查看原文
其他

融信畅谈汇 | 解决数据安全痛点的三两事儿

天融信 2022-05-08



融信畅谈汇正式开播啦!

安全圈儿的热点事件
安全行业的热点方向
安全建设的热点问题
……
你知道的、你不知道的
都来融信畅谈汇聊聊~


9月1日《数据安全法》正式施行,为帮助大家深度理解《数据安全法》、《个人信息保护法》之间的联系和重要关注点、做好数据安全体系的建设,天融信邀请北京市盈科律师事务所合伙人温子瑜律师、中海油国际有限公司基础架构与安全资深工程师马骏先生、河南悠备网络科技有限公司总经理谷燕兵先生,与天融信科技集团副总裁王鹏、副总裁王奇飞先生做客“融信畅谈汇”,从法律、客户、集成商、厂商等多视角出发畅谈数据安全。以下为本期节目精彩看点集锦:



01

两部法律的关系和影响


温子瑜:《数据安全法》与《个人信息保护法》是我国关于信息安全保护的两部重要法律,两者规范的内容各有侧重又相互交叉。《数据安全法》主要侧重于数据本身的安全保障和合理利用的问题,规范了数据处理的活动主体,如在数据处理活动中所应遵从的数据安全的发展策略、数据安全的保障义务、政务数据的安全和开放方式等。《个人信息保护法》则以“人格权益“为核心,规范个人信息处理活动中规则、权利及义务的边界。
 
两部法律虽各有侧重,但又密不可分。信息和数据本身是内容和外在形式的关系。在具体的法律适用中,要遵从《个人信息保护法》的原则和具体规定,特别是涉及到单个自然人主体人格权益的尊重方面,在个人信息处理活动中始终要遵循合法、正当、必要和诚实信用的原则。此外,在信息综合量较大情况下,信息处理者应当结合其业务特点、行业特点、信息数据规模、信息数据种类等多重因素,综合适用两部法律。
 
谷燕兵:《个人信息保护法》和《数据安全法》是一般法和特别法的关系。一般数据处理活动中要依据《数据安全法》而行,而涉及个人数据的处理,则既要满足《数据安全法》的基础性规定,又要满足《个人信息保护法》的特殊性规定。两个法律的出台,对我们来说既是机会也是挑战。国家对数据安全工作的重视,势必带动包括政府、医疗等各行业客户对数据安全重点关注,依照法律要求加强数据安全和个人信息保护。
 
王鹏:首先应了解数据和信息的区别,信息是逻辑概念、是价值的本质,而数据是实体概念、是信息的承载形式,同样的信息可以用不同的介质、方式承载。数据安全和个人信息保护的主要问题,一方面在于原有网络安全管理方式需要适应数据安全管理的需要,尤其在数据资产梳理、分类分级方面;另一方面,是如何在使用场景中保护好更重要的数据。因此需要进行数据安全治理,首先清楚有什么数据、如何判断数据的重要性、标定重要数据、了解该如何保护;另外通过治理确定怎么保护以及需要达到的目标等,还要协调好数据安全以网络安全的关系,将网络安全防护措施与数据安全管控需求统一起来。
 


02

两部法律重点关注点


马骏:众所周知,国内大部分网络安全建设一般从合规建设出发,比如等保、商密等,均已有健全的参照文献及规范。数据安全虽已立法,但配套的文献和规范还需要时间完善,目前还存在“想做但是不知道怎么做”的局面。《数据安全法》的发布,让企业明白数据安全建设的重要性,并且学会从“数据处理”的维度重新规划当前的数据安全建设。同时,在现有安全建设的基础上融入数据安全建设,也是《数据安全法》比较需要关注的点。《个人信息保护法》的维度对企业来讲更是一个挑战,个人信息属于数据的一种类型,但是使用方不仅仅是技术部门,更多的是业务部门,比如财务部、业务部等,如何协同业务部门为个人信息保护形成联动防护,这也是急需要关注的点。
 
谷燕兵:数据安全不是单个部门或者个人能做到,更重要的是整体建设。作为集成商,首先《数据安全法》强调数据处理者在等级保护的基础上履行保护义务,做好数据安全评估、安全预警等手段,同时做好数据分类分级和重要目录、建立组织机构、健全管理制度落实保护责任。《个人信息保护法》对个人信息的采集和处理做了更为详细的要求,强调对于个人信息要采取加密、去标识化、匿名化等技术进行处理。《数据安全法》的落地说明信息安全保护更细粒度,不能像以前一样,以单一产品或服务出现,要为客户提供数据安全治理相关服务,同时更要了解客户业务,针对客户业务情况给予针对性的解决方案。
 
