服贸共进 | 数据安全与隐私保护实践及未来趋势
理财鱼小提示:服贸共进 | 数据安全与隐私保护实践及未来趋势
随着大数据时代的到来,作为数字经济时代最核心、最具价值的生产要素,数据已经成为国家基础性战略资源,对国家治理能力、经济运行机制、社会生活方式产生深刻影响。与此同时,在数字技术不断推动经济发展的同时,其背后的安全风险也日益显现出来。近年来,各类数据泄漏、数据滥用、个人隐私侵害等安全事件更是层出不穷。如何在保障数字经济高速发展的同时,正确开展数据安全治理,保护公民个人隐私不被侵害,已引起各国的高度重视和全社会的广泛探讨。
为了进一步推进数字中国建设,加强数据资源保护,早在2015年,国务院便已出台《促进大数据发展行动纲要》,明确强调要“完善法规制度和标准体系,科学规范利用大数据,切实保障数据安全”。2021年6月10日,第十三届全国人大常委会通过了《中华人民共和国数据安全法》,《个人信息保护法》、《个人信息和重要数据出境安全评估办法》等数据保护及个人信息保护的法律法规也即将颁布。面对不断加大的数据安全及隐私保护监管力度,企业如何建立健全符合企业管理现状及发展需求的数据治理管理体系,确保数据安全合规,保护个人隐私安全,同时充分发挥数据对企业发展的积极推动作用,已成为各行各业发展过程中的重大挑战。
随着近几年频频爆出的各类数据安全与隐私泄露新闻,数据安全与隐私话题逐渐进入公众视野,并成为了社会持续热点话题。“某APP涉及非法采集个人信息”“某门店未经客户同意偷拍用户人脸照片”“某企业泄漏客户个人信息”等数据安全问题一旦出现,企业面临的将不仅仅是监管部门的严厉处罚,还有客户信任的瓦解和企业声誉的负面影响。
同时,面对云计算、物联网、大数据、移动互联、边缘计算这些数字化技术背后的数据安全及隐私风险,传统的安全技术、冗长的合规流程、人工的处理方式仍无法有效帮助企业解决如下困难和痛点:
如何应对变幻莫测并日益严格的监管环境;
如何融合数据治理、隐私保护与既有的安全体系;
难以整合各部门管理诉求差异,形成有效的多方联动机制和管理组织架构;
管理层对企业所有的数据资产及数据在企业内部的流转情况毫无头绪,数据治理无从下手,管理要求无法落实;
隐私风险评估的实现方式较为传统,无法跟上产品开发的迭代速度;
数据的共享受阻导致无法更好挖掘数据价值;
用户隐私权利的响应大量依赖于人工处理等。
为了更好地应对数字化时代下的企业管理痛点,安永基于监管合规要求,参照各行业最佳实践经验,提炼总结,从管理机制建立、数据资产梳理和安全保护技术落地三个维度,对企业开展数据安全与隐私保护工作进行详述。
三)企业数据安全与隐私保护的实践之道1. 管理机制建立
建立机制完善、权责清晰的治理体系与组织架构是推进数据安全与隐私保护的先决条件。基于国家监管要求及业界实践经验,同时也便于企业内部推行治理思路,数据安全与隐私保护工作应建立明确的管理组织架构,并形成管理制度体系,确保工作开展有据可依,管理责任落实到人。
1)组织架构:
按职责分工不同分为决策层、管理层、执行层和监督层。决策层是数据安全与隐私保护工作的领导小组,负责定义企业建设目标、管理方针。管理层负责出具相关制度规范,统一协调制度体系建设工作。执行层负责按制度要求落实相关工作。监督层负责定期对数据安全及隐私保护策略、制度、规范等方面的贯彻落实情况进行评价监督。
2)制度体系:
根据管理层级、管理重点分层级进行制度体系建设,以组织管理策略为纲领,逐级建立制度办法,形成工作流程,并结合工具表单,将管理要求落实到日常工作中。在制度方面,企业应建立数据的分级分类管理制度,从数据的业务影响、合规风险、社会影响范围等维度形成分级分类标准。从制度层面明确数据从收集、传输、存储、加工、使用直至销毁的全生命周期各环节,对不同类别和级别的数据建立差异化的管控要求和技术保护策略。
2. 数据资产梳理
数据资产梳理的主要目的是让企业对于自己所拥有和使用的数据有更加清晰和直观的认知和了解,从而更有针对性地识别到不同数据在数据生命周期的各个阶段可能存在的合规问题以及安全风险,继而更好地进行后续的数据保护和利用。
1)数据资产目录:
数据资产目录的梳理,需要从业务的角度出发,对企业拥有的数据进行系统性梳理,这些数据所有者是谁,以什么方式存在在企业中,存储在哪里、保留多长时间等。为了理清这些问题,通常需要多部门核心人员的通力合作,包括销售团队、产品团队、研发团队、数据库团队、运维团队以及采购团队等。
2)数据流转图:
为了能够更加直观地呈现数据的分布与流向,企业会通过数据分布及流转示意图来展现不同类别的数据是如何在企业内部及外部进行收集、传输、存储、使用、共享直至销毁的。在梳理数据流转的过程中,企业需要特别关注数据以线下形式进行的对外传输、隐私信息的共享、数据的跨境传输等高风险场景,并对具体数据的具体风险场景进行针对性分析,制定风险缓释措施,并定期检查是否符合监管要求。
3. 安全保护技术落地
除管理要求外,企业还要将数据安全与隐私保护真正融入到日常的业务和产品中,才能让数据安全与隐私保护不再流于表面,并且嵌入到企业系统及业务开展过程中,伴随企业成长不断革新。
1)建立数据安全能力:
企业需从风险管控的角度出发,针对数据全生命周期的各个环节应提出明确的技术解决方案,采用如访问控制、加密、脱敏、防泄漏等技术手段,切实落实管理要求。同时借助安全监控等传统信息安全技术手段,对数据安全问题进行及时发现、遏制,基于企业已有的安全堡垒,完善数据安全技术能力的构建。
2)落实Privacy By Design(PbD):
>相关《 服贸共进 | 数据安全与隐私保护实践及未来趋势》内容:
1、 商品期货历史数据下载:期货信息怎么收集?
纽约商品交易所的黄金期货买卖是由交易所营业时间内的公开叫价交易时段和交易所收市后的电子交易时段所组成。传统的公开叫价时间内的报价由于是由出市代表叫喊,人为的流程会令市场价格较为波动。在电子交易时段内,因为交易所是以自动配对的方式将市场内...【继续阅读】
2、 OYO宣布招聘2名工程和数据科学高级领导者
全球旅游技术平台 OYO 周三表示,将任命两名新的工程和数据科学高级领导人。 Nirdosh Chouhan 从 Apple 加盟,担任 OYO 的工程高级副总裁。Kranthi Mitra Adusumilli 之前在在线食品配送公司 Swiggy 工作,他将成为 OYO 的高级首席数据科学家。 Chouhan 将...【继续阅读】
3、 下周重磅事件一览:12月PMI数据即将公布,7只新股及22只新基蓄势待发
理财鱼小提示:下周重磅事件一览:12月PMI数据即将公布,7只新股及22只新基蓄势待发 12月27日至1月2日当周重磅财经事件一览: 1、重要事件 周一:日本央行公布12月货币政策会议审议委员意见摘要 周四:欧洲央行公布经济公报 2、重要数据 周一:中国11月规模以上...【继续阅读】