1.哪些数据需要注意在解读数据安全法规之前,首先需要明确的问题是“什么样的数据需要考虑安全问题?不同的数据有哪些不同的安全要求?”。这里引用一张从网上摘录的数据分类图来说明。这张图从大尺度上把数据分为两部分:个人数据和业务数据,又细分为不同的类别。对于不同类型的数据,都有相应的法律法规进行保护。1)个人数据个人数据大致可分为个人基础数据、个人隐私数据和个人行为数据。个人基础数据是指在不与任何平台或企业进行交互的情况下即可知晓的基础数据,如个人的性别、身高、体重、年龄等。个人隐私数据个人隐私在《民法典》和《个人信息保护法》中的表述不同法律。分别称为隐私信息和个人敏感信息,两者并不完全等同。民法典“隐私”范畴中的“隐私信息”,是主观上“不愿被他人知晓”、客观上能够识别自然人身份的“个人信息”;而“个人敏感信息”可能不具有隐私属性。个人行为数据是仅在与平台或公司交互时产生的数据。这不难理解,因为数据是存在于数字世界中的一种生产要素。因此,个人行为数据中的“行为”指的是个人在数字世界中的行为。人们需要通过企业或平台进入数字世界。因此,必须有互动。2)商业数据对于商业数据,大致可以分为:公共数据、平台数据和企业数据。企业数据企业数据是指企业业务系统中的数据。在与平台数据的关系上,一般来说,企业有数据,平台理论上就有。当然,也不排除有的企业不想向平台公开数据,采用加密的方式传输,造成平台没有,公司有。平台数据一个平台上会有多个公司,比如金融行业,贷款超市的每款贷款产品,交通行业,以及多个打车公司产品的聚合打车平台。公共数据公共数据涵盖的范围最广。当然,也会有一些数据因为企业或平台不愿意公开而无法成为公开数据。3).理解要点?如何理解个人数据与企业数据的交集?个人行为数据既属于个人数据,又属于商业数据,由个人和企业共享。企业或平台如需使用(产生数据的企业或平台),需征得个人的授权同意;第三方企业或平台如需使用,需取得数据产生企业或平台、个人授权的二/三方同意。?如何理解“重要数据和核心数据”?图中标注的重要数据和核心数据在数据安全规定中有提及。这两类数据与前面的分类不在同一个维度。重要数据是指个人数据(个人隐私以外的部分)与企业、平台乃至公共数据相结合,通过对大量数据的聚合、关联、映射,产生数据价值和增值。比如此前备受关注的滴滴事件,暴露了数据聚合所产生的巨大价值,其泄露也会带来巨大的安全隐患。重要数据的核心部分是核心数据。?如何理解数据保护方面的法律法规?有相应的法律法规来保护不同类型的数据。这部分将在后面详细讨论。民法典保护个人隐私,以私人信息为主体。《个人信息保护法》也保护个人隐私,重点是敏感的个人信息,也涵盖其他个人信息。数据安全法是最广泛的,涵盖所有数据。网络安全法涵盖所有??在线重要数据。国家安全法涉及所有核心数据。2.数据分类分类1).分类和分类的概念数据的分类和分类是涉及到数据安全的一个重要概念。我们可以先简单了解一下,参考上图,按照垂直行业划分,即数据分类;在每个行业内部,根据敏感程度将数据划分为不同的级别,这就是数据分类。数据的分类分级管理应贯穿于企业发展的全过程,数据的类别和层级也应根据相关要求实时变化和更新。企业业务发展过程中,不可避免地面临着数据量的增长和更多数据域的扩展。根据业务发展和法律标准的要求,对数据的分类分类进行“量身定做”,以适应日益多样化的数据使用场景和复杂的数据使用维度,将公司的业务数据划分为完整的分类和分类标准,以为公司业务发展提供高效服务。数据支持。数据分类从业务角度出发,整理出哪些元数据属于哪个业务类别,即类别。这个业务范围的范围可大可小,完全依赖于企业前期的业务分类结果。数据分类并不是说业务越细分越好。大多数细分的数据都具有多个属性,这会导致数据的多次划分,这是典型的分类失败。相反,如果分类过于粗略,对企业的指导意义也会大大降低。找到分类粒度的平衡点非常重要。数据分类不同于数据分类。对于大多数企业来说,更多的是从满足监管要求的角度出发。数据分类属于数据安全领域,称其为敏感级别可能更合适。企业中的数据保密等级有的高,有的低,有的可以公开,有的不能公开。