王鹏:数据安全和业务贴合十分常紧密,用户关注的需求已经由单一产品需求变成了整体数据安全需求。从治理角度看,数据安全和个人信息保护应该重点关注数据安全责任与数据安全风险评估问题。数据安全、个人信息保护更贴近业务应用层面,需要业务部门和科技部门配合完成,但实际治理中协调难度较大,需要领导重视、制度流程合理,并有合适的技术工具作为基础将数据安全管理的制度、流程、人员、技术等协调起来。风险评估是数据安全的难点痛点,数据安全风险评估不仅仅是发现脆弱性,更重要是识别业务场景、数据处理活动特点、分析风险偏好等,再结合数据的价值或分级,以及相关脆弱性信息进行判断,并且数据是流动的、变化的、有范畴和时效性的,其风险分析也需要综合考虑这些因素进行及时调整。
 
王奇飞:《数据安全法》保护重点是国家重要数据,《个人信息保护法》保护重点是个人信息。如何通过数据分类分级识别重要数据和个人信息数据是最核心、最基础要解决的问题。面对海量数据如何通过自动化、智能化手段帮助客户做好数据分类分级是我们关注的重点。另外不仅要使用认证、访问控制、加密、脱敏、水印、防泄漏、备份恢复等一切技术手段来保护两部法律提到的数据不被篡改、破坏和泄露,更要从动态风险评估、监测预警、应急处置等方面提供完整的技术手段支撑数据安全监管与运营,通过构建数据安全技术体系让数据有效利用且安全合规。
 


03

数据安全建设困难点


马骏:首当其冲的问题就是责任划分,《数据安全法》将数据处理定义成数据的收集、存储、使用、加工、传输、提供、公开等状态,但在业务中,这几个状态的关联责任人可能是一个或多个角色,责权权重、追责力度划定是十分困难的。同时,个人信息保护法对个人信息有明确保护要求,但在业务使用角度上该如何权衡业务和安全的平衡,有些地方明知道是个人信息但必须要做处理,类似的冲突该怎么处理等都是建设的难点。
 
温子瑜:从立法和监管思路上看,从《网络安全法》、《数据安全法》、《个人信息保护法》的立法时间来看,我国立法呈现出从技术层、数据层,到应用层逐层深入,相互依托的特点。从最根本上讲,数据安全和个人信息安全是依托于网络安全基础之上的,因此,企业重视数据安全避免违法违规的情况发生,应从技术层开始关注安全建设问题。在纵深发展的同时,我们也看到了立法和监管逐层细化的特点,每一领域、每一层级配套标准众多,监管部门众多、法律冲突众多。在此情况下,如何确定法律适用及明确法律边界是极其困难的。此外,对于法律规范性文件的层级来看,标准性文件多为非强制性的法律规范,但在具体执法过程中依然会被作为执法标准进行参考,而又排除在司法审判的法律依据范围之外。因此,规范性文件众多,如何去选择性适用实现既可防范风险又能促进业务的发展,也是摆在我们面前的一道难题。
 
针对以上问题,首先在内部管控上,可以通过多方协作和动态管理,在企业内部管理建设及业务开展前期,由业务部门、技术部门、法律部门、人力部门等多方进行联合协作评估,将适当的法律规范渗透到企业的业务和管理层面。此外,制度和方案建设完成后,要实施动态的管理方法,根据企业的业务情况、法律规范和监管思路的变化,及时调整合规方案。同时在外部控制上,做到对上下游业务链条进行前期、中期、后期的审查评估,要做到审查评估留痕,也要将各方权责通过签署法律文件的形式加以落实。
 
王鹏:数据的分类分级无法做到统一标准,其主要原因是数据和业务的关联性问题,不同行业、不同企业的业务差异较大,有共性也有差异,具体分类分级的时候相互借鉴难度很大。目前公认的分级方法是四级分级,分类则可根据业务、合规等因素进行区分。网络安全建设需要全面转变为自上而下的思维,遵循同步规划、同步建设、同步使用三同步原则。治理方面包括统一的组织,建立跨部门的协作机制、统一执行资产清册及清单管理、统一制定管理制度及策略规则等。未来,企业需要着重考虑数据安全建设的闭环问题,常态化治理、持续性改进,做好数据安全治理与数据安全运营的配合,形成治理和运营的数据交互和改进闭环。
 
