題-1_1656554057.png)
2023-03-27
3月26日,,由國內(nèi)知名的數(shù)據(jù)合規(guī)培訓(xùn)機(jī)構(gòu)山竹梓豪主辦的2023 EXINDPO數(shù)據(jù)保護(hù)官年會(huì)在深圳成功舉辦,。紅途科技科技創(chuàng)始人,、總經(jīng)理劉新凱受邀參加并發(fā)表演講,,分享了“用科技打造數(shù)據(jù)隱私合規(guī)體系”的主題演講,,分析了數(shù)據(jù)隱私合規(guī)行業(yè)發(fā)展趨勢,,企業(yè)面臨的挑戰(zhàn),、風(fēng)險(xiǎn)和需求,,深度講解了紅途科技的合規(guī)場景解決方案。以下為演講實(shí)錄:
首先,,從行業(yè)發(fā)展趨勢看,,有幾點(diǎn)重要變化。
數(shù)據(jù)環(huán)境的變化:企業(yè)對數(shù)據(jù)的重要性不斷加強(qiáng),。早期,,企業(yè)是從商業(yè)秘密的角度來看待數(shù)據(jù),而今,,數(shù)據(jù)成為第五生產(chǎn)要素,,是國家基礎(chǔ)性戰(zhàn)略資源,數(shù)據(jù)逐漸發(fā)展成像土地資產(chǎn)一樣的生產(chǎn)要素,,是需要進(jìn)行衡量,,交易的管理。
合規(guī)環(huán)境的變化:國內(nèi)外法律法規(guī)逐步加強(qiáng)和細(xì)化,。從2020年的上位法出臺(tái),,到2022年,不同行業(yè)的法律法規(guī)逐漸細(xì)化,,出現(xiàn)了具體可實(shí)操的細(xì)則,,一些行業(yè)客戶正在加緊推進(jìn)數(shù)據(jù)隱私合規(guī)的落地工作。我們今天談到數(shù)據(jù)合規(guī)和以往不同,,以往的合規(guī)是需要法律和管理進(jìn)行保障,,而今的數(shù)據(jù)合規(guī)是需要大量的技術(shù)工作進(jìn)行支撐。
技術(shù)環(huán)境的變化:以前數(shù)據(jù)的生產(chǎn),、加工,、傳輸、共享是從PC端產(chǎn)生的一些非結(jié)構(gòu)化數(shù)據(jù),。隨著IOT設(shè)備,、手持終端APP等一系列數(shù)據(jù)源的出現(xiàn),,數(shù)據(jù)的生產(chǎn)、存儲(chǔ),、使用,、交換場景發(fā)生很大變化。第一,,數(shù)據(jù)量激增,;第二,數(shù)據(jù)的邊界在消失,;第三,, IT基礎(chǔ)架構(gòu)環(huán)境愈發(fā)復(fù)雜。那么數(shù)據(jù)到底在哪里,,如何進(jìn)行流轉(zhuǎn)和交換,,這些問題都不清楚的情況下,我們再談隱私合規(guī),,就像空中樓閣,,沒有實(shí)質(zhì)可運(yùn)營的根基。所以,,從技術(shù)的角度來看,,必須解決這些底層的問題,來保證合規(guī)體系可落地,,且可持續(xù)運(yùn)營,。
挑戰(zhàn)、風(fēng)險(xiǎn),、現(xiàn)狀和需求
數(shù)據(jù)的特點(diǎn)是快速流動(dòng),,如何能夠?qū)λ械臄?shù)據(jù)可觀測,讓數(shù)據(jù)的使用過程透明化,,亟待突破性的技術(shù)來解決,。企業(yè)需要實(shí)時(shí)動(dòng)態(tài)可視的數(shù)據(jù)流轉(zhuǎn)地圖以感知數(shù)據(jù),實(shí)際落地過程中,,最大的一個(gè)難度是數(shù)據(jù)覆蓋的完整度,,當(dāng)覆蓋完整度解決不了的時(shí)候,風(fēng)險(xiǎn)可控和合規(guī)實(shí)際上是有缺失和不足的,。在工具產(chǎn)品和輔助人工的方面,,以往通過標(biāo)準(zhǔn)的顧問訪談過程來梳理一個(gè)公司的數(shù)據(jù)和業(yè)務(wù)流程,,在覆蓋完整度和時(shí)效性上都是不足的,。比如訪談不同的人,會(huì)得到不同的訪談結(jié)果,。業(yè)務(wù)和系統(tǒng)隨時(shí)變化,,無法動(dòng)態(tài)跟進(jìn),。另外,除了風(fēng)險(xiǎn)的快速識(shí)別,,還有很多需求是出現(xiàn)問題后的自證清白,。怎樣保證數(shù)據(jù)使用過程中,能夠滿足合規(guī)的要求,,當(dāng)出現(xiàn)數(shù)據(jù)泄露和風(fēng)險(xiǎn)的時(shí)候,,怎樣自證清白,或是怎樣找到出現(xiàn)問題的地方,?
