1.4 违法违规的处罚
GDPR:违反数据处理的基本原则,不履行数据主体的数据权利等,第 83 条给出罚款的最高值:可被处以最高 2000 万欧元的行政罚款,或对企业以最高占上一财政年度全球总营业额 4% 的行政罚款,取两者最高值。这是欧盟境内企业或者与欧盟数据相关的境外企业最关心的,被 GDPR 处罚的代价是十分高昂的。
《网络安全法》:最高可处罚 100 万元的罚款,对直接负责的主管人员处罚最高 10 万元罚款。除罚款以外,还有责令暂停相关业务、关闭网站、吊销营业执照等严厉的行政处罚措施。在《个人信息保护法》中,对于个人信息的违法犯罪加大了处罚与罚款力度,对于违法情节严重的最高可以处罚 5000 万元以下或者上一年度营业额 5% 罚款,同时对直接负责的主管人员最高可罚款 100 万元,这些处罚给个人信息与数据安全违规违法行为形成了强大的威慑力。
1.5 小结
欧盟 GDPR 作为一部现代数据隐私法的风向标,给全球其他国家的立法产生深远的影响,尤其是美国加州消费者隐私方案 CCPA,同样给用户赋予多项相似的数据权利,对企业提出更更高的合规性要求。随着我国《数据安全法》和《个人信息保护法》综合性法律的制定,以及一些配套的行政法规和标准的落地实现,我国数据安全相关法规、标准建设将趋于体系化和成熟。从全球数据执法的趋势来看,欧盟 GDPR 已经进入全面执法阶段,欧盟成员国已经陆续开出违反 GDPR 的巨额罚单;我国在《网络安全法》等法规指导下,我国监管部门在数据安全执法主要聚焦在 APP 隐私侵权治理以及个人信息非法交易与黑灰产整治两个重点领域。
《网络安全法》作为我国已经实施的网络空间安全的基础性法规,目前在数据安全与个人信息安全具有最高的法律效力。从该法规保护的数据对象、用户的数据权利、企业的安全义务以及违法违规的处罚四个方面,将其与 GDPR 的合规性进行对比与解读,我国同样趋向采取更加宽泛的“个人信息”定义,这给企业识别这些敏感数据带来巨大的挑战;此外,我国明确指出企业必须采取数据分类,重要数据备份和加密等。若违反相关条款,将面临高额的罚款和严格的行政处罚,由此企业必须对数据安全与合规性引起足够的重视。
2. 企业的用户隐私数据安全合规
2.1 数据采集中的隐私保护
在保护用户的个体隐私前提下,对成千上万个用户终端的隐私数据进行采集,在服务器中完成批量数据的聚合与分析,挖掘大规模用户数据的总体趋势与统计信息。
合规条款
- GDPR:为了应对隐私问题带来的风险的挑战,GDPR 指出数据控制者与处理者“应当执行合适的技术措施和有组织性的措施来保证合理应对风险的安全水平”(第 32 条)。
- 《网络安全法》:“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全, 防止信息泄露、毁损、丢失”。即要求企业采取一定的技术与管理措施,确保用户个人信息与 隐私安全(第 42 条)。
问题挑战
传统的数据安全处理技术—去标识化(也称为数据脱敏),在企业一部分主要场景中一般可应对合规性,符合上述 GDPR 和中国《网络安全法》要求的采取的必要措施。然而,在一些内部环境(比如大部分内部用户可以访问和下载)或外部共享环境中,它处理后的数据仍然面临多种多样的隐私攻击,包括背景知识攻击、差分攻击和重标识攻击等 ,即经过攻击后个人隐私仍然可能会被泄露。若对数据进行过度脱敏,虽然数据的隐私攻击风险降低了,然而数据的可用性将大幅度降低。那么,如何避免以上的隐私攻击,同时保留一定程度的数据可用性,即可获得数据的聚合信息但无法获得单个记录的信息, 这对隐私保护技术提出更高的安全要求与挑战。
2.2 个人信息治理与可视化
同一个企业的多个应用中,比如 Google 邮箱和浏览器,可能通过收集用户的多个维度的个人信息与隐私数据。此外,数据采集后可能分布存储在多种多个数据库(如 Oracle、My SQL、ElasticSearch)以及各种大数据平台中(HDFS 和 Hbase)。企业需要摸清企业内部有多少个独立的数据实体(数据主体),每一个实体包括哪些数据与属性维度,这些数据分别存储在哪些系统中和业务应用,以及数据共享给哪些第三方企业。
合规条款
- GDPR:如 1.2 节所述,GDPR 赋予了用户知情权、访问权、修改权、限制处理权、被遗忘权、可携带权、拒绝权等多项权利。相应地,企业必须履行和响应用户提出的权利请求。比如用户发起数据查看请求,那么企业必须完整呈现数据主体个人数据报告,包括收集了用户哪些结构化数据、哪些非结构化数据(包括网络浏览、点击等信息)、以及将数据共享给了哪些第三方企业。企业在实施用户权利请求响应的合规,个人信息治理与可视化是实现目标的关键(第 12 至 22 条)。
- 《网络安全法》:如 1.2 节所述,法规赋予了用户一定程度的“删除权”和“修改权”,响应地,企业须履行和配合用户完成数据权利请求的流程。同样地,企业在具体实施合规落地时,个人信息治理与可视化是基础与前提(第 43 条)。
