“大數據時代,人人都在裸奔”,雖然只是一句調侃的玩笑話,卻也展示出了數據安全問題面臨的嚴峻形勢。當前企業的數據安全主要面臨著哪些內外部的威脅?《數據安全法》為企業的數據安全提供了哪些保障支持,又提出了哪些合規要求?企業應該怎么建設數據安全?
1.企業數據安全的5個新挑戰
第一, 數據安全的范疇拓寬了。原來的數據安全更多的就是保護,但現在因為數據權屬和數據流動的對撞,冒出來了一個新的需求和挑戰 —— 合規。不止是簡單的保護,還擴展到了要去保證兌現數據真正屬主的權利,難度遠比原來要大。
第二, 企業保護數據安全的思路變了。現在有一個熱詞叫分級分類。數據保護原來是網關式的,不管數據是什么,加了密、保證不被不該看到的人看到就好。但現在數據有不同的級別、不同的類別。有些數據可以流通,有些數據可以開放,有些數據什么都不能做。這樣一個邏輯之下,就出現了基于數據分級和分類以后的數據保護。這對企業而言也是很大的一個挑戰,怎樣根據業務對數據進行分級分類,怎么根據數據的級別和類別施加恰當的保護措施。實際上是很難的。
第三, 數據的生命周期鏈條延長了。原來業務系統產生數據、存儲數據、使用數據,是一個一個的孤島。但現在數據采集后,可能有數據流通、數據交易、數據共享、數據混采等需求。在這個過程中,數據會接觸到很多第三方。比如數字廣告營銷中,數據就會為app服務商、廣告商所用。實際上,現在數據的生命周期鏈條大大延長了。數據保護是不是能覆蓋到鏈條之下的所有環節,也是個難題。
第四, 服務方式從建設型向服務型轉變。現在,數據是活的,是熱的。隨著業務的變化,數據也在不斷變化,不斷有新數據、新業務產生,也不斷有數據的生命周期變化。像原來那樣,只是通過建設,把各種安全產品、安全軟件放在用戶那里,已經不足以保證用戶的數據安全。原來的建設型的數據安全保護一定會演變為服務型,通過持續的運營和服務,才能真正為用戶解決好數據安全問題。
第五, 治理結構的轉變。現在的數據安全定義中,其實也有國家治理結構中的很多角色,比如審計、評估、服務、產品,以及企業自身,連接著不同的生態。未來的企業數據安全的治理結構中。到底有幾方,才能保證企業的數據安全治理是可信的、透明的、可監管的,實際上也是企業需要思考的問題。
2.內防外控,堵住信息泄露3條途徑
那么,要如何破解這些挑戰?筑牢數據安全大壩呢?
數據安全最終導致的問題就是信息的泄露,那途徑無外乎就是三個方面:一是來自外部的攻擊。據統計60%以上的數據泄露是由網絡攻擊導致。二是內部使用過程中造成的數據泄露。三是組織之間數據要素流通過程中造成的泄露。
“總結下來就是外防內控。”現在做數據安全,一定要有一個“最佳實踐”意識。不論是從重要場景的安全風險出發,進行解決方案設計;還是從數據的分類分級出發,針對重要數據的管控,進行加密脫密等處理;或者是結合一些新型的先進技術,比如多方計算、隱私保護、同態加密、隱私計算等,去解決數據安全問題,“無論是哪一種方式,首先要是要可落地比較強。”
3.注意!這些細節要合規
2021年《數據安全法》、《個人信息保護法》相繼實施,為企業的數據安全提供了方向指導,也提出了具體要求。
《數據安全法》的核心制度就是分類分級重要數據識別、重要數據保護等。目前,對重要數據的規定還是比較偏原則性指導,但在汽車等一些重點行業,也提出了較為具體的指南。
企業可以根據業務線條為標準,對數據進行分類,然后再進行重要級的劃分。從行業要求、業務需求、數據來源等方面,進行一般數據、重要數據、核心數據的識別,并根據《數據安全法》的規定,把重要數據和核心數據的目錄明確出來。
在《個人信息保護法》方面,企業一定要注意這幾點:
第一, 該法中對個人信息的定義比較廣,不僅包括識別方面的信息,也包括與個人相關的信息,企業在業務中一定要注意合規性。
第二, 該法規定,匿名化之后的信息,不屬于個人信息,可以當作普通的一般信息進行流通使用,但去標識化后的個人信息,還屬于個人信息。
第三, 處理個人信息的過程中,有針對個人用戶的一個同意要素。在立法當中,同意也有單獨同意、一般同意、書面同意、口頭同意等不同層次。每一種同意,線下所對應的場景是不一樣的。一定要注意必須單獨同意的情況。
第四, 敏感信息方面,企業做分類分級的時候,可以把敏感個人信息全部納入到某一個級別或類別當中,統一地適用一些立法要求,使用過程中會更加便利。
第五, 《個人信息保護法》的個人信息保護影響評估制度,其實是覆蓋個人信息處理全周期過程的。換句話說,在個人信息處理的全生命周期當中,企業都要做好個人信息保護的評估。
