愛(ài)哭鬼

2022-08-04

“大數(shù)據(jù)時(shí)代，人人都在裸奔”，雖然只是一句調(diào)侃的玩笑話，卻也展示出了數(shù)據(jù)安全問(wèn)題面臨的嚴(yán)峻形勢(shì)。當(dāng)前企業(yè)的數(shù)據(jù)安全主要面臨著哪些內(nèi)外部的威脅？《數(shù)據(jù)安全法》為企業(yè)的數(shù)據(jù)安全提供了哪些保障支持，又提出了哪些合規(guī)要求？企業(yè)應(yīng)該怎么建設(shè)數(shù)據(jù)安全？

1.企業(yè)數(shù)據(jù)安全的5個(gè)新挑戰(zhàn)

第一， 數(shù)據(jù)安全的范疇拓寬了。原來(lái)的數(shù)據(jù)安全更多的就是保護(hù)，但現(xiàn)在因?yàn)閿?shù)據(jù)權(quán)屬和數(shù)據(jù)流動(dòng)的對(duì)撞，冒出來(lái)了一個(gè)新的需求和挑戰(zhàn) —— 合規(guī)。不止是簡(jiǎn)單的保護(hù)，還擴(kuò)展到了要去保證兌現(xiàn)數(shù)據(jù)真正屬主的權(quán)利，難度遠(yuǎn)比原來(lái)要大。

第二， 企業(yè)保護(hù)數(shù)據(jù)安全的思路變了。現(xiàn)在有一個(gè)熱詞叫分級(jí)分類。數(shù)據(jù)保護(hù)原來(lái)是網(wǎng)關(guān)式的，不管數(shù)據(jù)是什么，加了密、保證不被不該看到的人看到就好。但現(xiàn)在數(shù)據(jù)有不同的級(jí)別、不同的類別。有些數(shù)據(jù)可以流通，有些數(shù)據(jù)可以開(kāi)放，有些數(shù)據(jù)什么都不能做。這樣一個(gè)邏輯之下，就出現(xiàn)了基于數(shù)據(jù)分級(jí)和分類以后的數(shù)據(jù)保護(hù)。這對(duì)企業(yè)而言也是很大的一個(gè)挑戰(zhàn)，怎樣根據(jù)業(yè)務(wù)對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類，怎么根據(jù)數(shù)據(jù)的級(jí)別和類別施加恰當(dāng)?shù)谋Ｗo(hù)措施。實(shí)際上是很難的。

第三， 數(shù)據(jù)的生命周期鏈條延長(zhǎng)了。原來(lái)業(yè)務(wù)系統(tǒng)產(chǎn)生數(shù)據(jù)、存儲(chǔ)數(shù)據(jù)、使用數(shù)據(jù)，是一個(gè)一個(gè)的孤島。但現(xiàn)在數(shù)據(jù)采集后，可能有數(shù)據(jù)流通、數(shù)據(jù)交易、數(shù)據(jù)共享、數(shù)據(jù)混采等需求。在這個(gè)過(guò)程中，數(shù)據(jù)會(huì)接觸到很多第三方。比如數(shù)字廣告營(yíng)銷中，數(shù)據(jù)就會(huì)為app服務(wù)商、廣告商所用。實(shí)際上，現(xiàn)在數(shù)據(jù)的生命周期鏈條大大延長(zhǎng)了。數(shù)據(jù)保護(hù)是不是能覆蓋到鏈條之下的所有環(huán)節(jié)，也是個(gè)難題。

第四， 服務(wù)方式從建設(shè)型向服務(wù)型轉(zhuǎn)變?，F(xiàn)在，數(shù)據(jù)是活的，是熱的。隨著業(yè)務(wù)的變化，數(shù)據(jù)也在不斷變化，不斷有新數(shù)據(jù)、新業(yè)務(wù)產(chǎn)生，也不斷有數(shù)據(jù)的生命周期變化。像原來(lái)那樣，只是通過(guò)建設(shè)，把各種安全產(chǎn)品、安全軟件放在用戶那里，已經(jīng)不足以保證用戶的數(shù)據(jù)安全。原來(lái)的建設(shè)型的數(shù)據(jù)安全保護(hù)一定會(huì)演變?yōu)榉?wù)型，通過(guò)持續(xù)的運(yùn)營(yíng)和服務(wù)，才能真正為用戶解決好數(shù)據(jù)安全問(wèn)題。

