诸子云 | 走进海航:个人隐私、GDPR及数据安全
就在一个多月前,国泰航空包括乘客姓名、国籍、出生日期、电话号码、电邮地址、地址、护照号码、身份证号码、飞行常客计划会员号码、顾客服务备注及过往飞行记录资料在内的约 940 万乘客资料被泄露,一时引起轩然大波。
近两年里,包括英国航空公司、加拿大航空公司、美国航空公司、美国联合航空公司等都曾出现过类似严重的数据泄露事件。当然,也不仅是航空公司,大到 Facebook、亚马逊等巨头,小到各类互联网公司和经济企业,都屡有类似问题曝光。可以说,威胁当前,几乎无人能够幸免。
我们知道,社会科技飞速发展是把双刃剑。一方面能给人们工作和生活带来极大便利,但另一方面,因个人的“透明化”、信息的海量采集和遍地分布、大数据的无边界滥用,导致以个人信息为代表的敏感数据泄露成为巨大威胁,稍有不慎就会危及个人隐私、财产甚至生命安全。
随着我国《网络安全法》的出台,也随着以欧盟 GDPR 为代表的数据安全保护相关法规的施行,包括我国在内的各国政府都对个人信息与数据安全相关领域实施日趋严格的监管,这也使在个人信息与数据的合规管理方面有了较为充分的法律依据。可以说,在今后一段时间里,全社会、全世界甚至全人类都将对此予以关注,个人隐私与数据安全已经成为普遍共识。
为促进理解共识,提升实践认知,加强互信互联,12月7日,安在新媒体联合海航航空集团、物流集团及海航信息安全管理办公室,以诸子云(北京)会员活动的方式,共同举办了“诸子云——走进海航”专题沙龙。
本次活动我们邀请了包括业界专家、企业代表和海航集团内部各板块代表在内的嘉宾,聚焦个人隐私和数据安全,以企业最佳实践、网安技术创新、法律合规等为话题点,进行了一次干货满满的交流体验。
活动开场,诸子云发起人之一、安在CEO张耀疆对此做了简单概述。他说,这是诸子云的第二次会员聚会,也是首次在北京举办的线下活动。有幸走进海航,对当下热门的数据安全进行研讨,一定可以迸出激烈的火花。
同时,仅以本次活动为开端,诸子云会在后续不断努力地,针对大家共同关注的热点话题,开办更多有意义的活动和研讨,以期让我们甲方的安全大咖们,能够不遗余力、不做保留地分享更多前沿的安全理念,为安全事业的发展助一份力量。
随后,全知科技CEO方兴,携程信息安全部胡立平,分别以《DT时代的数据安全与合规》和《个人信息保护与GDPR》为主题,围绕数据安全的新思路,给大家进行了分享。
议题介绍
全知科技CEO方兴:DT时代的数据安全与合规
我们由IT时代、信息时代进入了DT时代、数据时代,这两者之间本质的区别是什么?在方兴看来,过去,信息是一种有价值的静态资产,今天,数据则是被使用和流动的信息,或者说,更像是用来创造价值的生产资料。既然如此,那么过去基于资产静态属性的保护,就已经无法适用于信息的流动过程了。
与此同时,由于IT大环境的变化,数据逐渐被越来越多的使用与开放的场景之下。这样一来,就需要重新建立一套基于风险控制的体系,才能保证数据在流通过程中的效率、可用性和风险平衡,才能实现数据的保护。
建立一整套数据流通过程中生命周期的风险管理,首先需要搞清楚“数据在哪里,怎么流动”。当前,很多企业都面临着数据不可见的问题,“不可见”就会导致“不可知”——不知道谁在访问数据,可能面临怎样的风险,应该保护的对象是谁,会不会在流通过程中产生高危行为。
因为“不可知”,就没办法实现对数据的管理性和风险的可控性。所以,只有从“可见可知”到“可观可控”,企业才能真正在数据流通过程中把控风险。
基于此,方兴认为,应当把数据的采集、使用和交换等一系列业务过程,分成三个部分:存储、应用和处理。
尤其在处理环节,要对数据进行分类分级,透析数据在使用过程中可能涉敏的应用和接口,对整个过程进行流动性追踪,对认为可能产生的风险做好管理和控制,并具备事后溯源和追责的能力,才能建立起全局的威胁数据流动态势感知。