不同敏感度的数据在内部使用时受到不同的保护策略,对外共享的开放程度也不同。如果企业对其内部数据没有清晰的认识,将会给企业的运营带来严重的隐患。2)分类分级实践:电信下面以某电信公司为例,说明如何对数据进行分类分级。?数据分级分级原则安全原则:从数据安全管控的角度对数据进行分类分级。稳定性原则:分类分级设置长期稳定,数据覆盖范围广,具有包容性。可执行原则:为保证数据分类分级的后续可操作性,数据分类分级应贴近企业实际操作,不能过于复杂或过于粗糙。企业的安全防护要求,应该是在这种划分分类的基础上进行的。时效性原则:数据的层级会根据相关要求动态变化和更新。企业应保留一定的管理和技术储备,以应对数据层面变化带来的影响。自治原则:基础电信企业可根据自身特点、战略目标、转型方向和风险识别结果,对数据安全进行分类分级。但分级结果应遵循高层次不低层次的原则,不应未经评价就将高层次数据降为低层次数据。完整性原则:描述数据状态的全面性,完整的数据应该基于整个业务流程进行综合划分。高级别不低级别原则:当不同级别的数据同时处理和应用,无法精细控制时,应按照最高级别的要求执行最高级别的保护。关联叠加效应原理:对于非敏感数据关联后可能产生敏感数据的场景,关联数据的层级应该高于原始数据的层级。?数据分类方法根据基础电信企业的业务运营特点和企业内部管理方式,收集企业各部门的数据资源,对所有数据资源进行梳理。根据线路分类方法,根据业务属性(或特征),将基础电信企业数据划分为若干数据类别,然后将每一类别的数据根据??其内部的数据归属逻辑关系划分为若干层次。类别。层级划分为若干子类,同一分支中同一层级的子类形成并列关系,不同层级的子类形成从属关系。所有的数据类和数据子类组成了一个数据资源目录树,如下图所示。目录树的所有叶节点都是最小的数据类。最小数据类是指一组具有相同或相似属性(或特征)的数据。为便于数据的统一管理和应用,根据基础电信企业生产经营管理现状和自身管理特点,将基础电信企业掌握的数据整合为两类。?数据分类方法在数据分类的基础上,根据基础电信企业数据的重要性,以及对国家安全、社会秩序、企业管理和社会公共利益的影响和危害程度,对基础电信企业网络数据资源进行分类。泄漏。按照下图所示的步骤和方法进行数据分类,如下。根据数据对象对对象的影响程度,将影响程度中影响程度最高的作为数据对象的重要度和敏感度。例如,如果数据对象发生了对国家安全和社会公共利益影响程度低、对企业利益影响程度低、对用户利益影响程度高的安全事件,那么其重要性和敏感性数据对象的值是从三个中选出的,其中最高的为high。根据数据对象的重要性和敏感性,基础电信企业网络数据资源可分为四个安全等级,相应的安全要求也逐渐降低,即第四级、第三级、第二级和第一级等级。4级数据:一旦丢失、泄露、篡改或损坏,对国家安全、社会公共利益、企业利益或用户利益产生特别严重影响的数据,安全控制要求最高。三级数据:一旦丢失、泄露、篡改、毁坏,将严重影响国家安全、社会公共利益、企业利益或用户利益的数据,应加强安全管控。二级数据:数据一旦丢失、泄露、篡改、损坏,将对国家安全、社会公共利益、企业利益或用户利益产生一定影响,实施基本安全控制。1级数据:一旦丢失、泄露、篡改或毁坏,对国家安全、社会公共利益、企业利益或用户利益影响很小或没有影响的数据,不需要进行安全控制。3、法规标准解读1)多层次的法规标准随着对数据安全的日益重视,国家/地区和行业相继出台了一系列法律法规和标准来指导数据安全建设。一般来说,可分为法律、行政法规和国家或地方标准三个层次,如下图所示。?法律在法律层面,国家相继出台国家安全法、数据安全法、个人信息保护法、网络安全法、密码法等一系列法律进行规范和引导。下图取自安全厂商——联石科技的公开资料。其中,2015年实施的《国家安全法》第25条明确提出“实现网络与信息核心技术、关键基础设施、重要领域信息系统和数据的安全可控”。2017年实施的《网络安全法》将数据安全纳入网络安全范畴。网络安全等级保护体系、关键信息基础设施保护体系、个人信息保护体系为保障数据安全提供重要制度支撑。