问题挑战
多源异构数据源分布同一个数据主体的信息和维度,对于企业复杂多变的数据环境来说,不同数据源实体 ID 表示形式不同,或者缺失,如何识别与关联同一个实体是一个不小的挑战。
2.3 用户数据权利请求响应
全球一些隐私法规赋予数据主体(用户)自由访问、修改和删除个人数据等权利,相应地,要求企业必须在规定的时间内对用户提出的请求进行响应,比如向用户提供收集个人数据明细及使用目的报告。
合规条款
- GDPR:如 2.2 节所述,企业必须履行和响应用户提出的权利请求。对于数据权利的响应时间, GDPR 规定企业“必须在一个月内对所有的请求进行响应和处理,若请求过于复杂,可延长至两个月”(第 12 至 22 条)。
- 《网络安全法》:如 2.2 节所述,法规赋予了用户一定程度的“删除权”和“修改权”,但未具体到响应时间的规定。但在国家标准《个人信息安全规范》(GB/T 35273-2020),明确规定从请求到响应的时间是 30 天内(第 43 条)。
问题挑战
据 Gartner 调查,多数企业无法应对数据主体权利请求(Subject Rights Request, SRR)带来挑战, 约有三分之二企业对单个 SRR 的回复需要超过两周以上的时间,且这些流程通常是人工完成,平均成本约高达 1400 美元。因此,对于拥有一定用户数量规模的企业(比如社交、电商网站),企业如何做好应对准备—多个用户并发请求的随时响应,对于传统的手工处理是一个巨大挑战。比如说,企业一天有 1000 个用户请求,采取手动操作,查询相关系统并手工制作 1000 个用户的个人信息数据报告,这给运营团队人员带来极大的负担同时增加高额的运营成本,且一旦人工操作错误将引入新的法规风险。
3. 企业内部数据安全治理
3.1 敏感数据的智能识别 / 分类
敏感数据识别与分类是数据安全建设与治理的首要环节。如 2.1 节所述,敏感数据来源有三类:➀ 国家敏感数据(也称重要数据);➁ 个人隐私数据;➂ 企业敏感数据。通过对这三类敏感数据类型的识别与分类,企业更好地实施敏感数据安全管控与保护。
合规条款
- GDPR:法规保护“个人数据”。其定义的“个人数据”范围十分宽泛(如 1.2 节分析),不仅包括姓名、年龄、性别等基本个人信息,还包括个人照片、指纹、虹膜、个人的宗教信仰,心理和生理特征信息以及 IP、Mac、网络 Cookie 等一系列新增类型(第 4 条)。
- 《网络安全法》:法规保护的网络信息包括两类:“个人信息”和“重要数据”。对于“个人信息”,它同样蕴含丰富的信息类型,比如个人照片、身份证照片和指纹等(第76 条)。对于“重要数据”,《数据安全管理办法》进一步给出了示例, “入未公开的政府信息,大面积人口、基因健康、地理、矿产资源等”。对于不同类型的敏感数据,企业应履行“采取数据分类、重要数据备份和加密等措施”(第 21 条)。
问题挑战
敏感数据类型多种多样,传统规则和正则匹配不够智能,易出现漏检。对于非结构数据的检测与识别, 如身份证照片、合同文档,传统的检测与识别方法难以应付。
3.2 脱敏数据的残余风险评估
虽然数据脱敏在企业得到广泛应用,但研究发现脱敏数据仍然或多或少存在残余的隐私风险。因此,需对脱敏的数据进行风险评估与风险管理,确保风险在企业组织的可控范围之内。
合规条款
- GDPR:为了应对隐私问题带来的风险的挑战,GDPR 指出数据控制者与处理者“应当执行合适的技术措施和有组织性的措施来保证合理应对风险的安全水平”(第 32 条)。
- 《网络安全法》:“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失”。即要求企业采取一定的技术与管理措施,确保用户个人信息与隐私安全(第 42 条)。
问题挑战
如何在攻击视角下,对脱敏数据的残余隐私风险进行刻画。
3.3 数据操作行为的异常检测
在数据库、大数据平台等环境中,如何检测与区分正常和异常操作行为模式,对数据安全的监控与防护十分关键。
合规条款
同 3.2 节的合规条款。
问题挑战
普通的规则、阈值无法应对复杂业务带来的挑战。
4. 企业间数据共享与计算
4.1 涉及个人数据的发布与共享
随着数字化的升级与转型,企业的数据发布、共享、融合等场景需求正变得越来越多。然而,涉及个人隐私数据的发布,以及数据共享,会产生隐私安全问题与危害,企业相应的安全保护措施,同时满足合规性要求。
合规条款
- GDPR:如前文 1.2 节所述,企业 A 将个人数据委托给企业 B 进行处理,用户对企业 B 具有限制处理等权利,即用户提出任何纠正、删除或者处理限制,企业 A 必须传达给企业 B,企业 B 必须对该用户请求进行响应(第 19 条);然而,企业对个人进行匿名化处理,得到的匿名数据, 可用于统计和研究目的,其不受 GDPR 的约束与限制(GDPR 前言的第 26 段),也就是说,企业无需对该部分数据履行数据权利请求响应等法规义务(GDPR 豁免权)。
