文/刘志诚
一、合规
数据安全与个人信息保护是属于两个范畴的问题。
数据安全既包括企业数据安全风险的全面治理也包括影响国家,社会,公众权利的数据安全应尽的合规义务,对未尽到数据安全保障义务而造成的涉及国家,社会等公共利益的损失需要承担相应的责任。所以,从数据安全的角度来看是个保护企业,个人,社会,国家多方面权利的综合目标。
个人信息保护是企业在向个人提供产品和服务过程中,对获取和应用的个人相关数据综合考虑业务需求,个人权利保护,在保护个人权利的前提下,在企业业务开展的全过程保护个人信息生命周期的应用最小,必要,合规,安全。
1、合规的目标导向原则
数据安全合规关注的企业对涉及个人,社会,国家权益的谨慎义务,目标是企业对数据安全风险关注的义务以及采取的措施。要关注数据资产在生命周期流转过程的脆弱性、内外部威胁,建立控制措施将风险控制到谨慎业务的合规范畴之上。理论上,企业的实际数据安全治理诉求,应该高于合规的底线要求,数据安全合规是数据安全的子集。
但需要关注合规要求直接对控制措施的定义和监管,要考虑控制措施的有效性与风险和控制措施的相关性,需要具有充分的论证,才能制定控制措施的合规要求和监管检查,更需要谨慎对待以安全产品替代控制措施的要求和检查。避免安全厂商参与规范,标准和技术指南的制定作为监管和合规检查措施直接应用于企业。提供纳入监管体系安全产品的企业在监管部门检查和监管企业时应该回避,已避免厂商对监管规则的寻租与绑架。
个人信息保护或个人隐私保护,除了企业履行安全保障义务之外,还要履行对个人信息采集,应用的谨慎义务,个人信息的范围,边界,以及业务应用的合理性应充分考虑行业,企业的实践特征,目的是保护个人信息的合法权利,但不应该损害用户个人的其他权益,造成企业为用户提供产品和服务的缺失,不便,最终损害用户自身的其他权益。
2、监管平衡的原则
数据安全与个人信息的监管涉及到企业生态体系,而企业产品与服务的暴露面在消费互联网场景中终端相关的APP和WEB应用是监管可以进行技术实质性检查和监控的界面。因此,针对APP的监管是快速达到监管效果,整治个人信息与数据安全乱相的切入点,针对APP采集终端,用户个人信息,行为等诸多个人信息相关特征以及相应的安全控制措施,政策与保护措施的一致性,制定了从行业要求,到标准规范,行政法规的一系列检查和合规要求。为了体现执法的严厉程度,对具体业务逻辑过程中的权限应用的技术措施进行了详细的规定,定义了危害等级,并进行了逐级检查和通报。
严厉的监控措施有效的整治了用户个人信息权益权益侵犯的乱相,但同时也带来了过度监管,交叉监管,细节监管的负担,干扰了企业业务的正常开展,甚至影响了用户的最终权益。
同时,对于企业内部技术体系的数据安全与个人信息保护的监管与检查,则采用审计方式关注企业的合规制度建设,过程管理,记录审计的方式做形式审查。依赖于数据库安全厂商,流量分析检测厂商,系统配置的检测和管理的演示,做现场阶段性实质性检查。由于缺乏深入的界面,持续检测和监测的监管手段,存在监管的空白。造成个人信息保护和数据安全领域对企业过度监管与监管不足共存的悖论。
二、基础设施
1、公共基础设施
电信诈骗造成个人信息泄漏的直接后果,成为社会热点,以反诈开展的执法雷雳风行,结合帮信罪的定义,对手机账号,银行账号,信息服务等电信欺诈的基础设施进行全面打击,虽然在一定程度上遏制了电信欺诈的直接损害,但也存在无奈的误伤,而根源的数据泄露以及实名制执行不力,运营商、银行的监管能力,分析能力不足带来的历史问题仍难以彻底解决。遗憾的是,过度监管造成的企业反欺诈能力和用户个人信息保护以及用户权益保护能力持续损失,进一步让用户权益侵害的状况雪上加霜。
有个朋友的企业通过对欺诈电话,欺诈短信发送方的威胁情报监控,以及用户终端侧欺诈电话,欺诈短信的信息分析和采集,构建了用户数据泄露和欺诈风险的监控体系,有效的识别到用户信息流转过程中生态合作伙伴的风险,通过通知和预警降低用户被欺诈的风险。但由于终端信息采集和处置能力权限的合规要求,失去了在用户侧分析用户欺诈风险以及监控合作伙伴数据风险的能力,不得不说特别遗憾。目的是保护用户,并且没有损害用户的个人信息保护,但却被保护用户权益的监管导致结果如此。
国家有反诈APP,是否可以构建用户侧的欺诈电话和短信的威胁情报库,是否开放用户欺诈相关的风险,经用户授权后开放给为用户提供产品和服务的企业,作为公共能力,构建完整的防电信诈骗能力。
