诸子云 | 活动：5.7上海数据安全和个人信息专项主题活动

从《数据安全法》、《个人信息保护法》颁布实施以来，相关配套的法律、法规不断明确并细化要求，2023年6月又将实施《个人信息出境标准合同办法》。由此可见，数据安全、个人信息等问题已成了各行各业都需严肃对待的首要任务，国家之所以会出台多部相关法律政策，就是为了明确使用收集数据等行为的规范和要求，势必将数据安全合规问题推向正轨，因此各行各业务必协助这一趋势，将数据安全合规要求贯彻始终，共建安全、合规的数字化时代。

在此背景下，5月7日，诸子云上海分会举办了“数据安全和个人信息专项主题活动”，四位专家分别以“个人数据出境实践”、“从TikTok听证会看数据合规问题”、“从救火的艺术来说项目管理”、“基于情报构建流动数据安全风险监测的实践”等为题，针对数据安全和个人信息保护展开了深入讨论。

本次线下会议由诸子云上海分会主办。活动有幸邀请AXATP、空中云汇、东方有线网络有限公司、东航、中润长弘、平安、华泰财险、米哈游、WUXIAPPTEC、远景能源、滴滴、湘财证券、千寻位置、中信期货、成方金科、蓝光集团、中通吉网络、汇华理财、国泰君安期货、绿地金创、美团、跨境数科、甜橙金融等企业的安全专家共同参与。

诸子云上海会长赵锐、Kaamel蔺毅翀、 招银云创陈欣炜、威胁猎人汪军等四位专家分别进行了分享。

在和个人信息出境相关的法律里，最具关联性的标准是《信息安全技术—个人信息安全影响评估指南》（GB/T 39335-2020）。数据跨境在很多跨国企业里会简称为CBDT （cross border data transfer）。做CBDT，一定要梳理相关的法律法规和标准。

首先要根据企业场景的情况去做合法性、正当性、必要性的分析，比如通常情况下会在哪些场景下传输数据？这些数据只能在境外注册吗？尤为重要的是和客户相关的企业场景。若有人觉得总部一定要把所有数据都转出中国，并难以沟通，则可将“苹果公司在贵州设置数据中心”、“特斯拉在中国建设数据中心”和“滴滴被罚”等例子举出，然后比较自己公司和上述公司。其次要看数据传输的目的、数据传输的类型和数据传输的数量情况，其中数据类型分为三类：个人数据、敏感数据和重要数据。

在做跨境数据传输时，CSO可能会和法务、合规等部门一起合作，因此合作过程中，首先要去了解企业内部传输数据的情况和相应的部门有哪些，通过这些部门要了解哪些系统在国内，哪些在国外，同时系统性的检查不可少，通过测试看传输的这些数据是不是采取了相应的措施，传输的数据量情况是怎么样的。

另外，还要根据相关的法律、法规、标准和最佳实践，来对比目前所落实的情况，是否存在差距，并开展风险评估。不管是数据出境，还是个人信息的标准合同，都要对风险情况进行分析，然后出具相应的分析报告，然后对内部安全存在的不足做出改进。

数据生命周期各个环节是缺一不可的，从收集、存储、使用、加工、传输、提供、公开到删除，都要涉及到。此外还要确认境内发送方和境外接收方的安全情况，同时需要根据不同的业务场景来确认个人信息保护的内容，以及需要分析所对应的影响。对应部分需要专门做成数据出境评估的一个清单和表格，将其发送给不同的业务部门，因为不同的部门会涉及到不同数据出境的场景。

传输方式有三种，一种是境内和境外都有服务器对接的，在大型企业中比较常见；还有一种是用国内的web、app去访问境外的服务器，通过境外服务器去接受数据；最后一种是总部在国内，国外是分公司，数据传输境外时，境外登录国内的系统进行访问。传输目的地有两部分，一部分是境外的总部或者子公司，还有一部分是境外服务商，因此这些都要统计记录下来。

在数据传输过程中特别需要注意的是，和员工、客户、供应商相关的个人隐私政策里所行使权利的方式和程序，需要这些主体的单独同意。

对于数据跨境的发送方来说，一方面是整体的管理体系，包含机制、人员、合同、审计、事件和申诉合规；另一方面是技术，包含措施、事件预防、传输和对于第三国的掌控。

而对于数据跨境的接收方来说，具体表现在四个方面，首先是资格，包含资质、事件和背景；其次是管理，包含机制、人员、合同、审计和事件的管理；技术方面，包含措施、事件的预防、传输和第三国的传输；政治法律方面，包含当地法律、国际组织和执法机构。需要注意的是，美国的执法和中国网信办、网安、国安的执法会有冲突，所以这样的情况需要提前进行分析。

之后在签合同方面，其分为几种，一种是境内境外总部对总部的方式，即把境内和境外的实体作为附件，这种一对一的方式是最简便的；第二种是一对多，总部在境外，境内对应多个实体，比如做投资和资产运营的企业，按基金成立项目公司，当基金退出的时候，这一类的项目公司就结束了，因此其中的实体会根据项目发生变化，这就需要和财务搞好关系，及时知道内部这些实体的变化情况，最好可以维护一个及时更新的清单，后续两年要更新一次合同和评估报告。

