當前我國正處于網絡全面融合覆蓋現實生活的大數據時代,隨著社交網絡的逐漸成熟,移動互聯網的迅速提升,云計算、物聯網等應用的快速發展,網絡大數據正通過信息的流動和共享改變著人們的生活方式、認知觀念與思維模式。與此同時,以用戶需求和業務發展而匯聚起的海量個人信息成為大數據環境中最重要的內容之一,也因此成為了數據產業爭先搶奪的資源。
近年來,因個人信息遭受侵害引發了諸多典型案件,公眾對于個人信息保護的呼聲愈高,國家及行業監管部門密集出臺相關法律規范企業收集、處理、共享個人信息的行為邊界,但現實情況是,個人信息依舊沒有得到有效的防護。大數據時代的個人信息保護具有怎樣的特征?安全防護面臨怎樣的難題?《個人信息保護法》實施之后企業應該怎么滿足合規要求?近日,安全牛邀請到了北京數安行科技有限公司創始人兼CEO王文宇先生,就當下的個人信息保護新要求和新舉措進行了深度探討。
01
安全牛:大數據時代,對個人信息的保護產生了哪些變化和影響?
王文宇:
在紙質辦公時代,針對個人信息的收集較少,流動范圍較小,一般通過簽署保密協議的方式進行保護。進入互聯網時代,企業基于經營發展訴求大規模收集個人信息,個體為了獲取便利性服務接受企業收集個人信息,碎片化的單體個人信息價值還未得到凸顯。來到大數據時代,大量的個人信息形成整體化數據時,其中蘊含的商業價值開始體現出來,比如,從大量個人信息中分析出群體的行為、消費習慣以及對市場的影響,進而企業根據數據做出市場調整,獲得經濟收益。這也使得越來越多行業和企業將注意力集中在個人信息的收集和挖掘利用上,不法分子更是從中嗅到了商機,使用各種手段非法竊取個人信息并進行倒賣牟利。
長期以來,企業通過建立安全檢測與響應機制、在企業內外網處部署對應的安全產品來范網絡入侵、拖庫等惡意黑客攻擊行為,并以此保護所收集的個人信息不被竊取。但是在大數據時代,數據價值要釋放出來,就需要打破個人信息的孤島式數據服務提供方式,加速開放和共享。面對多維度的個人信息,不同行業不同需求的個人信息使用,各企業對個人信息相關的業務線條復雜化,給個人信息保護帶來新的挑戰。
在公安部2020年公布的十起侵犯公民個人信息違法犯罪典型案件中,有2起是測試工程師導致,2起是暗網,4起是機構內鬼,2起是合法使用信息的內部人對信息的非法擴散。從這組數據中可以看出,內部威脅在個人信息侵害中占比很大,過度采集、隨意傳播、無序濫用個人信息的行為,讓原本由業務需要而收集的個人信息,在幾經轉手后,可能轉到競爭對手方,也可能流入詐騙犯罪分子之手。如果將個人信息嚴防死守來徹底杜絕濫用和外泄,則陷入了本末倒置的另一個極端,被框死的數據將因此“失活”,企業也會陷入業務升級的瓶頸。因此在大數據時代,平衡數據開放共享與個人信息保護,才能推動數據產業的健康發展。
另一方面,正是因為有太多的個人信息遭到濫用和泄露,以此導致的精準營銷、大數據殺熟、網絡詐騙等等事件給公民人身財產安全和社會穩定造成了極大負面影響,為防范這些風險,必須借助法律手段嚴格規范企業收集、存儲、共享、使用個人信息的行為。我國目前已形成一套相對完善的個人信息保護法律體系,涵蓋《民法典》《刑法》《未成年人保護法》《電商法》《網絡安全法》《廣告法》《消費者權益保護法》《數據安全法》及《個人信息保護法》等。
企業收集的個人信息是否能得到有效保護,一定程度上取決于企業的數據安全管控水平,企業應承擔起保護用戶個人信息的義務,遵守個人信息保護相關法律法規,謹守合規紅線。法律完善之后,監管高壓并不是兒戲,《個人信息保護法》中對違法處理個人信息作出的處罰規定明確,情節嚴重的,將會被沒收違法所得,至高處五千萬或上一年度營業額5%的罰款,責令暫停業務或停業整頓;吊銷業務許可或營業執照;直接責任人員至高將被處罰款一百萬元,及被禁止擔任董監高或個人信息保護負責人。這樣的處罰力度已經超過以嚴苛著稱的歐盟GDPR,業務停擺與巨額罰款都將是企業無法承受之痛,主動開展個人信息相關的強化保護工作將是企業未來的新常態。
02
安全牛:個人信息的存在形式和維度多樣化,應該從哪些環節進行保護?
