大数据时代,怎么避免数据“裸奔”?(附相关下载)

当前企业的数据安全主要面临着哪些内外部的威胁?《数据安全法》为企业的数据安全提供了哪些保障支持,又提出了哪些合规要求?企业应该怎么建设数据安全?

避免数据“裸奔”-1
出处:中信联 AIITRE

“大数据时代,人人都在裸奔”,虽然只是一句调侃的玩笑话,却也展示出了数据安全问题面临的严峻形势。当前企业的数据安全主要面临着哪些内外部的威胁?《数据安全法》为企业的数据安全提供了哪些保障支持,又提出了哪些合规要求?企业应该怎么建设数据安全?

7月14日的第9期《蝶·变 聊透数字化转型》系列公益直播中,中国信息通信研究院互联网法律研究中心高级工程师刘耀华、成都卫士通信息产业股份有限公司副总经理张剑、成都卫士通信息产业股份有限公司数据安全专家张兆雷、深信服数据安全产品与方案总监罗维荣、深信服科技股份有限公司数据安全产品与解决方案经理王良河等,在国联股份高级副总裁张健的主持下,纷纷就这些问题发表了自己的真知灼见。

企业数据安全的5个新挑战

在张剑看来,企业数据安全目前面临着5个新挑战:

第一, 数据安全的范畴拓宽了。原来的数据安全更多的就是保护,但现在因为数据权属和数据流动的对撞,冒出来了一个新的需求和挑战 —— 合规。不止是简单的保护,还扩展到了要去保证兑现数据真正属主的权利,难度远比原来要大。

第二, 企业保护数据安全的思路变了。现在有一个热词叫分级分类。数据保护原来是网关式的,不管数据是什么,加了密、保证不被不该看到的人看到就好。但现在数据有不同的级别、不同的类别。有些数据可以流通,有些数据可以开放,有些数据什么都不能做。这样一个逻辑之下,就出现了基于数据分级和分类以后的数据保护。这对企业而言也是很大的一个挑战,怎样根据业务对数据进行分级分类,怎么根据数据的级别和类别施加恰当的保护措施。实际上是很难的。

第三, 数据的生命周期链条延长了。原来业务系统产生数据、存储数据、使用数据,是一个一个的孤岛。但现在数据采集后,可能有数据流通、数据交易、数据共享、数据混采等需求。在这个过程中,数据会接触到很多第三方。比如数字广告营销中,数据就会为app服务商、广告商所用。实际上,现在数据的生命周期链条大大延长了。数据保护是不是能覆盖到链条之下的所有环节,也是个难题。

第四, 服务方式从建设型向服务型转变。现在,数据是活的,是热的。随着业务的变化,数据也在不断变化,不断有新数据、新业务产生,也不断有数据的生命周期变化。像原来那样,只是通过建设,把各种安全产品、安全软件放在用户那里,已经不足以保证用户的数据安全。原来的建设型的数据安全保护一定会演变为服务型,通过持续的运营和服务,才能真正为用户解决好数据安全问题。

第五, 治理结构的转变。现在的数据安全定义中,其实也有国家治理结构中的很多角色,比如审计、评估、服务、产品,以及企业自身,连接着不同的生态。未来的企业数据安全的治理结构中。到底有几方,才能保证企业的数据安全治理是可信的、透明的、可监管的,实际上也是企业需要思考的问题。

外防内控,堵住信息泄露3条途径

那么,要如何破解这些挑战?筑牢数据安全大坝呢?

王良河认为,数据安全最终导致的问题就是信息的泄露,那途径无外乎就是三个方面:一是来自外部的攻击。据统计60%以上的数据泄露是由网络攻击导致。二是内部使用过程中造成的数据泄露。三是组织之间数据要素流通过程中造成的泄露。

“总结下来就是外防内控。”他说,现在做数据安全,一定要有一个“最佳实践”意识。不论是从重要场景的安全风险出发,进行解决方案设计;还是从数据的分类分级出发,针对重要数据的管控,进行加密脱密等处理;或者是结合一些新型的先进技术,比如多方计算、隐私保护、同态加密、隐私计算等,去解决数据安全问题,“无论是哪一种方式,首先要是要可落地比较强。”

注意!这些细节要合规

2021年《数据安全法》、《个人信息保护法》相继实施,为企业的数据安全提供了方向指导,也提出了具体要求。

刘耀华分析,《数据安全法》的核心制度就是分类分级重要数据识别、重要数据保护等。目前,对重要数据的规定还是比较偏原则性指导,但在汽车等一些重点行业,也提出了较为具体的指南。

她建议,企业可以根据业务线条为标准,对数据进行分类,然后再进行重要级的划分。从行业要求、业务需求、数据来源等方面,进行一般数据、重要数据、核心数据的识别,并根据《数据安全法》的规定,把重要数据和核心数据的目录明确出来。

在《个人信息保护法》方面,刘耀华提醒,企业一定要注意这几点:

第一, 该法中对个人信息的定义比较广,不仅包括识别方面的信息,也包括与个人相关的信息,企业在业务中一定要注意合规性。

第二, 该法规定,匿名化之后的信息,不属于个人信息,可以当作普通的一般信息进行流通使用,但去标识化后的个人信息,还属于个人信息。

第三, 处理个人信息的过程中,有针对个人用户的一个同意要素。在立法当中,同意也有单独同意、一般同意、书面同意、口头同意等不同层次。每一种同意,线下所对应的场景是不一样的。一定要注意必须单独同意的情况。

第四, 敏感信息方面,企业做分类分级的时候,可以把敏感个人信息全部纳入到某一个级别或类别当中,统一地适用一些立法要求,使用过程中会更加便利。

第五, 《个人信息保护法》的个人信息保护影响评估制度,其实是覆盖个人信息处理全周期过程的。换句话说,在个人信息处理的全生命周期当中,企业都要做好个人信息保护的评估。

此外,在圆桌思辨环节,专家们还就《数据安全法》出台和落地的背景、企业在合规方面的痛点和实践经验等展开了深入讨论和分享。

其他精彩回顾

在上午的讲堂环节中,刘耀华首先登场,介绍了《数据安全法》的基本情况,并深入解读了数据分类分级制度、重要数据保护制度、数据安全风险评估/报告/信息共享/监测预警机制、数据安全审查制度、跨境数据流动制度、数据交易制度等《数据安全法》的重点制度。

张兆雷提出,互联网个人信息安全,不仅仅是合规问题,更重要的是信任,并着重介绍了成都卫士通基于可信第三方的互联网个人信息保护方案。

罗维荣则从数据安全的发展历程讲起,提出数据安全问题源于数据本质发生了变化:存储体系从分散到集中,访问边界从封闭到开放,使用方式从简单到复杂,数据权责从合一到分离,并分享了深信服围绕保护数据处理活动建设数据安全的相关实践经验。

相关下载:

一条评论