谷燕兵:首先是人才,目前数据安全领域的人才匮乏,客户对数据安全和数据安全治理没有概念,不了解具体的内容和流程。另一个是缺乏标准,数据安全治理中对资产进行识别之后进行分类分级处理是最重要的环节,但数据应该如何分类分级,并没有相应的标准,目前只有医疗行业、金融行业和证券行业出台了相关的数据分类分级标准。
 
王奇飞:数据安全建设的主要困难是因为变化和不确定性导致的。主要包含:分类分级标准不确定致使无法进一步制定分级保护策略、业务场景多样性导致定制化多、数据流动方式多样性需要多种监测手段、数据动态变化造成防护的策略制定很困难等。对此,天融信首先在数据安全建设前引入数据安全治理评估环节,帮客户针对性的梳理数据分类分级,并制定分级保护策略;然后把粗粒度数据安全产品切分为更细粒度的数据安全能力组件,根据场景的变化以服务化的能力快速组合,从而满足复杂多变的业务场景的需求;其次,天融信从设备级、网络协议级、API级、内容级分层构建数据安全监测手段,实现数据全过程的监测;最后,基于安全标签的统一数据安全策略,引入可变参的标签属性作为策略控制参数,既可简化策略定义人员的工作量,又可适应数据动态变化带来的不确定性。
 


04

数据安全未来发展


温子瑜:从法律方面看,近两年立法进程非常密集,但法律细节还有待完善,对企业来说在将来的适应上有一些困难和挑战,但对技术前沿企业来讲,可能会带来发展方向。前沿企业应该积极参与相关标准的制定,引领行业合规性和创新性发展,这是大型科技公司应该肩负的社会责任;另外,数据流动带来数据权属确认问题的解决方案,这可能是将来技术发展的方向。


马骏:国家立法指明了方向,但在企业运营管理中还会存在一些问题,如何发现问题、如何解决问题是我个人最关注的点。未来发展一定是以客户需求为向导来建设的,合规合理是所有人共赢的根本。


谷燕兵:9月1号是《数据安全法》、《关键信息基础设施安全保护条例》、《网络产品安全漏洞管理规定》正式实施的日子,将来还会有越来越多、越来越细的法律法规和标准呈现出来,网络安全已经变成企业处理数据时的基本红线。从数据层面来讲,要转变为以数据为核心的防范体系,下一步要从行为审计和行为分析角度来做好数据安全治理工作,包括流程溯源、数据流转过程中的防护以及人才保护问题,如何加强对数据很好的利用是未来发展的方向。


王鹏:法律法规的发布代表了国家对网络安全的提升,对数据所有方来讲更应建立一套自我提升的机制,也就是安全的闭环。数据安全治理是数据安全建设的一个环节,目的是搞清楚自己有什么数据、要做到什么程度、实行什么策略,以前厂商交付的是产品和解决方案,未来交付的一定是能力。


从数据安全治理的角度会基于对客户业务分析后形成规则最终变成能力,通过自动化和工具化,让普通的业务人员和安全管理人员也可以进行分析,治理人员帮助大家不断改进这个机制。安全厂商不是所有问题都能解决的,是通过不断改进使问题越来越少,越来越适应业务新的变化,未来治理工作一定是持续性的。国家的法律要求数据保护者每年进行评估,评估目的就是治理,持续开展数据安全治理很重要;数据安全治理的成果是基于现状摸清家底,然后形成策略、理清风险,从而提升处置效率,将风险降到最低。数据安全是持续迭代的,未来方向要转变为自下而上,用数据的流转改变机制,从而形成可持续发展。这个是治理上需要重点关注的方向。

 



直播互动问题一览





1、数据存在亚马逊云的国内节点,算合规吗?

温子瑜:这个问题在《网络安全法》、《数据安全法》、《个人信息保护法》中有明确的规定,在某些领域上比如个人基因、健康等信息,这些数据是需要严格进行控制,不允许出境的。首先要分析数据性质是什么,是否涉及到限制性领域信息、重要数据、个人敏感信息等数据,此类数据出境需要遵从安全审查标准、做安全审查评估和备案。但若不在这个范围内,在保障数据安全的前提条件下,对于数据存储以及出境是有一定宽泛性标准的。
 
2、《网络安全法》、等保2.0、《数据安全法》是否有强依赖关系?
 