第五， 治理結(jié)構(gòu)的轉(zhuǎn)變。現(xiàn)在的數(shù)據(jù)安全定義中，其實(shí)也有國(guó)家治理結(jié)構(gòu)中的很多角色，比如審計(jì)、評(píng)估、服務(wù)、產(chǎn)品，以及企業(yè)自身，連接著不同的生態(tài)。未來(lái)的企業(yè)數(shù)據(jù)安全的治理結(jié)構(gòu)中。到底有幾方，才能保證企業(yè)的數(shù)據(jù)安全治理是可信的、透明的、可監(jiān)管的，實(shí)際上也是企業(yè)需要思考的問(wèn)題。

2.內(nèi)防外控，堵住信息泄露3條途徑
那么，要如何破解這些挑戰(zhàn)？筑牢數(shù)據(jù)安全大壩呢？

數(shù)據(jù)安全最終導(dǎo)致的問(wèn)題就是信息的泄露，那途徑無(wú)外乎就是三個(gè)方面：一是來(lái)自外部的攻擊。據(jù)統(tǒng)計(jì)60%以上的數(shù)據(jù)泄露是由網(wǎng)絡(luò)攻擊導(dǎo)致。二是內(nèi)部使用過(guò)程中造成的數(shù)據(jù)泄露。三是組織之間數(shù)據(jù)要素流通過(guò)程中造成的泄露。

“總結(jié)下來(lái)就是外防內(nèi)控。”現(xiàn)在做數(shù)據(jù)安全，一定要有一個(gè)“最佳實(shí)踐”意識(shí)。不論是從重要場(chǎng)景的安全風(fēng)險(xiǎn)出發(fā)，進(jìn)行解決方案設(shè)計(jì)；還是從數(shù)據(jù)的分類分級(jí)出發(fā)，針對(duì)重要數(shù)據(jù)的管控，進(jìn)行加密脫密等處理；或者是結(jié)合一些新型的先進(jìn)技術(shù)，比如多方計(jì)算、隱私保護(hù)、同態(tài)加密、隱私計(jì)算等，去解決數(shù)據(jù)安全問(wèn)題，“無(wú)論是哪一種方式，首先要是要可落地比較強(qiáng)?！?br>

3.注意！這些細(xì)節(jié)要合規(guī)

2021年《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》相繼實(shí)施，為企業(yè)的數(shù)據(jù)安全提供了方向指導(dǎo)，也提出了具體要求。

《數(shù)據(jù)安全法》的核心制度就是分類分級(jí)重要數(shù)據(jù)識(shí)別、重要數(shù)據(jù)保護(hù)等。目前，對(duì)重要數(shù)據(jù)的規(guī)定還是比較偏原則性指導(dǎo)，但在汽車等一些重點(diǎn)行業(yè)，也提出了較為具體的指南。

企業(yè)可以根據(jù)業(yè)務(wù)線條為標(biāo)準(zhǔn)，對(duì)數(shù)據(jù)進(jìn)行分類，然后再進(jìn)行重要級(jí)的劃分。從行業(yè)要求、業(yè)務(wù)需求、數(shù)據(jù)來(lái)源等方面，進(jìn)行一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)的識(shí)別，并根據(jù)《數(shù)據(jù)安全法》的規(guī)定，把重要數(shù)據(jù)和核心數(shù)據(jù)的目錄明確出來(lái)。

在《個(gè)人信息保護(hù)法》方面，企業(yè)一定要注意這幾點(diǎn)：

第一， 該法中對(duì)個(gè)人信息的定義比較廣，不僅包括識(shí)別方面的信息，也包括與個(gè)人相關(guān)的信息，企業(yè)在業(yè)務(wù)中一定要注意合規(guī)性。

第二， 該法規(guī)定，匿名化之后的信息，不屬于個(gè)人信息，可以當(dāng)作普通的一般信息進(jìn)行流通使用，但去標(biāo)識(shí)化后的個(gè)人信息，還屬于個(gè)人信息。

第三， 處理個(gè)人信息的過(guò)程中，有針對(duì)個(gè)人用戶的一個(gè)同意要素。在立法當(dāng)中，同意也有單獨(dú)同意、一般同意、書(shū)面同意、口頭同意等不同層次。每一種同意，線下所對(duì)應(yīng)的場(chǎng)景是不一樣的。一定要注意必須單獨(dú)同意的情況。

第四， 敏感信息方面，企業(yè)做分類分級(jí)的時(shí)候，可以把敏感個(gè)人信息全部納入到某一個(gè)級(jí)別或類別當(dāng)中，統(tǒng)一地適用一些立法要求，使用過(guò)程中會(huì)更加便利。

第五， 《個(gè)人信息保護(hù)法》的個(gè)人信息保護(hù)影響評(píng)估制度，其實(shí)是覆蓋個(gè)人信息處理全周期過(guò)程的。換句話說(shuō)，在個(gè)人信息處理的全生命周期當(dāng)中，企業(yè)都要做好個(gè)人信息保護(hù)的評(píng)估。