王文宇:
《個人信息保護法》對個人信息的概念和范圍進行了明確,個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息。同時還強調了對于個人信息中“個人敏感信息”的重點保護,包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息,以及不滿十四周歲未成年人的個人信息。
在《個人信息保護法》中,明確了對個人信息的處理規則。個人信息的處理是指以自動化方式或人工方式對個人信息進行的操作,包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。數據作為信息的表現形式和載體,在針對個人信息的一系列處理活動中,同一數據將會表現為文本、表格、圖片、音頻等不同形態;同時,存儲和使用數據的位置也會隨之變動,流轉擴散到不同的數據庫、終端設備、系統接口、供應鏈等等環節中。正是這種數據運營過程中數據位置和形態的多樣性特征,驅使對個人信息的保護必須要覆蓋數據的全生命周期。這種“全生命周期”并不止于籠統的數據“由生到死”的全過程,還需要精確到單個數據在其整個生命周期內的流動,無論其跨域流轉或改變形態,都需要具備一致性的跟蹤與防護。
03
安全牛:為什么企業在部署了層層的網絡安全、數據防護類產品之后,依舊還是會發生個人信息濫用甚至外泄等事故?
王文宇:
現有的針對個人信息保護的主要方式包括傳統安全、數據庫安全、數據防泄漏(DLP)、終端加密以及UEBA等等。以防火墻/下一代防火墻為代表的傳統安全手段主要用于抵御外部攻擊,帶有一定的數據安全檢測和管控的能力,但缺乏對內部數據流動的響應和保護機制。數據庫安全手段主要著重解決結構化數據的安全問題如運維、審計、加密、脫敏等,面對非結構化數據及其流動過程難以進行有效保護。數據防泄漏(DLP)以邊界保護為主,重在對外發的個人信息進行安全監控或保護,不能保障個人信息在內部不同終端、不同服務器、業務系統之間的流動安全。
終端加密手段對落地到終端的數據進行加密,重在非結構化數據的靜態存儲保護,結構化數據如個人信息等無法保護,不能在數據流動過程中平衡安全與業務。UEBA能夠發現并保護內部數據的異常使用和安全威脅,但對數據從生產到運維,從前端到后端整個生命周期中的流動安全沒有保障。
綜上所述,現有的個人信息保護方式在一定程度上能夠保護個人信息,但存在以下短板:重在保護結構化數據,在處理非結構化數據方面存在空缺;主要解決數據在單個域內的安全,沒有對不同域之間的數據流動進行保護;集中解決數據單個時期的安全問題,比如數據靜態存儲安全,或者監控數據檢索、查詢;保護了前端數據的存儲、使用安全,但對前后端整個運維過程缺乏監管。
正因為傳統手段聚焦于解決數據在單一狀態、單個域內、單個時期的安全問題,缺乏對數據整個流轉和處理過程的持續關注,層層堆疊的安全產品反而形成了新的數據安全孤島,不同的產品邏輯無法銜接為一致的策略,導致整個網絡、系統在加持重重枷鎖后,在海量數據高速流轉的復雜業務環境中,依然會面臨個人信息等關鍵數據的無序流轉和濫用。
04
安全牛:對于企業來講,當前開展個人信息保護的難點在哪里?
