數據合規管理已成剛需,企業如何更好應對相關風險與挑戰?
京東到家某員工離職當天將平臺系統代碼刪除;
A1 Hrvatska數據泄露事件影響約20萬客戶;
英偉達遭受黑客入侵致部分系統癱瘓;
谷歌因違法收集生物識別數據將賠償1億美元;
……
這些真實存在的安全事件,映射出企業數據合規和風險治理能力的不足。在企業數據合規逐漸成為剛需的當下,如何加強企業數據安全和個人隱私保護已經成為關系個人權益、社會穩定和國家安全的核心議題。
企業合規現狀和痛點
近年來,我國迎來了個人信息保護以及數據安全領域的兩部專屬立法:《中華人民共和國個人信息保護法》與《中華人民共和國數據安全法》。這兩部法律與“網安法”共同構建了中國數據合規及隱私保護的基礎法律框架,對數據安全和個人信息保護提出了方向性和基礎性指引及監管要求。
一方面是國家在數據安全、網絡安全、個人信息保護層面的監管力度持續增強,一方面是頻頻出現的企業數據安全事件,加強企業合規管理已成為當下企業發展的必要性、基礎性內容。然而,通過對企業合規管理現狀的分析,我們發現企業在合規管理方面,往往存在以下難點、痛點問題。
錯綜復雜的數據如何分類分級?
個人信息合規監管環境日益嚴格,企業如何應對?
海量的數據,如何識別并掌握數據的流向和分布?
與監管、同行、合作方多渠道數據交換如何保證安全?
數據多層級、多系統、多角色的使用、提取中,如何確保整個業務敏感數據合規使用?
……
這些都是當前企業數據安全和個人信息保護層面面臨的風險和挑戰。
數據安全與信息合規產品解決方案
針對當前企業數據安全和個人信息保護層面臨的風險和挑戰,派拉云身份管理平臺(簡稱SSO360)從數據主體、數據處理者兩方面進行考量,提供完整、閉環的數據安全和數據生命周期的全鏈路個人信息合規解決方案,滿足安全等級保護合規建設,提升數據安全能力,保障數據在流通與融合過程中的“可用不可見”,實現數據價值的轉化和釋放,促進數據開發利用。
▲數據安全與信息合規產品體系
破局角度一:數據主體角度
1、同意授權管理
企業可以通過個人信息主體同意授權管理平臺(CMP),解決在收集、使用或共享過程處理用戶數據的合法記錄和管理用戶同意授權問題,保證數據在不同階段的處理活動均給予“告知-同意”的原則。CMP涵蓋三大功能:
1. 收集用戶同意
用戶首次使用某一產品或產品下某一功能時,若涉及到用戶信息的收集,必須以彈窗或其他形式通知用戶該產品收集哪些數據、如何使用這些數據等信息。用戶可以選擇同意或拒絕。
授權通常包括兩種類型:
1)將個人信息授權給當前產品;
2)將個人信息授權給第三方應用或SDK(如當前產品的服務提供方、當前產品關聯方、合作方)
2. 同意記錄
征得用戶同意后,需保存用戶同意記錄。例如“誰同意(電子郵件、cookie、設備 ID) ,何時給予同意(時間戳), 用戶同意的內容(使用個人數據的特定目的列表) ,是否以及何時撤回或更改同意”。企業可查看同意記錄的數據庫,也可導出記錄數據用于監管機構的安全審查。
3. 提供查看、撤銷授權入口
根據個人信息保護法規定,同意不是永久性的,用戶可以隨時撤回他們的同意。用戶應該有權查看、撤銷授權。
2、個人信息主體權利管理
根據個人信息保護法規定,個人在信息處理活動中的享有:
a. 享有知情權、決定權,有權限制或者拒絕他人對其個人信息進行處理
b. 個人有權向個人信息處理者查閱、復制其個人信息
c. 個人請求將個人信息轉移至其指定的個人信息處理者,符合國家網信部門規定條件的,個人信息處理者應當提供轉移的途徑
d. 個人發現其個人信息不準確或者不完整的,有權請求個人信息處理者更正、補充。
數據安全與信息合規產品解決方案圍繞個人信息保護法規定的個人信息主體權利,制定個人行權響應與行權機制,滿足個人信息合規要求,維護個人信息主體權益。
破局角度二:數據處理者角度