与此同时,国家也提出了一系列合规性的要求。企业必须对数据进行梳理,形成态势态度,搞清楚“数据从哪来到哪去,谁在用会怎样”,才能从整体上管控数据在生命周期流动中的风险。
在未来,还将有两部立法,会涉及数据安全。一方面说明,从国家和监管角度,数据安全已经变成了国家监管的重要安全,另一方面,也提醒着保管庞大数据资产的企业,务必要敲响保护数据安全的警钟。
携程信息安全部胡立平:个人信息保护与GDPR
在方兴分享完自己对数据安全保护的见解后,携程信息安全部的胡立平,同样站在携程集团自身合规GDPR的角度,为大家带来DT时代对数据保护不一样的见解。
胡立平说,GDPR取代了DPD,不仅仅只是名义上的变化,更多的则是R(regulation),超越了欧盟成员国的国内法律,使得GDPR具有绝对的优先级和强制性。
在GDPR赋予公民的七大权利中,“赔偿权”尤其需要企业重视,因为这是除GDPR本身的处罚以外,另外一个会直接对企业产生金额赔付的权利。作为数据的控制者和处理者,都需要承担这份责任。
在2016年4月6日,欧盟理事会采纳GDPR前后,全球范围内对于数据安全立法的态度呈现出鲜明的对比,甚至不少国家直接将GDPR在数据处理上的原则和理念进行套用,作为立法的依据。
在胡立平看来,当前没有任何一家企业具备了100%合规GDPR的能力,这样一来怎么开展GDPR的合规,似乎就成了一大难题。
针对这一问题,胡立平的思路是,首先要了解自己的业务。然后,通过多种方式,去理解GDPR的需求,或者说,是GDRP到底希望企业对用户的数据采取怎样的保护,保护到什么样的程度。
这个过程中,我们不仅要主动通过司法解释,对GDPR的条款,进行初步的理解。同时也要根据全球范围内的法律诉讼以及不合规的案例,去了解更多的雷区和盲区。再一个,通过第三方机构对于其他行业和企业成功案例的分享,也可以帮助自己更好地理解GDPR的要求。
携程专门聘亲海外法务,作为其数据保护官,并同时在欧盟设立代表,能够及时地与监管机构互动和沟通,协调当地的事务。
在合规GDPR的过程中,携程投入了大量的人力和物力,制定了一整套包括工具和解决方案在内的流程。并开展内部的交流宣传,促进行业交流。
胡立平说,因为想要做到100%的合规,的确很难,所以企业必须抓住重心,投入更多的资源。这当中包括数据周期的反馈、用户的权力、数据处理的活动等,都是GDPR重点关注的区域。
对于数据处理活动,他建议,应当寻求第三方咨询机构的帮助,将所有数据处理的活动,绘制成地图,更好地满足GDPR合规的要求。
最后,来自顺丰科技信息安全与内控的安全专家,以“全业务链数据脱”为主题做了相关的分享,对企业内部全加密数据安全及数据脱敏进行了经验和心得的总结,并特别为参会专家解读了顺丰独特而务实的企业最佳实践。
随着嘉宾们分享的结束,诸子云“走进海航”沙龙活动,也在大家伙热烈的讨论和思维碰撞中画上了句号。
本次活动,嘉宾们对数据安全的观点和过往落地工作的经验,让参会专家在数据安全的保护和法律合规上,有了更新的认识,也让这次沙龙,创造了应有的价值。
正如安在CEO张耀疆所言,针对时下安全的热点,做有意义的研讨和交流,势必能催发安全,更好地成长。
有关本次活动主题分享的详细内容,安在随后会整理编辑,分期完整分享,敬请关注。
诸子云活动回顾
诸子云 | 属于甲方安全专家的社群组织,启动了!
诸子云 | 我们搞了点事,非甲方网安人士请勿打开
诸子云 | 唯品会黄承:想要成为CSO?这些基础不能丢!
诸子云 | 快钱赵锐:安全管理之密钥迷局
如何加入诸子云
诸子云已然来了,
目前已在上海、北京、武汉、深圳等地设立本地机构,可有心动?
心动不如行动,赶快联系我们,诸子云欢迎您!
申请加入诸子云
长按二维码识别联系安在君