2023-02-14
近日,有媒体曝出,12日晚Telegram多个频道大面积转发某查询机器人链接,可查询国内个人寄递隐私数据,包括姓名、电话和地址等敏感字段,数据量高达45亿条。
近年来,大规模的数据泄露事件多次发生,侵犯公民个人隐私信息、危害数据安全的情况呈现出多发态势。虽然国家先后出台《数据安全法》和《个人信息保护法》,发布《网络数据安全管理条例》(征求意见稿)和《关于开展数据安全管理认证工作的公告》,从法律法规到落地层面强化数据隐私合规的监管力度,但是企业在实际落地过程中依然会存在种种问题,总的来说,主要有以下几点:
意识转变不足
以往企业进行安全建设时,大多基于风险视角,通过边界式层层管控提升防护水平。数字经济时代,数据体量急剧增加、数据类型不断扩展、数据流转愈发频繁,数据呈无边界的状态,边界式管控手段会变得捉襟见肘,因此企业需要转变的第一个意识就是数据视角。此外,企业需要转变的第二个意识是合规视角,安全不代表合规但是可以支撑合规,同时合规可以指引安全。最后,纵观近几年数据泄露事件,我们可以看到应用系统侧泄露占比越来越高,究其原因是数据使用和流转过程越来越频繁,使得该部分风险敞口增大,因此第三个意识就是全链路视角,用户访问或应用调用产生的数据流转链路是企业数据隐私合规能力建设需要重点关注的环节。
数据资产不清
数据资产除了数据,还包括数据使用和流转过程中的用户、应用和数据库资产,这是数据隐私合规能力建设的基础。企业需要全面的发现数据,进而落实数据分类分级工作,接下来针对企业关心的敏感数据实现过程动态监测,包括这些数据被哪些用户访问,流经哪些应用系统和接口,最终来自哪些数据库库表。随着企业数字化转型,越来越多的服务采用线上化,应用系统、数据调用和流转变得更加庞杂,加之越来越多的企业采用混合云架构和微服务框架,这些对于企业数据资产梳理工作都造成不小的挑战。
动态闭环不足
数据隐私合规是动态的,当前合规不代表永远合规。一方面,动态运营能力的缺失,使得企业无法实时掌握数据隐私合规状态,从而落入盲盒式合规的境地。另一方面,由于工具或者能力的耦合性较弱,使得闭环能力不足,比如分类分级结果无法直接有效运用,风险预警信息难以精准聚合,定位溯源需要跨越多个工具等,使得事前、事中和事后环节处置脱节,无法有效降低数据隐私合规风险,而且运营成本高。
红途科技提出的全链路数据隐私合规解决方案,明确以数据为中心,在法律法规的指引下,依托“API级数据全链路追踪”能力,以数据隐私治理为基础,满足合规全场景。
01
数据隐私治理
作为重要底盘能力,数据隐私治理可以实现全域API和数据库侧数据启动发现;基于实际业务活动,追踪API级数据传输链路,自动绘制数据流转地图;实现用户账号、内外部API资产、数据库(表)和数据在内的数据资产动态管理;同时支持个人隐私数据(如姓名、电话、地址等)和企业经营数据(如薪酬、成本、库存等)在内的全类型数据分类分级。通过全面掌握数据资产,一方面企业在应对监管审查时自证清白更加容易,另一方面防护能力建设时更加有的放矢。
02
数据隐私合规运营
作为事前重要环节,数据隐私运营产品针对数据主体请求、数据出境、数据共享、隐私声明、最小化采集和同意偏好管理等典型合规场景,帮助企业构建自动化、智能化数据隐私合规一站式运营能力,一套机制全面覆盖,助力客户数据隐私合规遵从。
03
数据隐私风险管理
基于数据流转全链路核心能力,数据隐私风险管理产品专注数据在使用和流转过程中的风险情况,围绕用户、应用、数据库和数据等多维数据资产进行高维数据关联,不仅可以静态监测API资产脆弱性风险,更可以通过聚合分析发现数据使用和流转过程中的动态风险,实现应用侧数据泄漏风险预警。
04
数据隐私处理活动记录
处理活动记录产品无需应用系统埋点改造即可实现用户访问日志动态采集能力,能够帮助用户快速构建全要素审计溯源能力,一旦发生数据泄露事件,结合用户、应用、数据库和数据四层关联审计日志,可以快速实现问题定位,提高事件处置效率,快速收敛风险。
_1660204974.png)
_1657090934.png)