自2019年以来，TikTok在海外多个国家和地区受到了监管的问询和调查，在部分国家因为用户隐私保护问题甚至受到了监管的处罚，罚款主要聚焦在两点：儿童隐私保护和数据跨境。去年TikTok内审内控团队跨境使用了用户数据，其通过《华尔街日报》几名记者的IP信息关联内部给媒体爆料的员工，该数据跨境访问行为被媒体爆出后将其近几年构建用户信任的努力功亏一篑。这也是TikTok美国听证会的前因。

以TikTok为代表，中国本土企业想要出海可能面临的不仅仅是一个数据合规的问题，甚至还会牵扯到国家安全。而隐私合规问题在带来媒体关注的同时，企业也将面临更多的负面舆情风险。

企业在发展到一定规模，同时在隐私合规上投入大量人力物力之后仍然避免不了被海外监管部门处罚，究其原因是企业在国内经营的风格形成了企业做事惯性，即很多管理者会习惯性按国内的监管执法特点去衡量海外的监管环境，以致水土不服产生很大的误区和误判；其次，海外的监管机构，其执法逻辑区别于国内；最后是危机管理的区别，国内的处理方式一般是删帖、静默等冷处理，但这样的应对方式在国外往往只会适得其反。

从组织层级的角度来看，美国分为国家安全层面、联邦层面、州层面和集体诉讼。国家安全层面，首先是国会，国会没有管辖权、执法权，它的作用是推动立法，给监管机构施压；接着是CIFUS-财政部，在资本、企业投资并购方面具有管辖权，TikTok就是在收购musical.ly时未向CIFUS报备而被处处针对。

联邦层面最活跃的是FTC，其职能类似于国内的商务部，FTC有两大执法利器，一是FTC Act，主要关注消费者权益保护；二是COPPA，关注儿童隐私保护。在Facebook和Cambridge Analytica的数据分享案件中，Facebook 因不当处理用户数据被FTC处罚了50亿美金。另一备受关注的案件是EpicGames，EpicGames。

海外隐私合规事件的发生逻辑和国内亦有差异。海外用户的隐私权保护意识相对较高，比如其在行使其权利请求时，若公司不及时回应，用户在感知其隐私权被侵犯时，用户会投诉到监管机构；同时海外也有专门的安全与隐私研究机构和个人，在识别到企业隐私合规问题时，会通过发帖的方式将发现的问题扑到社交媒体上；此外还有律师团体，当其发现企业有实质性侵害用户权益的证据时，就会发起集体诉讼。

当然，也有企业在遇到合规事件全身而退的案例，比如Zoom。2020年在外部安全研究机构曝出Zoom的安全合规问题时，Zoom的时任CEO Eric亲自下场发了公告，要求所有人在90天之内不发布任何新功能，而是只专注于解决安全合规问题，同时他们还引入了多名外部专家，持续改进其隐私合规实践，从多角度满足业务所在国家和地区的监管要求。时至今日，似乎已经没有人记得Zoom曾经也有过非常多的安全合规问题。

有一天，正在忙碌的你接到了老板邮件，说要把你派去接手一个听上去就不靠谱的项目。不久，你惊讶的听同事说，这个项目谁去谁死，而进了项目后你更惊讶，项目进度不到一半，但钱用的差不多了，而人，基本处于无序状态。客户直接向大老板投诉，销售说搞不定就会影响其他项目。为此，老板用“亲切”的目光注视着你。当你看到一堆连垃圾都称不上的交付成果，心中默念着EdwardYourdon所定义的死亡之旅。恭喜你，这就是救火了，而你是否愿意，都是一名救火队员。

救火产生的原因有很多，比如政治原因、项目相关人员的幼稚承诺、市场竞争、出乎意料的事件等等。救火之道顺四大势而生：客户之主观势、环境之客观势、项目之外在势、资源之内部势；集四大适而活：适宜的态度给客户、适合的人员留下来、适量的资源投下去、适当的操作向前进。

但曾经在北京的某项目太难了，因为政治因素太多，而且北京项目的实施思路和正常思路有很大差别。此项目给客户审查的组织架构和真实组织架构之间的对比，如下图：

最后总结经验：有时候做项目，除了要从自身找问题外，也要想一下外来因素的阻碍，比如项目如果没有确定的话事人，就很难决定项目方向，也就没办法去推动。

救火内部技巧方面，首先是定位，作为甲方项目里的定位，要确定项目是拿来做绩效的，还是拿来交代任务的，还是为领导“配锅”的；其次是要具备必要的内部资源，要学会整合内部资源，若没有资源就不要揽活，学会随机应变。

接下去是沟通，沟通的要点在于真诚，在于讲清楚“你到底要干什么事”，少些套路，真诚才是必杀技；养成日报甚至时报的习惯，避免时间浪费的同时，可以告诉整个团队自己在做什么；最后，汇报工作要注意保护自己。

