超级CSO研修班 | 刘新凯：隐私合规，数据安全

Original 是贾贾安在 2022-07-12

戳视频看看刘总都说了哪些金句

数据安全年年说，今年却是特别热。安全从业者“绕树三匝”，终于有了一系列配套法律可依，但随之而来对于企业的合规压力更是水涨船高。如何在企业数据保护建设上快人一筹？本期CSO课程特邀红途科技创始人的刘新凯，为学员奉献一堂精彩分享——“隐私与数据安全”。本文在刘总三个小时授课实录基础上所做精选摘编，以飨研修班课堂之外更为广泛的读者朋友。

隐私与数据安全

深圳红途科技有限公司创始人、CEO 刘新凯

我觉得今年最难讲的就是“隐私合规和数据安全”这个话题。因为光去年一年时间，很多内容已经发生了非常大的变化。

概览

我在2015年的时候加入了顺丰集团，负责整个集团的信息安全和IT内控，作为甲方积累了很多相关经验。快递物流公司拥有大量的个人数据，而且这部分的个人数据具有时效性及商业价值，所以是一个黑灰产重点关注的行业。对内在复杂的业务系统及庞大的人员体量下，如何保证从一开始的下单、运营、客服，到后面数据分析人员，业务层面的安全；对外防止黑灰产入侵，保证数据和隐私是真正受控和真正能够被管理的？这就是一个巨大的挑战。

隐私和数据安全其实是老生常谈的一件事。安全业者不是这几年才开始关心数据，自打有安全那一天开始，我们就在谈数据安全。如何做数据的保密性，其实是绝大多数安全最重要的也是最关心的部分。这张图是从2005年到去年的统计，柱状图是每一年统计到的泄露数据的数量，蓝色的是一些重大数据泄露的时间，我们可以看到18、19、20的数据泄露呈类似于指数增长的形态。这几年有一个比较大的变化——数字化转型。在数字化转型过程中，很多以前离线或者没有进入到业务的数据在数字化之后带来了一些风险。2020年的变化加剧了，因为很多企业在疫情中被动地数字化转型。以前都是线下办公，现在都变远程了，所以可以看到在2020年，有关数据泄露的事件是明确变多了的。

现在看到的安全事件及特点和我们原来讨论的，已经产生了不一样的地方。比如数据应用场景的一些变化，最早做安全的时候，一定是从终端防火墙这些老的方向开始，尤其是文档防拷贝、防打印，后来开始进阶，因为整个时代已经从PC时代逐渐进入到了互联网时代。文档或者是关心的数据从以前的办公文档、非结构化数据，逐渐向系统化、移动化转移了。最早的技术解决方案是终端管控，后来更多的是进行边界测的保护。这些年物联网、智能汽车等数据存在的位置以及被使用的方法，都跟以前我们理解的“只是管好手机侧、电脑侧的数据”有实质性的不同。非常大的特点就是边界的消失，如果边界都消失了，我们如何去管理，如何去适配新的环境和场景？这需要去考虑。

法律法规

再说到法律法规，从国外对数据安全以及隐私的保护角度来看，很多外企几年前就开始研究并落地GDPR相关的要求。今年随着《数据安全法》《个人信息保护法》的出台，2021成为了中国的数据安全法律法规元年，关心数据安全及个人隐私，已经形成了一种全球的趋势。

有一个非常重要的点就是个人信息的跨境原则。数据出境很重要，当年GDPR刚出的时候讲的是，欧盟产生的数据是不能出欧盟的，很多聪明的中国企业就选择了最简单的一种办法，直接买AWS或者Azure。在欧盟的数据处理，由它来保证没有出境，也解决出境合规的问题。现在国内的数安法、个保法，要保证国家的重要数据以及公民的隐私数据存储在国内，并且通过国家相关部门组织的安全评估，这是跟GDPR强对标的一点。

框架

给大家提供一些可参考的框架，但框架没有任何一个是全对的，希望大家能够融会贯通，了解别人怎么做，通过这些框架结合自己的业务，去设计自己最适合的那一套东西。

这个模型大家可能以前都接触过，叫DCMM，是我国首个数据管理领域国家标准，是从另外一个层面来思考数据安全。大家以前做安全时的思路就是，我有哪些资产，资产有哪些风险，根据风险来制定相关的策略，但我们会发现风险有时候并不能够代表一个企业的稳定状态。所以DCMM一个核心的内容是，通过管理能力的成熟度来进行一家公司管理能力的评估，它的整个架构和要的结果是不一样的。

落地

现在落地的过程中大家一般选择做什么？我总结的重点叫数据生命周期的各阶段，安全在这里会分成两部分，下面这部分是通用性的安全，上面这部分是在每个阶段常见的一些技术选择点。这样落地后大家再去做项目，是比较容易进行相关选择的，未来有个基础的表可以做参考。

这一套体系是最基本的落地动作，以前我们做数据资产管理时，第一件事就是分类分级，通过常见的数据识别引擎来进行数据的发现，对企业的敏感数据建设出自己的数据安全资产地图，保证我们知道有什么。

核心挑战问题

有很多问题是现在的隐私保护和数据安全没有办法解决或者解决不好的，我希望大家能分别思考讨论一下，要做数据安全、标签、数据分类分析，现在都是怎么做的？有哪些问题，如果想解决这些问题，以后准备怎么做？

红途科技主要在做的内容就旨在解决很多原来解决不了的疑难杂症，所以我们提出了一个“数据原生安全”的理念——不希望未来的安全是从防护外部攻击开始，而是从数据安全治理开始。通过全链路数据安全技术，真正了解我们有哪些经营数据、国家重要数据、个人隐私数据。这些数据从用户刚刚接触到这套系统开始，就能显示出它如何经过每一个应用，流转到具体的数据库，又是如何在不同应用之间调用。从治理的角度上讲，真正帮用户解决我有什么、在怎么运营的问题。基于数据安全治理的基础，完成事前合规评估，事中风险预警，事后溯源取证，从而搭建更加有的放矢的防护体系，从而实现数据安全及隐私合规的目标。

花絮

注：本文只是刘总现场授课小部分摘编，完整视频资料3小时，全文实录1万余字，我们会在本期研修班结束后制作视频专辑和纸质专刊，届时分享，敬请期待。

2021超级CSO研修班