近日,中国信通院发布了《大数据十大关键词》。其中,提到“关键词九”——:数据安全合规整体迈入新阶段。
具体内容如下:
随着年两法的颁布实施,各行各业的数据安全监管力度不断加强,合规工作也迈入新的阶段。首先,为了正确理解监管内容,有效落实监管要求,各行各业广泛掀起了政策法规的学习浪潮。其次,数据分类分级作为数据安全领域的重要工作,也是实现精细化安全管理的必要能力,同样成为这一轮学习热潮的重点关注对象。再次,为推动本行业企业数据安全的贯彻落实,部分行业主管单位启动监管报送工作。最后,在供应侧市场,部分企业开始着手开发合规管理工具,以协助需求方实现监管应对的自动化实现。
近年来,有不少APP软件或多或少都存在过度收集、违规收集用户数据信息、强制授权、不合理索取用户权限等等,如未经用户同意自动开启收集地理位置、身份证号、人脸、指纹等用户敏感信息,以及违规读取用户通讯录、使用摄像头、启用录音等功能收集用户信息,侵害用户隐私安全。
也因此,在个人信息搜集使用、大数据算法和人工智能的越来越广泛运用的大背景下,数据安全已经变的重要且迫切了,同时,数据合规的治理也是数字化时代全社会治理不可或缺的一部分。
企业在生产经营过程中,会产生各种各样的数据,如财务报表、现金流水、用户活跃度等企业经营数据;行业统计报告、产品使用反馈、用户行为等企业决策所需的数据;用户画像、推荐算法模型、产品优化方向等企业开发利用的数据,等等。
据了解,数据合规管的是与用户相关的数据,具体边界并不清晰,而且用语都不同,有的人称之为用户数据,有的人称之为个人信息,大多数人称之为隐私。那么,企业如何有效进行数据安全合规管理?
、数据内容安全合规
对数据内容进行分类分级,如从数据的性质和类型的角度出发,判断数据是否涉及个人信息、重要数据、商业秘密及其他非公开信息等,是否为公开数据,数据内容是否为法律法规允许采集的等,并根据数据等级的重要程度,对用户数据进行不同安全程度的保护。
如,企业在数据收集、处理过程中,识别出涉及国家和行业领域安全的重要数据、核心数据、个人信息数据,并基于分类分级结果、对敏感数据和重要数据的流转及使用情况,结合企业场景化的数据安全风险分析及数据安全能力需求分析,制定企业的数据安全策略和技术防护保障措施。
、数据来源及获取方式安全合规
数据的获取途径与方式是否合法合规,用户授权的自愿性,即授权链路的完整性、获取方式是否符合行业惯例及商业逻辑等等。
例如,月日,国家互联网信息办公室发布新修订的《移动互联网应用程序信息服务管理规定》,自年月日起施行。新《规定》提出,不得以任何理由强制要求用户同意个人信息处理行为,不得因用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。而企业若强制,则是违规。
、第三方数据来源安全合规
多数企业在为用户提供服务时,可能会通过第三方数据服务商获取、存储用户数据,而这个第三方数据服务商是否有资质要求,数据接收方是否有针对数据提供方的审核、评价机制等,以及对外提供数据行为是否合法合规。
另外,企业除了对数据安全合规的管理,还要从技术角度出发,通过必要的技术措施来确保数据安全合规。个人信息保护的技术措施范围比较广泛,既包括加密、脱敏等安全技术措施,也包括落实个人信息保护要求的产品设计技术措施。安全技术措施,如数据识别、个人信息保护、接口安全管理、数据防泄露以及操作审计等等。
企业办公统一入口——数影办公空间,基于防下载、防拷贝的特性,满足企业数据安全合规的要求。针对企业无法很好地管控SaaS系统使用过程中行为合规和数据安全的问题,数影办公空间可为企业构建安全闭环的交互环境,保护SaaS和内部Web系统以及系统内的数据安全合规;在订单处理、报表编辑、数据审核、数据分析等工作场景中,数影办公空间提供页面脱敏能力,可针对手机号、身份证、银行卡号等敏感数据进行智能识别、自动脱敏,保护隐私信息。