王文宇:
大數據時代的特征決定了,數據只有流動起來才能發揮其最大的價值。當數據孤島被打破,企業業務線條復雜化,個人信息既可能在特定的業務服務流程中使用,也可能在不同的業務之間流動使用。因此,在數據流動中保護個人信息,是個人信息保護的重點。這要求企業建立一致性的數據安全策略,保證數據無論是在數據庫、服務器、終端亦或是被調用時,都能不留死角地評估數據處理過程的安全風險并執行對應的防護措施。與此同時,安全防護不應該以犧牲業務的順利開展為代價,深入業務執行內嵌進行防護,同時與業務解耦,是大數據時代個人信息保護的目標。
05
安全牛:隨著個人信息保護的需求不斷增長,有哪些新的技術方案出現?
王文宇:
針對當前個人信息保護的新形勢,數安行提出基于數據運營安全理念、結合AI技術的個人信息保護方案。所謂數據運營安全,即DataSecOps,旨在不影響數據業務流程正常運行的情況下對組織內的敏感數據資產進行有效保護,在數據的運營過程中內嵌安全屬性,對敏感數據的擴散及濫用風險進行快速響應。融合該理念建立“診療一體”的數據運營安全平臺,管理跟蹤各種類型、各種來源的個人信息數據及其使用變化過程,建立數據資產全景視圖,實時感知數據違規使用及流轉風險,基于數據角色及用戶風險進行自適應的精準動態防護,核心功能如下:
全類型AI個人信息梳理:對各種類型的個人信息進行深度識別,從個人信息本體特征、行業特性、合規性等角度,結合機器學習對個人信息進行梳理,主要包括:1)用戶的姓名、電話、身份證等基礎屬性,以及與業務緊密關聯的個人信息,比如在電信運營中的通話數據、位置數據等等;金融行業中的賬戶信息、財產信息、借貸信息等。2)信息以結構化、半結構化、非結構化等多形態方式,或在數據庫中存儲,或轉為辦公文檔方式流轉,或在內部業務流轉過程中進一步進行格式轉換、數據的解析等等。3)新網絡形態、新技術的應用,所衍生出的新數據類型、數據生產方式、數據處理方式。
數據鏈的全運營周期追溯:對現有的數據流轉路徑以及新興的數據流進行追溯管理,建立個人信息與主體的映射關系;個人信息在流動中的原文流轉、變形流轉的血緣關系;記錄個人信息的版本、狀態、位置以及軌跡,形成個人信息數據流全生命周期的流動畫像,對個人信息的流轉、擴散進行全視角的風險態勢感知和合規性管控,從數據流的鏈路中保護個人信息。追溯個人信息在企業中流動,主要包括三個方面:
1)廣泛的流動。這和企業業務線條復雜化有關。既有一些個人信息集中式在特定業務系統中處理分析,也有一些個人信息隨著不同部門、不同業務需求在網絡中向不同的業務系統流動。通過對廣域分布的個人信息流動進行追溯管理,感知個人信息的風險態勢。
2)基于生命周期數據鏈的個人信息流動。個人信息流動從產生、收集、存儲、使用、共享到銷毀,在數據鏈的每個節點上,抓取個人信息的軌跡。個人信息在不同的業務流程中使用,在不同的業務服務器之間流轉,以及不同域之間流動,以數據與業務的運營周期為牽引,追溯個人信息,保護全數據鏈的流動安全。
3)新技術下個人信息多流轉路徑追溯。為了挖掘數據價值,企業自身在進一步尋求打破內部業務壁壘的方式;同時,隨著大數據時代、5G時代的數據開放共享,網絡環境趨于開放,數據流也愈來愈多,企業需要追溯各流轉路徑,突破傳統的數據邊界,保障數據的可控性。
自適應精準防護:分布于各業務、各域的個人信息,以及在數據運營過程中流動的個人信息,如果保護力度不當,會造成新的難題。比如,保護力度弱,達不到安全要求,則個人信息安全無法保障。保護力度過強,可能影響業務的持續性,導致本來正常流轉的業務被中斷。由此,通過數據運營全周期的特征追蹤與數據分析,對個人信息進行數據分布采集、流動追溯,感知個人信息的風險態勢,基于機器學習,對各類事件和風險進行分析和分診,結合用戶使用場景、安全基線以及風險活動,從響應時間到響應力度,形成適合數據運營業務安全的按需保護響應機制。
06
安全牛:數據運營安全會替代傳統的安全防護手段嗎,未來的個人信息保護技術會怎樣發展?