温子瑜:《网络安全法》、《数据安全法》、“等保2.0”三者紧密联系,在保障数据安全的时候,首先依赖技术安全,即是在实现网络安全的前提下保证数据安全。但归结到相关重点的数据行业,特别是关键基础设置等规定时,则必须要遵从“等保2.0”相关规范。所以它们首先是有强关联性的,但是在强关联性基础之上,企业需要结合具体场景、行业特性、数据平台中数据量级去综合判断自身去适应哪一部法律。
 
3、信息安全行业所强调过得“技术”与“管理”并重,在《数据安全法》出台后,如何在数据安全领域落实呢?
 
谷燕兵:做网络安全时候,一直都强调要三分技术七分管理。在《数据安全法》之后更要做到技管并重,在数据安全治理模型DSMM成熟度模型中,需要将数据安全做到组织架构、人员技术和管理多个层次,并结合数据的生命周期数据,同时考虑数据安全属性要求,结合不同层次来进行技术手段处理。
 
王鹏:从治理角度看《网络安全法》的技管并重,从数据安全上一般认为技术是管理的延续,一定要通过技术手段把管理手段变成技术手段。数据安全的问题更复杂,随着资产、场景增多,单纯靠管理手段是没有办法独立完成,需要逐渐把管理变成技术手段,通过策略指标体系、整体监测措施和自动化响应措施将其实现。
 
4、《数据安全法》对外企制造业有什么影响?
 
温子瑜:首先要考虑客户是否会形成数据归集,这个是适用《数据安全法》的前提条件,如果企业形成了数据归集,首先肯定要适用《数据安全法》。对企业的影响一个是企业数据是否存在跨境流动问题,若存在则需考虑跨境流动的监管措施,同时考虑是否要进行评估报备。若不涉及,那企业按照《数据安全法》去实施境内数据治理即可。
 
5、阿里、腾讯、百度、华为,各种云的境外服务器上的数据如何管理?
 
王鹏:大家普遍面临的问题是各国的法律存在较大差异。目前境内运营或者跟国家利益、个人利益有关的数据治理,都在国内法律管辖范围之内。但其实欧盟也可能存在类似的情况,数据与国内公民有关系但运行在欧盟境内,此类情况更多需考虑当地法律要求,但如果涉及到国内公民,也要符合国内法律要求受《个人信息保护法》监管。
 
6、金融行业的数据如何依据《网络安全法》、《数据安全法》去分类分级?
 
王鹏:金融行业有规范的分类分级指南。分类分级应该从两个维度去看,一个是分类,一个分级。分类,本质上更多倾向于业务层面,划分是财务数据、还是研发数据?分级,一般情况下数据安全不会直接分级,分级是建立在业务分类后,这样才能够判断业务是否重要、数据对业务的影响如何?因为《数据安全法》规定是数据损害之后的影响,只有在业务分级之后,才知道数据被泄漏损害的影响,此时才能进行分级。

金融行业数据分类分级指南,是从大体逻辑下给出分类后判断的标准。企业在实施的时候,首先要确定分类清单,尽可能和金融行业数据分类分级指南贴近,确定之后基于指南进行判断,指南给出的分级的等级应该是最低级的要求。但也有特例,比如说这个数据对于金融行业统一规范来说可能是普通数据,但对于具体单位来说,一旦损失后之后可能会造成重大财产损失,此时应该以此为基础提高保护等级。金融行业的很多规范一般都是推荐性的,如果确实有不适用于原则的,是可以选择调整和变更。
 
7、《数据安全法》如果和国际一些信息外发冲突时这时候如果处理?

王鹏:《数据安全法》中也提到要建立一套国际协商机制,因为数据安全发展的阶段比较短,网络安全从上世纪七八十年代的时候就已经建立起体系,其实现在很多的法律问题、监管问题也好,是需要在数据安全塑造期不断地探索发现的。
 
温子瑜:可能企业在涉及到数据出境信息处理时,除要关注《数据安全法》、《个人信息保护法》外,特定的行业也有行业性法律需要关注,比如生物信息、基因信息,《生物安全法》同样是为了保障国家安全层面上出台的法律。在综合讨论这些问题时,除了考虑数安领域法律外,也要考虑行业的重点法律。
 
8、目前存在数据追踪的能力吗?针对完整的数据生命周期有特定的工具进行数据的追踪吗?

王奇飞:这个实际上涉及到数据的追溯问题,水印技术其实就是一种用于追溯的有效办法,在整个流动环节里都要打上相应的水印,既包括发送方也包括接收方,所有流程的监测点都要部署相应的监测探针或监控点。这个问题现在技术上是可以解决的,此处不再展开回答。
 
9、云平台中数据隔离措施,其不同环节的数据泄露责任主体更加复杂,有没有大概判定的划分思路?
 
