企业在日常的业务运营以及用工管理当中,存在各种各样的数据,比如财务收支流水等经营数据,统计报表等决策所需数据,注册信息、行为动态等用户数据,工资、考勤等人力资源管理数据。企业数据合规作为业界重视程度极高的话题,涵盖的内容十分广泛,囊括了任何具有价值的数据、信息的收集、处理、传递全过程。
个人信息保护是数据合规的一大关键
事实上,从我国数据合规的立法与执法案例不难窥见,其中关于「个人信息」的全面保护一直以来都是企业数据合规中的最关键目的和立法的制度核心。
我国关于个人信息的立法保护最早可以追溯到2004 年1月1日生效的《居民身份证法》,规定公安机关对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。而各行业的意识全面提升和技术手段跟进,是从2017年《网络安全法》的实施开始,从“网络信息安全”的角度明确规定了网络运营者的多项个人信息保护义务。同年,《民法总则》颁布,规定任何组织和个人不得非法收集、使用、加工、传输、提供或公开他人个人信息,从民事基本法层面确立了公民就个人信息享有权益。2020 年通过的《民法典》在此基础上更进一步, 以专章对“隐私权和个人信息保护”作出规定。2021年,《个人信息保护法》出台实施,细化、完善个人信息保护应遵循的原则和个人信息处理规则,明确个人信息处理活动中的权利义务边界,健全个人信息保护工作体制机制。
纵观最近几年各地互联网法院公布的个人信息保护典型案例,以短视频平台、电商平台、金融机构等信息科技企业为代表的行业在日常经营过程中,不管是企业还是经企业授权的员工,都存在违规使用和泄露个人信息的法律风险,极易侵害公民个人信息,造成民事侵权甚至刑事犯罪。观察总结而言,安全风险主要来源于以下几方面:
• 内部人员权限管理混乱
OA、ERP等等供企业内部以及供应链合作伙伴使用的各种系统,普遍存在越权设置、离职转岗人员未清除权限、特权账户滥用等等权限管理问题,是企业内部威胁的最大来源。不同的业务系统存在各自的权限管理体系,总部与分公司权限也存在较大差异。同时,权限申请与审批存在较大的操作空间,以方便操作为由的账号借用、超权限开通情况普遍,个人敏感数据也就随着权限放开而失去有效管控。
• 大量数据处理活动频繁
数字化潮流带来业务升级压力,也改变了业务应用的开发交付模式,为了能够快速响应瞬息万变的用户需求,敏捷开发DevOps、数据运营DataOps等协同工作流在企业内普及。研发人员、运维人员经常需要使用数据管理工具、数据库运维工具直接访问已经上线的生产数据库,进行数据分析、故障定位、应用优化等工作,第三方外包人员以及BI人员等,由于业务需要也会产生大量的风险访问行为。数据在企业内长期处于无序流动滥用的状态,泄露风险极大。
• 事后难以溯源并整改
当发生数据泄露等安全事故,陈年老系统、多年老代码、缺乏规范的开发、散布在不同业务下的不同数据库,让事后排查安全事件消耗大量人力。同时,外部合作伙伴的数据合作也不会由于数据流通让责任转嫁,合作伙伴的数据提供以及数据保护依然是重要的一环。数据安全事件发生后,安全团队能否立刻开展追踪溯源工作,复原安全事件的整个过程,找到造成数据泄露的原因成为不确定因素。与此同时,数据泄露并非单点独立事件,企业能否以此找到安全管理的短板,补齐疏漏,持续评估,是保证企业整体安全水平的关键。
企业如何守护个人信息安全
《网络安全法》《个人信息保护法》《数据安全法》均明确了企业开展数据活动应承担数据安全保护义务,关于个人信息保护的技术措施范围比较广泛,伴随信息技术的发展和市场的需求也经历了不同的发展阶段。
• 个人信息识别梳理
作为开展各种个人信息保护活动的前提,企业首先需要弄清楚到底哪些数据属于个人信息。《民法典》《个人信息保护法》《信息安全技术 个人信息安全规范》国家标准等相关文件均有其定义。按照特别法优于一般法的原则,在个人信息保护活动中,《个人信息保护法》对于个人信息的定义将优先于《民法典》中的定义。另从效力位阶的角度而言,《个人信息保护法》的效力位阶明显高于国家推荐性标准。
《个人信息保护法》指出,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。从合规角度讲,企业在梳理个人信息或者数据资产时,宜采取相对宽泛的标准,尽量将与特定自然人相关的所有信息均纳入个人信息范畴。在安全419今年发布的《数据分类分级解决方案》系列访谈选题中,分享了不同定位的数据安全厂商在帮助企业识别梳理内部数据资产方面的实践经验。
传统数据安全厂商如美创科技,采取的是模型+工具+组织+流程的组合拳。先行规划模型体系,结合国家标准、行业及自身特点,确定数据分类分级策略,形成数据发现模型和分类分级模板;然后建立组织保障,推动机构信息、业务等部门对工作的深度参与,由美创数据与行业专家组成数据工作组和标准体系制定组,统筹实施工作;配套工具上,美创数据治理产品覆盖企业及机构(暗)数据发现、数据分类、数据分级的全流程需求,沉淀行业模板,减少实施周期并确保交付质量;最后考虑实际落地过程中的多种因素对标准和规则进行变更,需要对增量部分持续进行发现和结果优化,保持功能迭代更新。