救火外部技巧方面，首先是要学会问客户要资源，保持和客户沟通，不能想当然，更不要去频繁试探客户的耐心，同时在一定条件下，满足客户所有的要求。自身方面，任何的沟通均需要留下记录，以免客户的多变性，尽量利用各方的资料和信心，甚至人脉，将大目标拆分，一项一项救火，切勿全面铺开，以了结项目为最优先，一旦势遂人愿，就要坚决投入资源。

随着互联网时代到来，数据进入到DT时代，许多企业会对数据中台里存储的数据进行挖掘，数据可进行多维关联组合，企业可最大化挖掘数据的价值，因此数据的管理、授权控制、业务及流动数据保护的风险变得更加复杂了。

越来越多的企业开始上云，云原生的弹性、解耦、微服务化技术，原子化的服务调用带来了API数量的增加，而API不管是向第三方分享，还是通过其他业务系统去交互，在使用的过程中，都存在很多的风险，包括API漏洞、设计不合理、暴露问题等。

因为其开放性，API成为海量数据泄漏的一个主要入口，包括黑灰产攻击者们，他们会利用API接口进行攻击。比如某大型社交平台 5.38亿用户数据泄露，网络黑产对该平台通讯录上传API接口进行暴力匹配攻击，导致用户绑定手机号、ID、昵称、所在地和头像等数据泄露。

在案例三中，某大型电商平台有两个API被攻击了，但单看某一个API一点问题没有，攻击者是通过二者组合的方式来爬取数据的。详细攻击过程中，攻击者利用的是电商应用系统中的两个API，第一个API是info API，攻击者通过相关手段获取到了一部分的用户信息，比如手机号、身份证号等。接着，通过第二个API获取到用户的购物信息，于是攻击者把这两个API获取到的信息进行了组合，最终得到了一个完整的用户。

从数据采集、数据传输、数据使用以及数据分享的过程来看，数据是一直在流动的，因此需要对数据流动时的风险布置相应的监控机制和方案，对此，威胁猎人提出了基于流量和情报来构建流动数据的动态风险运营体系。

体系包含三点内容：数据可见、风险可感、攻击可控。“数据可见”包含有哪些敏感数据在流动、有哪些账号在访问、有哪些系统API在对外服务；“风险可感”包含数据流动是否合规、数据访问是否异常、哪些系统存在漏洞；“攻击可控”包含及时发现数据爬取、及时发现内鬼、及时溯源阻断。

那么威胁猎人API安全管控平台是如何构建流动数据的风险治理体系的？答案是通过资产识别、缺陷检测及风险感知实现数据可见、风险可感、攻击可控，从而系统化保障数据及业务安全。

资产识别的过程，第一步是从旁路接入流量，再从流量中还原请求的日志，然后对静态资源、异常流量进行清洗，计算有效API，接着对API规约提取路径参数，归纳出图聚类，第四步是通过正则匹配与NLP技术识别涉敏数据，然后通过账号解析关键词模型，登录token提取API请求关联账号，最后自动化输出整个资产。

“数据可见”的详情如下图：

此外，威胁猎人API安全管控平台可将企业内部的全量API体现出来，包括有缺陷、有风险的API都可以轻松地梳理出来。同时，其还包括API多维度详情，API在传输哪些数据、API本身有哪些风险、传输数据的趋势图等，都可以详细地展示出来。

风险可感方面，威胁猎人API安全管控平台能及早发现系统API的漏洞和数据访问异常。风险可感中分为系统设计风险和异常行为风险，系统设计风险包含加密&脱敏不安全、权限控制有遗漏、访问控制不够细、追踪审计不到位等内容；异常行为风险中包含异常拉取爬取截留、账号权限滥用、违规访问、批量导出等内容，以上这些都可以通过“风险感知”挖掘出来。

风险可感体现在可以基于UEBA账号异常行为基线模型进行分析，比如有些账号可能存在同一账号多地登录，或在异常时间传输大量数据，这些都会有相应的行为基线，API安全管控平台会判定它们为异常行为。

风险可感同样体现在基于API攻击检测模型，从攻击情报特征精准感知各类风险。下图为某客户业务请求量，第一条曲线是总业务流量趋势，非常规律；第二条曲线是某个关键API的访问量，波动正常；第三条曲线是该API下风险IP请求量占比，在API访问量低的情况下，仍然能够精准发现数据爬取风险。

基于攻击情报特征感知风险，可以解决低频慢速无特征的数据爬取攻击行为，可解释性强。丰富的情报源不仅包括在开源情报里所收集的信息，同样涵盖了全网部署的代理蜜罐及情报，在这样的过程中产品收集了大量的黑灰产情报，包括黑灰产攻击资源、工具、行为等，只要对方有所行动马上就能识别出来。

在攻击可控方面，威胁猎人API安全管控平台主要包含两部分内容，一个是攻击源头分析，不管是秒拨代理平台、恶意源服务器、海外服务器，还是自动化攻击工具，都能监控到；还有一个是攻击方式分析，可基于情报及早感知攻击，并进行溯源、定位、阻断。

攻击可控同时还支持账号、IP、API等多维度的审计溯源，通过行为分析，上下关联，发现更多潜在风险。

活动相关资料欢迎大家在知识星球下载~