一则“男子戴头盔看房”的小视频引发网络热议,某售楼机构采用人脸识别系统进行客户信息自动化收集和分类,某男子为了保护自己的合法隐私权益,竟然头戴头盔进售楼处看房。消费者在不知情下被采集人脸信息,而我国法规有明确规定,收集、使用个人信息必需经被收集者同意,售楼机构殊不知擅自采集人脸信息涉嫌违法行为,由此引发社会广泛关注。
(图片来自网络)
人脸信息作为生物特征,是个人敏感信息的重要组成部分。随着互联网快速发展,每个用户都会安装使用很多应用程序,为了方便用户的使用,贴合用户的使用习惯,应用程序也采取许多无密码认证的创新方法,比如指纹、人脸识别等认证手段,而一旦人脸信息被泄露或者非法滥用,会对个人造成非常不良的影响。下图中罗列的敏感信息用途基本囊括了个人社会活动的所有范围:
随着公民对隐私数据的保护意识越来越强,国家对隐私数据保护法律的不断健全,隐私数据保护的重要性不言而喻。
网络安全法
《中华人民共和国网络安全法》明确规定,网络运营者不得泄漏、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄漏、毁损、丢失。
等级保护
要求三级以上系统应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。
民法典
2021年起实施的《中华人民共和国民法典》规定,任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
在围绕5G、大数据、物联网等的“新基建”背景下,互联网将成为所有行业的基础设施,安全问题将跨平台、跨业务出现,数据安全问题也会越来越复杂,而线上线下融合的时代背景下,面临着专业的安全威胁者更加复杂而多层次多角度的安全攻击。机构数据泄露等安全威胁的影响逐步从机构内转移扩大至行业间,甚至影响国家安全、社会秩序、公众利益与金融市场稳定。
如何做好隐私数据保护呢,从三个主要方面来保障数据安全:数据分类分级保护、身份识别与访问管理、安全合规评价机制。
一、数据分类分级和保护
作为隐私数据保护的重要基础,首先是对数据采取分级分类和针对不同级别实施相应措施。在2020年Gartner安全和风险管理峰会上,提出了数据分类和保护。数据复杂多样,对数据实施分级管理,能够进一步明确数据保护对象,有助于机构合理分配数据保护资源和成本,是机构建立完善的生命周期数据保护框架的基础,也是有的放矢地实施数据安全管理的前提条件。同时,统一的数据分级管理制度,能够促进数据在机构间、行业间的安全共享,有利于行业数据价值的挖掘与实现。
行业数据分类分级,可以根据不同级别的数据采用不同的保护策略。
比如重要信息系统里的4级数据(包含个人银行卡数据、账户登录信息、个人生物识别信息等),需要保证从数据采集、传输、存储等全过程数据机密性和完整性。
3级数据(个人基本信息、个人联系信息、单位信息),需要保证数据存储和使用安全!
二、身份识别与访问管理
企业数字化转型面临着巨大的安全威胁,而这些安全威胁大多源自身份数据泄露。如何保证企业数据的安全,更多的要依赖于零信任的安全架构,需要做好身份与访问管理。
针对敏感数据的使用,要确保数据的权属属于应用系统本身,规避超级用户越权访问,同时实现对管理人员的身份、权限、操作审计管理。使用户在网上也能够以“亲自证明”的方式对自己进行身份验证。用户可以存储自己的个人识别数据,而不必将其提交到某个公司管理的集中化数据库中,因为如果这些公司被黑客入侵,数据泄露将不可避免。
需要实现生产交易系统自身、与系统间、系统远程运维等区域的身份鉴别、数据传输完整性、防抵赖,保证数据的传输安全,远程用户可以轻松地访问其工具,他们只需使用一次登录(SSO)即可访问工作所需的最小资源。
三、安全合规评价机制
企业通过识别和整改数据安全风险及问题,逐步完善权限管理和数据安全评估等管控流程,严格遵循相关监管要求,建立健全数据安全合规评价机制,不断地修复安全漏洞,提升数据安全防护的能力,满足合规审计要求。
例如,某通讯公司建设合规体系实践,公司将隐私保护合规与企业发展战略相匹配,形成业务单位积极配合、全员合规意识自驱和整体合规文化融入的建设局面。契合通信行业特点,匹配内部风险偏好和外部监管环境,建立完整的合规体系,实施系统的风险控制。合规体系保障商业可持续发展,帮助企业树立合规标杆和合规品牌,不仅仅是法律遵从,更是信任共建和道德履行的重要基线。
随着与数据安全、网络安全等相关的第三方检测机构检测方法不断完善,数据保护的需求也会越来越迫切,整个数据保护的市场也会越来越大,这对于我们来说也充满了机遇和挑战。
总而言之,互联网技术普及推动社会发展,同时为企业和个人信息保护带来了新的挑战,因隐私数据泄露所引发的侵权、欺诈等信息犯罪行为日益严重,已为全社会造成巨大损失,严重影响社会安定。社会各行各业也肩负公民隐私数据保护的责任,不仅是对法律法规的重视,也是对公民权利的尊重。企业隐私数据保护水平提升的牵涉面很广,需要从员工安全意识、数据分类及存储、数据使用、管理审计等众多方面进行系统性的加强,而我们认为其中数据分类分级保护、身份识别与访问管理、安全合规评价机制这三项则是重要的基础性工作,能有效的帮助企业快速提升隐私数据安全保护水平。
江南科友专注数据保护,在身份与权限、数据隐秘、合规、安全可视化、云安全五大专业领域提供安全解决方案,愿与志同道合的伙伴共同探讨企业隐私数据安全保护,共筑数据资产的守护长城。