紅途可以做什么
紅途科技從技術(shù)的角度根本性的解決企業(yè)面臨的風(fēng)險(xiǎn)和挑戰(zhàn),。我們首創(chuàng)的一個(gè)重要技術(shù)能力是實(shí)現(xiàn)對流轉(zhuǎn)數(shù)據(jù)的可觀測性,即數(shù)據(jù)流轉(zhuǎn)地圖,。在人員不介入的情況下,,能夠知道每一條數(shù)據(jù)如何進(jìn)入公司,進(jìn)入每一套應(yīng)用系統(tǒng),,如何在不同國家地區(qū)之間調(diào)用和傳輸,,自動(dòng)化繪制出數(shù)據(jù)流轉(zhuǎn)的路徑和地圖,讓數(shù)據(jù)的運(yùn)營狀態(tài)可觀測,。
紅途科技構(gòu)建的整體數(shù)據(jù)隱私合規(guī)體系是以全鏈路數(shù)據(jù)流轉(zhuǎn)追蹤技術(shù)為底層科技能力,,對數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)管理,風(fēng)險(xiǎn)洞察以及事后審計(jì)溯源,。同時(shí)根據(jù)全球不同地區(qū)的法律法規(guī),,進(jìn)行不同場景的合規(guī)落地。
場景1 - 數(shù)據(jù)主體請求DSR
不同的法律法規(guī)都對DSR提出了相關(guān)要求,。即主體請求從發(fā)現(xiàn),、訪問、修訂,、糾正,、限制、刪除,、導(dǎo)出,、接入等要滿足法律要求。作為數(shù)據(jù)的采集和運(yùn)營方,,對于個(gè)人隱私數(shù)據(jù)運(yùn)營過程中,,要給用戶提供標(biāo)準(zhǔn)的個(gè)人隱私入口,能夠提交用戶請求,,且在指定的時(shí)間內(nèi)提供反饋,。實(shí)際上,這一過程也有很多挑戰(zhàn)。比如客戶數(shù)據(jù)進(jìn)入公司后,,都進(jìn)入了哪些不同的事業(yè)群,,哪些不同的業(yè)務(wù),有什么樣的應(yīng)用系統(tǒng)支撐,,存儲(chǔ)在哪里,,有沒有進(jìn)入到公司的大數(shù)據(jù)平臺(tái),有沒有第三方的調(diào)用和分享,。這就是數(shù)據(jù)分布及調(diào)用的完整性問題,,我們在回答DSR的這種報(bào)告和問題的時(shí)候,實(shí)際是說不清楚的 ,。我們也訪談過很多不同領(lǐng)域的客戶,,普遍是通過管理手段和人工手段相結(jié)合的方式來操作。當(dāng)有用戶提DSR,,企業(yè)通過人工的方式,,對于自己熟悉的系統(tǒng)場景進(jìn)行梳理來提交報(bào)告。而紅途科技從技術(shù)的角度解決數(shù)據(jù)的可觀測性問題,,可以讓企業(yè)知道數(shù)據(jù)采集后給到哪些事業(yè)部,,給到哪些應(yīng)用場景,哪些應(yīng)用,。如此,,DSR的回答就會(huì)變成一個(gè)流程性工作。
提交DSR給到數(shù)據(jù)處理人員,,后臺(tái)系統(tǒng)自動(dòng)提供用戶報(bào)告,,甚至是數(shù)據(jù)刪除拷貝這樣的技術(shù)動(dòng)作給到前端,也給用戶一個(gè)反饋,,形成一個(gè)有效的閉環(huán),。保證我們在進(jìn)行DSR場景的時(shí)候數(shù)據(jù)的完整性和有效性,減少人工的投入以及人工帶來的風(fēng)險(xiǎn),。一旦企業(yè)提供給用戶的數(shù)據(jù)不全,,用戶發(fā)現(xiàn)問題,那么企業(yè)在經(jīng)營上將面臨法律風(fēng)險(xiǎn),。所以,,用技術(shù)工具解決DSR的場景,可以幫助企業(yè)避免法律風(fēng)險(xiǎn),。