新兴数据安全厂商如数安行,基于专家经验和对业务的深度理解,建立开箱即用的、更细粒度的个人信息数据识别模型,帮助企业快速定义符合自己业务场景的个人信息合规及防护策略。其亮点在于支持多类型、多格式、多形态的数据内容深度解析和流转跟踪标注,完整支持“动态”的数据识别和梳理。一是对于增量数据的持续性动态分类分级,二是同一份数据的动态追踪,通过对各种格式压缩包多层嵌套识别,加密文件识别,基于文件指纹、文件DNA等文件生物特征检测,隐写数据、加密数据等不可解析数据识别标注,来保证敏感个人信息全链路智能聚合及溯源。
• 个人信息全生命周期管理
《个人信息保护法》将“规范个人信息处理活动”列为主要立法目的之一,并规定个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,相当于将与个人信息有关的所有活动均纳入规制范围,这与目前各类监管政策文件所强调的“全生命周期管理”的思路一致。
全生命周期管理是企业开展数据合规工作的重要指导原则之一,涉及个人信息的各类处理活动均需遵守相应的法律规定,确保个人信息安全,而不应狭隘地认为数据合规仅仅或者主要是指初始收集阶段的合规。为了在各个数据处理环节提升安全水位,企业从技术和管理层面同步进发,比如:
权限管控,针对不同访问需求,规范数据访问权限,并严格记录访问情况,实现内部数据操作行为的有效控制与监管;
脱敏流转,在数据使用流转过程,遵循数据最小使用原则,去标识、去隐私,实现数据的安全高效利用,在安全的前提下提升数据的使用价值;
密文存储,落实重要数据识别和分类分级保护要求,对重要的核心数据加密存储,守护数据安全;
数据审计,详细记录应用用户访问数据的日志,包括时间戳、应用与数据库用户、访问路径、数据源、数据位置、访问类型、SQL请求、数据量、敏感数据相关信息等;
应急处置机制,一旦发生安全事件,确保企业有完善的应急预案和应对处理机制,防止事态进一步扩大;
等等。
在实际运用中,由于数据的量级和流动频率正发生质的飞跃,逐渐突破既有的清晰边界,传统的防护手段也开始显现出孤岛效应,导致运营效率低下,整体防护效果欠佳。眼下,聚合了跨数据类型、存储孤岛和生态系统的数据合规和保护需求的一体化数据安全平台(Data Security Platforms,DSP)逐渐受到市场青睐。其不仅整合了前述的数据识别梳理、分类分级等基础功能,更重要的是将覆盖数据全生命周期监控数据处理活动、持续进行风险评估、按需下发安全策略,实现一致性的安全原则,提高对数据全程变化的可见性,避免防护盲区,也方便进行追溯和加固。
安全419在近期相关报道中,观察了目前国内市场中推出DSP产品的玩家,一部分是在迅速挤占数据安全赛道的综合安全企业,比如360、启明星辰、安恒信息、山石网科等;另一部分则从成立之初就扎根数据安全赛道,如昂楷科技、明朝万达、美创科技,其DSP产品匹配了各自多年的数据安全基因;此外还有诸如数安行、熠数信息、红途科技等新晋成立的技术创新型数据安全企业。感兴趣的朋友可以点击了解详情-《网安创新方向之——数据安全平台(Data Security Platforms)》
个人信息保护合规道阻且长
长远来看,个人信息保护合规并不是一蹴而就的事。《个人信息保护法》实施仅一年有余,相关的配套细则指引、行业监管条例还在陆续出台,安全厂商与各个行业用户的合规实践探索也正如火如荼进行着。
经安全419走访调研,对于相关政策条文的认知和理解的分歧,以及细粒度操作合规指引的缺乏是企业在实操层面最大的难题。因此大家目前更多处于一个保守观望的态度,这也反向敦促相关机构要尽快出台最佳实践,并加以引导和推广。
再者,在强监管的趋势下,大量应用被监管单位通报,甚至被应用商店下架,企业已如惊弓之鸟。事实上,并非企业不愿意满足合规要求,行业普遍缺乏数据合规方面的专业技术人才是一个很现实的问题。因此有安全专家分析,未来通过第三方服务机构向应用开发者提供个人信息保护相关的合规检测服务会是一个必然的趋势。
另外,安全厂商和企业用户普遍认同,外部的攻击威胁只是数据安全风险的一小部分,更多的问题还是来自企业内部的违规操作,比如员工误操作、非授权访问、离职泄密、内外勾结等等,这些是目前企业在个人信息保护过程当中付出代价最高,也是最难以检测到的数据违规行为,需要有超越传统安全边界思维的产品技术方案提供支撑。
数据已经成为新的生产要素,是数字经济发展的主要动力,经过处理的模糊化的公民的个人信息,也是其中的重要的组成部分之一。我们需要持续去探索在保护个人信息的同时,也能够增加促进数字经济发展以及创新应用的相应规则和技术手段。