2、企业基础设施
企业基础设施包含个人信息影响分析(PIA),数据应用分析,应该在业务可行性分析,业务过程设计,产品和研发建模阶段构建以数据为中心的模式,在产品设计阶段建立个人隐私保护的设计(PbD),在数据流转过程中建立传输,存储,应用的安全监管,在APP/WEB,API,网关,数据库建立访问控制措施,并能建立数据流的单实体视图和聚类视图,监控数据全流程的风险,为数据安全和个人信息事件的预警,追溯,建立数据驱动的预警,响应和溯源能力。
这涉及到预防,集成,检查,监测,预警,响应的能力,以及过程数据的采集,分析,处理,应用的自动化和智能化能力。构建成统一的平台,实现功能和数据的分离,整合现有产品体系,构建核心能力的功能独立,数据标准开放的安全中台体系,是完美的企业数据安全保护和个人信息保护架构。
这应该是理想的企业数据安全和个人信息保护基础设施,但从实践角度来看,路漫漫兮其修远兮。
三、数据流通
数据生产要素是中国首倡的在数字化时代生产要素的变革理论。生产要素对生产力和生产关系的变革影响深远,目前仍处于探索和创新阶段。而作为要素市场的数据流通尝试,以数据交易所为主的试点在数据资产的定义,定价,以及数据流转的本质的探索,在数据资产的定义和入表,数据产权,数据质量,数据定价,数据安全以及数据对个人信息,商业秘密,国家秘密影响等领域依然存在争议。
不同行业的数据存在不同的特征,价值存在不同的体现,而以原始数据加工为基础的满足应用场景价值的数据产品,是否可以作为规避原始数据产权,秘密脱敏,满足数据安全,用作流动和交易的产品运营自主定价,值得探索和尝试。但依然需要第三方承担数据产品背后原始数据质量验证,原始数据与数据产品相关性,产品定价合理性,进行统一标准规范的验证和背书。
数据产品的保护源自于数据产品的价值,符合原始数据的可用不可见保护。这其实为企业提供数据加工的创新和要求,如果作为比喻的话是通过对原始数据矿产的挖掘,制造出商业化的产品。
如果这个角度探讨,我觉得是可以规避到数据流通中原始数据涉及到的数据安全和个人信息保护的相关风险的处置,仅需要关注数据产品商业价值基础上的数据安全保护。当然,如果数据产品是个人信息的属性之一,仍需要关注个人数据产品的个人信息授权与保护。
四、产品与服务
数据安全与个人信息保护与传统网络安全,关注的资产类型不同,数据资产的可复制性与流动性,注定对数据资产的安全风险的分析方法与控制措施与传统的网络安全不同。单纯的把数据安全看作是网络安全的目标,同样是忽略了数据作为资产自身的脆弱性和面对威胁的全面性。需要关注数据保护网络安全之外的数据安全风险,网络安全控制措施在数据安全保护的整体性来看,仅是一个子集。
在网络环境中的数据安全保护的目的着手的是把数据流转的容器作为安全保障的目的,因此,在网络安全看来数据安全只是目的之一,信息系统破坏引起的完整性和可用性风险同样是网络安全的目的,因此这个角度数据安全是网络安全的子集。
数据安全产品化任重道远,首先关于数据分类分级,是从数据资产保护的角度,分析需要关注的安全保护策略,但分类分级与数据流动性环境相关,基于数据库的自动分类分级,仅是把数据的逻辑化资产重要性在数据库场景的工程化呈现,但在数据在API,应用,大数据平台的聚合和分离场景中,难以应用数据库字段工程实例的分级结果。
另外,从分级应用的角度来看,数据的逻辑分级如何与数据安全的管控措施进行结合,如何验证相应的数据逻辑分级的结果对应了安全风险的控制措施,如何验证措施的有效性与分级结果,安全风险与控制措施的相关性,就成为了一个难以自动化的核心问题。
数据安全产品以网络安全产品的模式,针对静态网络安全资产的脆弱性和漏洞治理模式,难以覆盖数据资产流动性和可复制带来的安全全流程的监控和分析。在数据安全事件过程中难以实现个案实例的全过程追踪溯源和通过聚类特征发现数据的泄漏源风险。而建设相应的能力,需要自上而下构建基础设施。对很多企业而言,无论从资源还是能力的角度都困难重重。
数据安全目前依然是咨询服务专家模式作为主流,产品依然是基于网络安全方法论的相关产品。
构建完整的数据安全体系,未来3-5年仍需要更多方法论层面的探索以及对企业实际安全需求的验证和创新验证。
因此,数据安全企业与优质客户的标杆企业试点联合研发,可能是数据安全产品破局的出路。
声明:本文来自IT的阿土,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。