王鹏:云安全责任共担模型比较成熟,根据云平台提供的服务方式不同有不同的差别。比如客户买的是Iass服务,云平台提供的是基础环境,那基础环境以上的安全由客户方负责,云平台只保证基础环境安全。如果云平台提供的是SaaS服务,整个底层的业务逻辑都是由云平台来处理,此时发生数据泄露,跟云平台关系会更大一些。
 
10、最小化原则,谁来制定游戏的规则?最小化应该包含哪些项?权威的解释是否有?
 
王鹏:没有说一个绝对的所谓最小化。从安全本身角度,我们是要把安全控制在风险最低,或者说是在业务能够承受的范围之内,也就是保障数据的流动,一旦数据被拦截不流动,其实它的价值就没有了。首先是保障数据流动,其次是流动自由化,一般是只达到对方业务最低限度,但实际上做不到,是无限趋近于这个目标。所以最小化不是安全管理员来做,而是数据所有方来决定,双方协商数据如何才是最小化。

王奇飞:《数据安全法》《个人信息保护法》有提到数据采集要基于最小化原则,其实作为数据的处理者或者是运营方采集数据时,如果尽可能大的采集,实际自己风险更高,所以从他自身上首先要考虑降低风险,保证业务能够基于最小化的数据运行起来就可以了。

温子瑜:今年3月份国家出台了关于39款APP最小化原则的标准,即满足APP基础运营的条件下的最小化收集。最小化还有一种场景,可能用户需要个性化服务需求,那对于最小化怎么去定义,从法律的角度上,其实没有完全的固定标准,因为数据安全业务是与具体应用场景紧密结合的。如何确定最小化的原则?一定是跟业务服务有直接必然关系的,更多要从技术层面上去考量,即缺了信息对应的技术服务无法实现,这个就是最低标准,也是在法律判断上的最低标准。
 
11、最轻的违法标准是什么?
 
温子瑜:这不是一个确定性的命题,考虑数据特点、信息特点包括网络传播特点,它本身是一个不可控的过程。假设我没有遵守最小化原则,过度收集了信息,但是我不小心把这个信息泄露了,经过N多量级的传发,这种情况下对于违法程度标准,无论是作为一个处理者、还是收集益方,这是是很难控制、很难量化性的。
 
谷燕兵:另外,可能不同的行业不同的数据也是不一样的,在刑法中基于不同类型公民个人信息的重要程度,分别设置了“五十条以上”“五百条以上”“五千条以上”的入罪标准。其中非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息四类信息五十条以上可认定为“情节严重”即可立案。此外,如果你是在工作岗位中获得的这些数据,减半执行。所以这个最低的标准,要根据如何获取数据、工作岗位以及数据内容来判定,这些在司法解释里已经有比较详细的规定,而且各个行业各个类别的数据都有区别。
 
12、匿名化的数据,但是通过大数据分析能得出一些敏感系信息,怎么办?数据量到达一定层级之后匿不匿名没有意义?
 
谷燕兵:根据《个人信息保护法》规定,匿名化是经过处理之后无法识别出来的信息,如果说能够识别,从这个理论上来讲则不属于匿名化。这个还涉及到一个问题数据还要和其他数据进行关联,脱敏并不是完全将数据打散。另外各个行业的脱敏是有具体要求的。比如说医疗行业,去年出台《信息安全技术—健康医疗数据安全指南》(GB/T 39725-2020)标准里规定数据脱敏场景以及脱敏结果。
 
温子瑜:匿名其实是不可识别性,回归到法律的立法定义上,个人信息匿名化分为单独可识别和结合可识别,如果一个数据是匿名的,但是这个数据跟别的数据结合在一起还是能够识别到个人,实际上这项数据不能作为匿名化的数据。所以最终还是要看实际是否可识别,但是《个人信息保护法》中提到了可关联性,但是关联性的空间适用到什么程度,这个可能需要我们在实际应用中持续关注这个问题。
 

Tips


各位好学的小伙伴若有想聊的话题、热点事件,欢迎私信小编或在文末留言,小编将选取热点话题邀请资深专家做客“融信畅谈汇”一起聊~


相·关·阅·读·


1


以数据安全治理为基础 为个人信息上把“安全锁”


2


《数据安全法》凌晨出台,一图看懂关键信息


3


《数据安全法》施行在即,你的移动办公数据安全么?


4


信息泄露“伤人”于无形,数据安全防范分秒必争


5





聚力数据安全 赋能数字未来丨天融信主办2021中国网络安全年会-数据安全论坛


热点推荐

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存