- 《网络安全法》:在第 42 条指出个人数据合法共享有两条途径:➀ 征求所涉及的用户同意;➁ 对个人数据进行匿名化处理(达到“经过处理无法识别特定个人且不能复原”效果),该情况无需征求用户同意,可直接与第三方企业进行数据共享(第 42 条)。
问题挑战
企业不经处理直接将用户数据对外发布,或直接将数据共享时,一方面客观隐私泄露风险较高,另一方面触犯法规风险较大。具体来说,在 GDPR 场景,企业进行数据共享必须在数据采集阶段向用户展示限制第三方处理的设置窗口界面,这增加了原始个人数据与第三方共享的难度;而在《网络安全法》场景中,其中一条合规的数据共享途径是:企业需征求待共享数据所涉及的全部个人信息主体的同意与授权,但这极大具体实施过程中的实施成本,尤其是数据中涉及大量的个人信息主体。那么,如何实现低成本的、安全合规的数据共享与发布,这对于企业来说是一大挑战。
4.2 云上数据安全的存储与计算
随着云计算产业的快速发展,数据上云近年来成为趋势。然而,上云的数据中可能涉及用户隐私以及其他类型敏感数据,隐私与数据泄露风险日益增多。特别是在公有云场景中,比如企业A 拥有一批数据,它为了降低成本选择外包给廉价的第三方—公有云平台(企业 B)处理与计算。若处理数据中涉及用户隐私数据,那么企业 A 和 B 均需承担法律责任,即满足合规性。
合规条款
- GDPR:企业与委托第三方(比如公有云)进行数据处理时,必须进行严格挑选与授权,并通过技术或管理措施以确保传输的数据完整性与机密性(第 5 条,数据处理六大原则);对于技术措施, GDPR 明确推荐加密等技术(32 条)。
- 《网络安全法》:企业履行数据安全与个人信息保护义务,法规同样推荐应用加密等技术措施,防止数据(个人信息)泄露以及毁损等安全问题(第 21 条)。
问题挑战
传统的数据加密方法(如 AES, SM4 等),加密得到的密文数据“杂乱无章”—无法在云服务器进行分析与处理。因此,亟需一种新的加密技术,不仅能保障数据内容的安全,同时得到的密文数据仍然可执行数据分析操作。
4.3 多方数据安全的共享与计算
在数据共享与计算场景中,存在多个参与方,各持不同的敏感数据,如何保证数据安全的前提下(即任何一方以外其他方无法获得该方的输入数据),实现多方输入数据的安全聚合、集合操作以及数据挖掘等操作。
合规条款
同 4.2 节的合规条款。
问题挑战
传统的多方数据共享与计算,一般是“中心化”的—即多方分别将各自的数据上传至服务器或平台上,然而该方案仍然存在传输过程的数据泄露以及第三方的隐私窃取问题。如何保证原始数据不出本地域,去中心化的多个参与计算节点实现数据的安全计算,这对传统技术来说是一个挑战。
4.4 多方数据安全的联合 AI 建模
数据驱动 AI 建模,一般来说,模型效果与训练数据的特征维度与样本规模密切相关。然而,在实际多数场景中,单家企业拥有的数据难以支撑大规模的 AI 建模。那么,多方联合 AI 建模,破除“数据孤岛”实现数据的融合与共享,通过分布式的大规模数据训练提升模型效果,这种需求在企业间共享场景日益增多。
合规条款
同 4.2 节的合规条款。
问题挑战
传统集中式的机器学习,可通过差分隐私等技术可实现一方的隐私保护,然而无法满足多方机器学习以及隐私保护的需求;分布式的机器学习主要用于解决数据的存储以及计算瓶颈,但无法保证多方输入数据的安全与隐私问题。总的来说,前面的两种机器学习范式已经无法应对多方联合 AI 建模与隐私保护双重需求带来的挑战。
最后,为了更好应对合规性带来的挑战,一方面企业需要从传统单点的数据安全建设转变成体系化的数据安全建设,另一方面为了应对三类重要合规场景带来新的挑战,包括用户隐私数据安全合规、企业内部数据安全治理、企业间数据安全共享与计算,引入创新的数据安全技术实现困境的破局。
本文摘编自绿盟科技发布的《数据安全前沿技术研究报告》。获取数治 AIGC+X 数据跨境法规工具包,关注我们的公众号“idtzed”回复“DCB”。
加入“数治x”行业社群, 300+ 高质量前沿资料免费下载,不只做个资料党,更开启你的自主个性化学习旅程,在公众号“idtzed”上回复“入”直通:
资料、学习、成长问答助手;
图解、模板、问卷行业工具包;
个人、团队数据素养水准评估;
数治连线产研导师专场直播等。
与我们有更多合作,定制你的数字推广直击目标潜在客户,扫码添加老邪企业微信。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵犯到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
