《欧盟一般数据条例》(GDPR)已经生效,关于该条例的讨论见仁见智,不过,其一,首当其冲的国内涉及跨国业务的企业将正式面临GDPR的合规问题;其二,无论从大数据产业还是数据安全产业以及企业、个人,数据保护要怎么办?
5月28日,在2018数博会上,杭州美创科技有限公司沈武林在“网络安全创新发展高端论坛——大数据安全与个人信息保护论坛”上说,国内提到个人数据保护的法律法令非常多,但是迄今为止还没有一部专门的个人数据保护办法。据说有一个草案,很多年了,但到现在没有实质性的进展,遥遥无期。更多是在《网络安全法》、《刑法》、《消费者权益保护法》等等这些法规当中提到个人数据保护。而且,行业立法也比较落后,包括在电信、金融、医疗行业,都没有专门的个人数据保护条例。
沈武林表示,《网络安全法》第一次明确提出数据保护,包括数据全生命周期的安全,从数据的搜集、储存、传输、处理到销毁整个生命周期的要求,这是目前为止国内关于个人数据保护最详细的一个法令。但是,更多是泛指,不只是指个人数据,指所有重要数据的保护。
在这种情况下怎么办?没有规定,不等于要乱来,而且,数据使用方要从自己做起,沈武林把这个过程分为五步:第一步要建立企业组织数据地图,第二步要检测数据应用,第三要检测数据流动,第四步要坚持真实数据使用最小化,第五步对全生命周期的数据进行审计和评估。
这五步,其实也是个人数据保护的几个核心问题,也是五大真相。
以下是沈武林演讲内容,有删节。
第一,数据分布的问题。我曾经遇到过好多客户,包括医院、政府、金融,我都会问他们一个问题,你知不知道你的数据在哪里?至少有70%到80%的用户不知道自己的数据在哪里,有一些人大概知道数据在哪里,但是详细的分布,有没有一张关于企业单位的数据地图?几乎百分之百单位都无法提供数据地图。在数据地图当中更没有对于重要数据、敏感数据的分布,这些数据有什么内部关系和外部关系。
关于数据地图,我们认为是做个人数据保护的前提,也是最关键的内容。首先知道有没有数据?数据在哪里?敏感数据在哪里?数据跟数据之间有什么联系?企业缺乏详细的、有效的数据地图来展示它的数据。
第二,数据应用检测。有些用户知道自己的数据在哪些数据库当中,存在于哪些IP地址服务器,以什么形式存有非结构化的个人数据。但大部分用户,对于数据应用的监测却知道得很少,不知道哪个业务系统使用数据,是哪些人在使用数据,使用的个人数据有什么特征,哪些字段,使用数据获得什么价值,这些问题,大部分企业都做不到,无法监测。因为大家在保护个人数据的时候,往往只是关注个人的敏感数据,比如我的财产信息、健康信息等等。
个人信息的保护,敏感信息保护固然重要,但今时今日尤其在大数据发展的情况下,大量不敏感的信息都具有非常重要的价值。比如说每个人在系统内的编号,每个人的顺序,每个人的生日,等等,这些数据大家认为不敏感,泄露出去不影响个人隐私,但这些数据一旦跟别的数据组合,就会得到大量有价值的信息。怎么能够看到这些数据有没有被非法使用?一定要知道有哪些人、哪些业务、哪些应用用了你的数据,用了数据哪个部分,哪个特征,最终使用这些数据是为了获得什么。做到这点的时候,我们才能看到这个数据有没有被滥用,个人数据有没有被泄露。
第三,数据流动监测。目前国内来讲,大家都有一种想法,数据从我手中流出去之后,我就管不着了。因为我们做了比较多的医院客户,医院客户说,谁都找我们要数据,谁要我们都给,最后医院泄露之后大家都骂医院,因为患者看病,这些信息最终肯定是在医院。对于数据的流向,数据流到哪里?数据流向目标市场是否安全?数据流出之后是否可追溯?目前这个领域基本都是空白,没有人对流出后的数据进行任何的追溯、审计或者相应保护。
第四,真实数据最小化原则。业界提了很多年的权限最小化原则,就是给每个人的权限应该是他用于工作的最小权限,以此来保障权限不被滥用。数据应用的时候也应该提倡这样的原则,真实数据最小化的原则。我们以前采集数据的时候,在很多法律法规中都有提到,只采集最小化满足工作以及正常要求的数据。现在数据应用有一个非常简单的办法,充分利用数据脱敏数据,只保留需要使用的数据,将其他数据脱敏,从而保证真实数据的最小化。
回到刚才的例子,医院数据流出之后干什么,医院从来不关注,也不知道,不知道数据流动之后要做什么,这就会有一个问题:不知道失去什么内容。我们知道一条数据从数据库的角度来看,每个数据都有很多特征,有个人的姓名、电话、地址、生日、健康信息、家庭信息,等等这些信息。一个团队要获得你的数据进行应用,我们很多时候不关心它到底要用哪些数据,我们习惯性把数据打包给别人。如果你能搞明白怎么应用数据,它需要应用数据哪些特征,我们只保留有限的数据特征,把其他全部特征进行漂白,数据泄露的风险会大大降低。
第五,全生命周期的审计和评估。审计,大家都很清楚。我们现在国内还没有真正对数据进行评估的业务,包括GDPR开展以后,我们看到国际上很多外企都在做,说我可以进行GDPR的评估,找到你不合规的地方。在做评估的时候,大家都知道风险评估怎么做,但是缺少敏感数据、个人隐私数据评估的手段。我相信在GDPR公布以后,随着国际上对于数据评估的升温,国内会逐渐关注这个事情。这个评估显然是从评估到改善,到再评估,再改善,反复循环的过程。
———end———
领取专属 10元无门槛券
私享最新 技术干货