智能數據治理平臺

睿治作為國內功能最全的數據治理產品之一，入選IDC企業(yè)數據治理實施部署指南。同時，在IDC發(fā)布的《中國數據治理市場份額》報告中，連續(xù)四年蟬聯(lián)數據治理解決方案市場份額第一。

在線免費試用 DEMO體驗視頻介紹

睿治智能數據治理平臺

IDC蟬聯(lián)數據治理解決方案市場第一

大數據環(huán)境下的敏感數據治理

時間：2019-08-02來源：安全牛瀏覽數：1291次

隨著網絡技術的快速發(fā)展，大量數據在各種業(yè)務活動中產生，數據價值越來越凸顯，在商業(yè)策略、社會治理和國家戰(zhàn)略制定過程中，數據都起到了重要的決策支撐作用。甚至有一種說法是，目前處于數據驅動型經濟中，如果無法分析當前或未來的趨勢，任何組織都無法生存下去，搶奪數據已經成為決定下步行動方案的關鍵。

為了保證企業(yè)、組織和國家機關數據安全性，應該對數據進行有效分類，避免一刀切的控制方式，而應采用更加精細的管理措施，使數據資產在共享使用和安全使用之間獲得平衡。敏感數據，或者叫做敏感信息就是一類特殊的數據類型，需要采用特殊的手段進行管理。

一、敏感信息保護的重要性
大數據時代，所有數據都具有了一定的價值。企業(yè)在獲得了大量的個人數據之后，他們會利用人工智能等技術來處理、分析數據，并且挖掘出有價值的信息，然后根據這些信息來促進業(yè)務的發(fā)展。價值的背后潛藏著巨大風險，大量敏感數據被販賣、竊取和無授權濫用，這一問題已經嚴重危害到個人隱私、企業(yè)發(fā)展甚至國家安全。

二、敏感信息定義
1. 敏感信息界定時的地域、文化差異

實際上關于如何鑒定和分類 “敏感數據” 這一核心問題，不同國家、區(qū)域在界定過程中存在很多差異。

首先，依據伊茲歐尼的觀點，“測定數據的敏感程度應當反映所在社會的價值觀”，敏感數據的判斷標準受到該社會特定規(guī)范性文化的影響。但即便是文化傳統(tǒng)相似的歐盟成員國之間依然存在一些差異，例如，在一些歐盟國家，“照片可被用來區(qū)分公民的民族/種族”，因而被視為敏感數據，而歐盟數據保護工作小組 (The Working Party) 并不將網絡照片歸為敏感一類。

其次，即便是在同一個同家、州或城市，不同的法律或部門也可能對同一類數據的歸類不盡相同。以美國為例，《金融隱私權法》規(guī)定，客戶的金融信息、銀行賬戶信息被視為高度敏感數據，美國聯(lián)邦貿易委員會 (FTC) 公布的五大敏感數據也包括財務信息，但HIPAA法案卻將其排除在外。

再者，同一文化或社會中，敏感數據的標準還會隨著時間而改變。不同年代的人有著不同的隱私期待或判斷標準。

綜上不難看出，對于敏感數據，企業(yè)和組織、甚至國家層面都要針對自身性質以及業(yè)務情況，制定更符合實際情況的分類。

2. 美國對敏感信息的管理

美國把 “敏感但非密信息” 稱為 “受控非密信息 (簡稱CUI)”，目前根據適用法律、法規(guī)和政府政策進行保護或傳播控制的信息，分為僅供官方使用信息、執(zhí)法敏感信息、國防部受控非密核信息、限制分發(fā)信息、國務院敏感非密信息、緝毒署敏感信息、外國政府信息和技術文件分發(fā)聲明八類。

2018 年 7 月，美國信息安全監(jiān)督辦公室 (ISOO) 公布了《2017年美國保密管理年度報告》，美國信息安全監(jiān)督辦公室主任布拉德利在這份報告中的第六部分著重分析 “受控非密” 信息管理情況，69 頁的報告中 “受控非密” 信息的分析內容就達 3 頁，其中對存在問題的分析超過 1 頁，足見對此項問題的重視程度。

美國一方面開始重視敏感信息的管控，一方面安排以國家安全局為代表的安全情報領域建立新的情報獲取方式，逐漸從秘密情報 ( Covert Intelligence) 向公開情報 (Overt Intelligence) 獲取偏重，以商務合作、文化交流、科研訪問、社會調查等合法形式為掩護，通過新聞媒體、跨國公司、調查咨詢機構和非政府組織實施方式更加隱蔽的情報竊密行為，通過搜集和分析全球范圍內的媒體、網絡、政府公開數據、專業(yè)學術出版物、商業(yè)數據、灰色文獻，為國家安全、行政執(zhí)法領域的分析人員提供涉密、非密以及專有情報服務。

3. 我國對敏感信息的界定及其分類

對于個人來說，敏感信息涉及個人隱私，按照我國國家標準《GBT 35273-2017 信息安全技術個人信息安全規(guī)范》解釋來說，是指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。通常情況下，14 歲以下（含）兒童的個人信息和自然人的隱私信息屬于個人敏感信息。

對于企業(yè)或一個組織來說，敏感信息包括客戶資料、技術資料、重大決策信息、主要會議紀要、財務預算信息和各種財務報表等高價值數據，這些數據以不同形式存在于企業(yè)資產中。

對于國家政府部門來講，敏感信息是介于保密信息與公開信息之間的特殊信息，這類信息不符合定密標準，不能按照國家秘密的形式進行保護，但是如果公開，卻有可能造成某種損害或潛在損害，因此需要限制公開或控制其傳播。2017 年 5 月 24 日，全國信息安全標準化技術委員會秘書處發(fā)布了國家標準《信息安全技術大數據安全管理指南》征求意見稿中提到：“組織應對已有數據或新收集的數據進行分級，數據分級時需要組織的業(yè)務部門領導、業(yè)務專家、安全專家等共同確定。政府數據分級參照 GB/T 31167-2014 中6.3執(zhí)行，將非涉密數據分為公開、敏感數據”。

（部分內容來源網絡，如有侵權請聯(lián)系刪除）

立即申請數據分析/數據治理產品免費試用我要試用

上一篇：大數據時代企業(yè)數據治理應該怎么做？...

下一篇：“數據治理那點事”系列之一：那些年我們一起踩過的坑...