王文宇:
眾多的安全防護手段均有其用武之地,能夠在一定范圍或一定要求內解決安全防護問題,并非彼此替代的關系,而是能力補齊與激活賦能的發展形勢。數據運營安全遵循了個人信息保護的合規性要求,是當前階段個人信息保護訴求下的一種思路和方案。而隨著對個人信息的保護上升到法制階段,企業的安全舉措將進入常態化局面,建立一個以數據運營為中心的數據安全體系,為客戶提供全場景的數據運營安全防護解決方案是未來的目標。
比如可以將個人信息等敏感數據資產的識別及分類能力、敏感數據的全流程標注跟蹤能力、擴散風險的態勢感知報告以及自適應工具箱的防護能力對外輸出,和其他品類的安全產品和應用系統實現能力的共享和有機流動,一方面可以將安全能力進行擴展延伸,另一方面也可以對用戶的存量系統和產品進行能力激活,重新發揮這些產品在數據運營中的防護效果。
當下,個人信息保護正逐漸跨過“盲人摸象”的草莽階段,開始朝著“看見風險、看清風險、靈活管控風險”的路徑發展,需要大力推進研發數據安全診療一體的解決方案,讓企業的個人信息保護不再囿于產品堆疊、各自為陣的割裂狀態。在一體化方案中,圍繞一致性安全策略的原則,使用無感數據安全沙箱、微隔離存儲等技術,可為企業建立自適應的數據使用環境,無需對現有網絡及應用做任何改造,既不影響業務的流程,同時也將促進數據快速流轉及安全協作共享,讓企業數據安全建設及運營從成本支出項轉變為降本增效的有利舉措。
未來的個人信息保護需要注重公共利益與個人隱私保護的平衡,個人隱私的讓渡應當基于保障社會公共利益的必要,在合理的限度內限制個人權利的行使,但不意味著個人信息可以被無限度無規則地使用。即使是基于社會公共利益的需要,個人信息的公開也必須在必要合理范圍內,如果超出必要邊界,隨意泄露個人信息,甚至是惡意傳播,給信息主體造成損害或其他不利后果,信息控制者和傳播者也應當承擔相應的法律責任。進一步講,筑牢個人信息保護的安全邊界,除了企業保護責任的建立和落實,還離不開監管要求與用戶意識等層面的共同推進。監管機構應加大監管和處罰力度,并為用戶提供便利的維權渠道;用戶則應提升自身個人信息保護意識,提升數字素養。
安全牛評
《個人信息保護法》的實施對個人信息處理者提出了法律維度的要求。《個人信息保護法》更注重個人信息使用、流轉上的安全性。大數據時代的特性是數據流轉,因此不應該為了安全而選擇將個人數據變成一個個的“信息孤島”,而是需要從管理、人治的角度,實現個人信息全流程管理,DataSecOps的應用價值開始顯現。
大數據時代對個人信息保護帶來了挑戰,同時也帶來了機遇。海量數據促進了模型訓練優勢的發揮,也為人工智能技術在個人信息防護領域應用提供便捷,因此未來個人信息保護一定是人機結合的安全防護,讓個人信息安全流轉起來。
