首页 亿信华辰大数据问答 大数据时代,怎么避免数据“裸奔”?
我要提问
写回答

大数据时代,怎么避免数据“裸奔”?

企业数字化转型 共 1 个回答
  • 爱哭鬼
    爱哭鬼

    2022-08-04

    “大数据时代,人人都在裸奔”,虽然只是一句调侃的玩笑话,却也展示出了数据安全问题面临的严峻形势。当前企业的数据安全主要面临着哪些内外部的威胁?《数据安全法》为企业的数据安全提供了哪些保障支持,又提出了哪些合规要求?企业应该怎么建设数据安全?

    1.企业数据安全的5个新挑战

    第一, 数据安全的范畴拓宽了。原来的数据安全更多的就是保护,但现在因为数据权属和数据流动的对撞,冒出来了一个新的需求和挑战 —— 合规。不止是简单的保护,还扩展到了要去保证兑现数据真正属主的权利,难度远比原来要大。

    第二, 企业保护数据安全的思路变了。现在有一个热词叫分级分类。数据保护原来是网关式的,不管数据是什么,加了密、保证不被不该看到的人看到就好。但现在数据有不同的级别、不同的类别。有些数据可以流通,有些数据可以开放,有些数据什么都不能做。这样一个逻辑之下,就出现了基于数据分级和分类以后的数据保护。这对企业而言也是很大的一个挑战,怎样根据业务对数据进行分级分类,怎么根据数据的级别和类别施加恰当的保护措施。实际上是很难的。

    第三, 数据的生命周期链条延长了。原来业务系统产生数据、存储数据、使用数据,是一个一个的孤岛。但现在数据采集后,可能有数据流通、数据交易、数据共享、数据混采等需求。在这个过程中,数据会接触到很多第三方。比如数字广告营销中,数据就会为app服务商、广告商所用。实际上,现在数据的生命周期链条大大延长了。数据保护是不是能覆盖到链条之下的所有环节,也是个难题。

    第四, 服务方式从建设型向服务型转变。现在,数据是活的,是热的。随着业务的变化,数据也在不断变化,不断有新数据、新业务产生,也不断有数据的生命周期变化。像原来那样,只是通过建设,把各种安全产品、安全软件放在用户那里,已经不足以保证用户的数据安全。原来的建设型的数据安全保护一定会演变为服务型,通过持续的运营和服务,才能真正为用户解决好数据安全问题。

    第五, 治理结构的转变。现在的数据安全定义中,其实也有国家治理结构中的很多角色,比如审计、评估、服务、产品,以及企业自身,连接着不同的生态。未来的企业数据安全的治理结构中。到底有几方,才能保证企业的数据安全治理是可信的、透明的、可监管的,实际上也是企业需要思考的问题。

    2.内防外控,堵住信息泄露3条途径
    那么,要如何破解这些挑战?筑牢数据安全大坝呢?

    数据安全最终导致的问题就是信息的泄露,那途径无外乎就是三个方面:一是来自外部的攻击。据统计60%以上的数据泄露是由网络攻击导致。二是内部使用过程中造成的数据泄露。三是组织之间数据要素流通过程中造成的泄露。

    “总结下来就是外防内控。”现在做数据安全,一定要有一个“最佳实践”意识。不论是从重要场景的安全风险出发,进行解决方案设计;还是从数据的分类分级出发,针对重要数据的管控,进行加密脱密等处理;或者是结合一些新型的先进技术,比如多方计算、隐私保护、同态加密、隐私计算等,去解决数据安全问题,“无论是哪一种方式,首先要是要可落地比较强。”


    3.注意!这些细节要合规

    2021年《数据安全法》、《个人信息保护法》相继实施,为企业的数据安全提供了方向指导,也提出了具体要求。

    《数据安全法》的核心制度就是分类分级重要数据识别、重要数据保护等。目前,对重要数据的规定还是比较偏原则性指导,但在汽车等一些重点行业,也提出了较为具体的指南。

    企业可以根据业务线条为标准,对数据进行分类,然后再进行重要级的划分。从行业要求、业务需求、数据来源等方面,进行一般数据、重要数据、核心数据的识别,并根据《数据安全法》的规定,把重要数据和核心数据的目录明确出来。

    在《个人信息保护法》方面,企业一定要注意这几点:

    第一, 该法中对个人信息的定义比较广,不仅包括识别方面的信息,也包括与个人相关的信息,企业在业务中一定要注意合规性。

    第二, 该法规定,匿名化之后的信息,不属于个人信息,可以当作普通的一般信息进行流通使用,但去标识化后的个人信息,还属于个人信息。

    第三, 处理个人信息的过程中,有针对个人用户的一个同意要素。在立法当中,同意也有单独同意、一般同意、书面同意、口头同意等不同层次。每一种同意,线下所对应的场景是不一样的。一定要注意必须单独同意的情况。

    第四, 敏感信息方面,企业做分类分级的时候,可以把敏感个人信息全部纳入到某一个级别或类别当中,统一地适用一些立法要求,使用过程中会更加便利。

    第五, 《个人信息保护法》的个人信息保护影响评估制度,其实是覆盖个人信息处理全周期过程的。换句话说,在个人信息处理的全生命周期当中,企业都要做好个人信息保护的评估。

您可能需要的数据产品
亿信华辰助力政企数字化转型

现在申请试用亿信华辰数据软件,马上可获得:

50+

领导驾驶舱、大屏分析等BI模板

100+

多行业数字化转型解决方案

1500+

海量工具及行业应用学习视频

立即申请试用