根据国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第13号),全国信息安全标准化技术委员会(TC260)归口的国家标准《信息安全技术 网络音视频服务数据安全要求》已于近日正式发布,将在2023年5月1日实施,标准编号为GB/T 42016-2022。
根据标准的术语定义,网络音视频服务是指通过互联网站、应用程序等网络平台,向社会公众提供音视频信息制作、发布、传播的服务。标准规定了这类服务收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动的安全要求,适用于服务的提供者规范自身数据处理活动,也可作为监管部门、第三方评估机构对网络音视频服务数据处理活动进行监督、管理、评估提供参考。
01 网络音视频数据分类分级是安全保障的基础
在网络音视频服务提供者数据安全的基本要求条款中,标准明确“应按照有关要求和标准进行数据分类分级保护,识别网络音视频服务涉及的核心数据、重要数据、一般数据,对不同级别的数据采取不同的保护措施”;同时明确“应识别网络音视频服务涉及的一般个人信息、敏感个人信息,对个人信息进行标识和分类管理”。
网络音视频服务数据范围可以分为用户数据和业务数据两大类,用户数据包括网络音视频服务提供者在提供网络音视频服务过程中收集和产生的用户的个人信息,如用户的基本资料、身份信息、浏览、搜索、播放记录等;业务数据主要指网络音视频服务提供者在提供网络音视频服务过程中处理的除用户数据外的其他数据,包括内容数据和业务运营数据。以下为网络音视频服务数据分类示例:
用户数据分类
业务数据分类
在技术实施上,鉴于网络音视频服务的业务特性,其用户数据和业务数据长期处于海量新增、高频流动的状态,为了准确、高效、实时地梳理展示数据资产状况,可以选择内置有网络音视频领域数据模型的自动化分类分级工具。对于个人信息类的用户数据而言,除了具有较为明显特征的结构化数据,同时需要重点关注半结构化、非结构化等多形态的数据,它们不仅存储在数据库,更多会在内部业务流转过程中进一步进行格式转换、数据变形等等,因此基于内容的深度识别解析将覆盖更完整的数据类型、格式及形态。对于业务数据而言,除了网络音视频服务领域内较为通用的业务数据(这类数据的识别采用数据模型可以基本覆盖),不同的服务提供者都具有部分个性化的无特征业务数据,容易成为识别标准的盲区。采用基于少量数据样本的小数据机器学习技术,动态生成敏感数据智能识别模型,并对样本进行管理及持续样本规则学习,可以针对组织内特有业务数据自动生成敏感数据分类模型,实现特有业务数据的精细分类标注。
02 重点关注流动数据的安全监测和防护
在网络音视频服务数据安全风险的条款中,标准突出强调数据在牵扯众多用户角色(如内部人员、供应链环节、第三方共享)的跨域流转场景下存在的风险,如:
☆在个人信息使用活动中,提供者未采取脱敏、身份鉴别或访问控制等安全措施导致数据遭到未经授权的访问、泄露、篡改、丢失的风险,以及音视频内容个性化展示等场景中个人信息被滥用的风险;
☆在联名会员、个性化广告等场景下,未经用户授权向第三方提供或超范围提供个人信息,以及接收方无感提供充足安全保障措施、滥用个人信息等风险;
☆在个人信息传输、存储活动中,提供者及第三方未采取有效安全措施导致个人信息遭受未经授权的访问、泄露篡改、丢失的风险。
可以看到,当用户数据及业务数据的流动成为常态,数据处理活动中面临的风险主要来源于敏感数据资产存储混乱、暴露面大,内部无序流转扩散、违规滥用,各种恶意的主动泄密及攻击窃取等危险行为。因此,在不影响业务运转的前提下确保流动数据的安全可控成为必要,那么,数据安全防护重心也将发生根本改变,传统的基于静态的、在单个域内保障数据安全以及在边界处严防数据进出的管控措施将不再适用标准的要求。
在技术实施上,采用零信任数据安全架构,运用人工智能技术,聚焦于数据本体建立全流程数据跟踪及风险防护体系。基于前述数据分类分级的结果,自动化跟踪管理数据流转的路径和形态、格式等数据在全生命周期内的变化,通过实时打标智能聚合数据使用链路并快速溯源。以零信任身份角色鉴别、环境感知为基础,以分布式风险识别为驱动,动态感知数据在各业务流程环节以及各类数据角色使用过程中的风险。根据风险级别、使用环境、流转环节以及用户角色等差异提供最精准最适宜的防护手段。由于对业务及网络无任何改造地映射用户数据业务全流程,得以让数据跟踪及风险防护体系与业务流程独立运行,互不干扰,不影响数据正常流转效率及业务的正常运行。
伴随数字化进程的深入,网络音视频服务已经成为大众日常生活工作必不可少的工具,网络音视频服务提供者络绎不绝涌入市场,新兴的服务应用层出不穷,标准的出台将为其保障用户的隐私和业务的安全运行树立清晰的基线,安全框架和技术也需要与时俱进地迭代,满足合规要求的同时促进网络音视频生态健康发展。
(本文作者:北京数安行科技有限公司 郭灵)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。