2021年实施的?将全面贯彻落实总体国家安全观,建立国家数据安全工作体制机制,构建数据安全协同治理体系,明确防控和消除数据安全一系列制度措施风险,从而提高国家的整体安全水平。数据安全保障能力。?行政法规各行业根据自身特点出台了一系列具有行业属性的规范和指南,大致梳理如下:?国家或地方标准在标准方面出台了一系列国家或地方标准,大致如下:整理如下:2)。解读:GB/T35273-2020《 个人信息安全规范》下面以国家标准-个人信息安全规范为例,说明如何定义(分级分类)和限制数据及相关行为。?数据定义(分类分级)个人信息个人信息是指能够单独或者与其他信息结合识别的电子或者其他记录的个人信息。自然人的身份或反映特定自然人活动的各种信息,如姓名、出生日期、身份证号码、个人生物识别信息、地址、通讯联系方式、通讯记录及内容、账号密码、财产信息、信用信息、行踪、住宿信息、健康生理信息、交易信息等。判断一条信息是否属于个人信息,应考虑以下两条路径:一是身份识别,即从信息到个人,根据信息本身的特殊性识别特定自然人。个人信息应有助于识别特定个人。二是联想,即从个体到信息。例如,已知特定自然人,则该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)属于个人信息。符合上述两种情况之一的信息,应当认定为个人信息。个人敏感信息个人敏感信息是指一旦泄露、非法提供或滥用,可能危及人身和财产安全,容易导致个人名誉、身心健康受损或歧视性待遇的个人信息。一般而言,14周岁(含)以下儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。是否属于个人敏感信息,可从以下几个方面进行判断:-泄露:个人信息一旦泄露,将导致个人信息主体和收集、使用个人信息的组织、机构失去对个人信息的控制,从而导致个人信息的传播和使用。不能控制。部分个人信息泄露后,被违背个人信息主体意愿直接使用或者与其他信息关联使用,可能给个人信息主体权益带来重大风险的,应当认定为个人敏感信息。例如,个人信息主体身份证复印件被他人用于手机号卡实名登记、银行开户、办卡等-违法提供:部分个人信息会给权利带来重大风险仅因超出个人信息主体授权同意的范围传播,损害个人信息主体利益,应当认定为个人敏感信息。例如性取向、存款信息、传染病史等。-滥用:当某些个人信息被超出合理授权范围使用时(如改变处理目的、扩大处理范围等),可能给个人信息主体的权益带来重大风险,应当判定为个人敏感信息。例如,未经个人信息主体授权,将健康信息用于保险公司营销、确定个人保险费水平等。?约束行为4、实施痛点分析及解决方案企业在数据安全领域的实施存在一系列痛点和难点。这主要来自两个方面:一是安全法规标准的解读;二是如何结合企业自身情况制定和实施数据安全改进措施。关于前者,通过以上系列内容的解读,相信读者对数据安全法规和标准有了一个大概的了解,在具体操作上,可以遵循先法规、后标准、后标准的原则。先是民族产业,后是地区和地方。解读并找出企业数据应遵循的安全原则。许多安全或咨询公司也提供此类安全咨询服务,以帮助企业解读政策。对于后者,相对来说要复杂一些。一方面需要摸清企业的数据背景,另一方面需要建立数据生命周期安全计划。按照此前的解读,应该有针对性地采取一系列安全提升措施。下图展示了数据生命周期各个阶段涉及的主要安全能力,由个人简单组织,包括数据识别、传输、存储、使用、销毁等多个环节。上述安全能力的具体构建,需要一系列的技术支持来完成。由于缺乏数据安全意识,大多数企业在前期没有这种意识去构建,因此存在边探索边改革和落实的问题。这也是困扰很多企业数据安全工作的一个痛点。尤其是重要的数据载体——数据库,企业存在数据库堆栈多、各产品安全能力不同、云与非云环境并存等痛点,无法建立统一的数据安全治理体系。通常的思路是在企业应用层解决上述问题,但这会给应用系统的开发带来很大的麻烦。因此,在数据库和应用之间构建这种能力是“必然”的。对于这个实用的概念,我有一些亲身实践,有兴趣的朋友可以联系我。