場景2 - 數(shù)據(jù)跨境評(píng)估
隨著數(shù)據(jù)出境相關(guān)法律和細(xì)則的出臺(tái),,近期各個(gè)公司正在加緊數(shù)據(jù)跨境申報(bào)的工作。數(shù)據(jù)如何出境,,有沒有簽署相關(guān)的協(xié)議,,內(nèi)部如何管理,,有沒有制度等,都需要從法律和流程制度的角度來完善,。但實(shí)際的業(yè)務(wù)場景會(huì)提交很多具體數(shù)據(jù),這些數(shù)據(jù)分布到了哪些業(yè)務(wù)和系統(tǒng),,在哪些地方存儲(chǔ),,數(shù)據(jù)量是多少,通過哪些接口給到第三方,,給到第三方的法律條款的要求和實(shí)際提供的內(nèi)容是否相符等等,。這些底層的基本信息是數(shù)據(jù)跨境申報(bào)以及在日常監(jiān)測過程中的關(guān)鍵。
跨境場景中的難點(diǎn)在于數(shù)據(jù)出境的方式有很多種,,可能通過外部應(yīng)用直接給到用戶在海外使用,,可能通過API接口的方式進(jìn)行數(shù)據(jù)的對接,也有可能在數(shù)據(jù)庫和大數(shù)據(jù)平臺(tái)上,。面對這種復(fù)雜場景,,需要在技術(shù)上建立完善的體系,對所有數(shù)據(jù)進(jìn)行跨境交互,,出境時(shí)進(jìn)行有效監(jiān)測,。
舉例說明,假設(shè)客戶和海外簽訂了合同,,需要中國某些省份的數(shù)據(jù)對外交互,,合同時(shí)限一年。實(shí)際上一年之后已經(jīng)沒有人關(guān)注這件事,,接口沒有取消,,數(shù)據(jù)依舊可調(diào)用。假設(shè)研發(fā)在共享設(shè)定時(shí)圖省事,,未按約定開放特定省份,,而開放的是全國數(shù)據(jù)的共享和跨境。這些具體問題在最開始制定規(guī)則和協(xié)議的時(shí)候無法預(yù)見,,卻在實(shí)際運(yùn)營中存在相當(dāng)大的風(fēng)險(xiǎn),。紅途科技從技術(shù)上可實(shí)現(xiàn)出境數(shù)據(jù)從流程性合規(guī)進(jìn)入到實(shí)質(zhì)性的合規(guī),提供真實(shí)有效的數(shù)據(jù)輸入,,且對跨境數(shù)據(jù)實(shí)時(shí)監(jiān)測,。
場景3 - 隱私政策管理
眾所周知,企業(yè)在網(wǎng)站,、手機(jī)APP的不同節(jié)點(diǎn),,收集用戶數(shù)據(jù)時(shí),都會(huì)先做隱私政策管理,。但真正運(yùn)營過程中還會(huì)遇到很多問題,。舉個(gè)例子,,一個(gè)大型集團(tuán)下屬有不同業(yè)務(wù),會(huì)有不同的渠道與用戶交互,。在不同的渠道進(jìn)行發(fā)布的時(shí)候,,一個(gè)版本的隱私聲明就夠嗎?還是不同業(yè)務(wù)會(huì)產(chǎn)生不同的版本的隱私聲明,?每一個(gè)版本用戶什么時(shí)候點(diǎn)擊,,是否接受,接受的聲明內(nèi)容是什么,?