數據生命周期覆蓋數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等環節,針對數據全生命周期的安全管理也是企業開展數據安全管理的核心工作。數據安全與信息合規產品解決方案從數據的“采、存、管、用”展開 ,提供從技術到產品,產品到流程的全流程數據安全管理解決方案,助力企業挖掘數據最大化價值。
1、數據收集—數據自動化發現、分類分級與標識
數據自動化分析、分類分級與標識是企業急需解決的數據安全需求之一。它打破了數據黑盒,幫助企業發現各類數據,根據事先制定好的數據分類分級標準,通過自動化數據掃描和策略識別的方式進行數據分類,并打上相應標識,實現數據分類分級保護,并有效降低了數據安全風險和管控成本。
近些年來,金融行業、醫療行業、汽車行業等相繼發布了針對各行業數據分類分級的指導建議和法律法規。數據分級的標準不僅需考慮到數據共享、開放的類型、數據影響的范圍,還需考慮到行業法律法規等相關管理要求。此外,數據體量、時效性、數據脫敏處理等因素,也會影響數據安全級別的升高或降低。
數據分類分級后,生成數據分類分級報告和可視化圖表,即數據資產地圖。資產發現和分類分級的結果通過標準接口的方式,提供給安全產品和大數據給其他數據資源管理平臺,完成對數據資產的安全訪問和高效管理。
2、數據存儲—數據加密存儲
用戶數據存儲到數據庫中,如果不采取加密存儲等手段,那么只要有權限訪問數據庫的人,都能直接看到數據庫中所有數據,包括重要的業務數據、用戶隱私數據。尤其是在中小型企業中,數據庫權限的管理基本是是由開發人員直接進行維護管理,數據安全性存在很大隱患。數據安全與信息合規產品解決方案基于用戶數據安全,以及合規性考量,采取AES、3DES、SM4方式對用戶敏感數據進行安全傳輸和存儲加密。比如用戶的登錄和注冊操作、數據返回前端、數據同步、以及接口調用、敏感數據加密傳輸等。
3、細粒度數據訪問權限
企業應根據業務實際情況和內部管理要求,配備相關人員。并且,根據不同崗位權限和職能,對可接觸數據的人員角色進行分離,避免出現權責不清、責任不明等現象。權限的設置應遵循符合業務安全需求和最小夠用原則。數據安全與信息合規產品解決方案基于RBAC、ABAC模型,明確數據操作權限,支持將數據操作權限分配給指定用戶/角色/崗位/第三方應用,并對數據操作日志留存記錄,嚴格執行內部登記、審批制度。
4、數據安全審計&監測預警
數據安全與信息合規產品解決方案通過日志采集和記錄,實現內部員工關于數據的操作行為審計,從海量日志中抽取關鍵信息,并以用戶為維度將操作行為匯總建模,建立數據安全風險監測機制。對嚴重偏離模型的行為進行告警和發布,幫助管理員發現內部泄密的威脅。
解決方案價值
1、滿足合規要求
隨著數據量的爆發性增長及數據處理場景的多元化,傳統人工識別隱私合規風險的方式已無法滿足需求,數據安全與信息合規產品解決方案以自動化/智能化手段為組織展示隱私數據在組織內部的全貌,幫助企業識別合規風險,合法合規地處理數據。
2、保護數據安全
數據安全與信息合規產品解決方案從數據生命周期全鏈路出發,助力企業在數據收集、存儲、權限管控、安全審計等方面做到數據的全方面保護,避免企業遭遇數據盜用、泄露等安全事件,確保隱私數據安全。
3、挖掘數據價值
在兼顧合規安全的前提下,數據安全與信息合規產品解決方案可幫助企業打通不同組織/企業間的數據壁壘,打破各應用間的數據孤島現象,促進數據開發利用,挖掘數據價值,為企業提供數據決策支持。
結語
云計算、物聯網、大數據、人工智能等新一代信息技術群落的興起,數據成為關鍵生產要素的時代已然來臨。在企業數字化、數據化發展的同時,也要注意對于數據的合規處理以及個人信息的保護。這是國家法律法規下的明確要求,也是企業自身發展的趨勢使然,而對于企業合規的重視也將為企業提供發展的安全支撐以及更多數據價值的挖掘。
(本文作者:派拉軟件 李媛媛)
(2022.7.1 數說安全報道)