紅途科技通過技術(shù)手段幫助企業(yè)解決這一難題,,如:文本如何編輯的問題。隨著業(yè)務(wù)的發(fā)展變化把法律要求和具體的場景編入到不同的場景和法律合規(guī)的協(xié)議中,。將這些模板預(yù)制到不同的國家,、不同的業(yè)務(wù),不同的渠道中去,,每個(gè)用戶點(diǎn)擊的記錄,,有第三方公證。當(dāng)出現(xiàn)問題的時(shí)候,,能提供有力證明,,以及用戶統(tǒng)計(jì)的時(shí)候能找出哪些渠道,哪些環(huán)境,,用戶的點(diǎn)擊率會(huì)更高或更低,。通過法律文本的修改甚至是交互,讓更多的用戶來接受相關(guān)協(xié)議,。這就是紅途科技在技術(shù)側(cè)落地的工作,。
場景4 - Cookie管理
Cookie是指的企業(yè)在網(wǎng)站上通過相關(guān)程序來收集信息的一些組件。有這些組件時(shí),,一些基礎(chǔ)信息在網(wǎng)站上使用會(huì)更順暢,。但大家可能并不知道全球存在的Cookie有幾萬個(gè),每一個(gè)網(wǎng)站可能都用了大量的第三方Cookie組件,。對于開發(fā)或系統(tǒng)管理人員,,Cookie只是一種讓網(wǎng)站用起來更順暢的工具。但Cookie來自于哪個(gè)組織,,能收集到哪些數(shù)據(jù),,收集的數(shù)據(jù)如何向國內(nèi)外的第三方進(jìn)行交付。實(shí)際上是絕大多數(shù)的網(wǎng)站開發(fā)的同事并不會(huì)關(guān)心也并不清楚的問題,。
紅途科技針對全球幾萬個(gè)不同的主體進(jìn)行了相關(guān)分析處理,,清楚的知道網(wǎng)站到底有哪些不同類型的Cookie,會(huì)收集什么樣的數(shù)據(jù),,幫助企業(yè)在做網(wǎng)站管理時(shí)有一個(gè)更好匹配,,讓用戶知道到底有哪些信息被收集了,,這些數(shù)據(jù)有沒有出境,有沒有被違規(guī)的使用,。這一實(shí)現(xiàn)過程需要積累數(shù)據(jù),,包括對于所有數(shù)據(jù)收集的這些組件的行為管理,讓企業(yè)在發(fā)布不同的隱私聲明后能實(shí)際落地的一個(gè)至關(guān)重要的保障,。
場景5 - 最小化采集
假設(shè)隱私聲明上面寫了十類數(shù)據(jù)的收集,,隨著業(yè)務(wù)的變化,系統(tǒng)收集的數(shù)據(jù)和隱私聲明上面寫的是否一致,。如果品類一致的情況下,,有沒有做到最小限度地收集,。這個(gè)問題涉及兩個(gè)層面,,第一,實(shí)際收集的節(jié)點(diǎn)和過程是否一致,,需要有實(shí)時(shí)監(jiān)控和持續(xù)發(fā)現(xiàn)的能力,。第二,使用的場景,,很多數(shù)據(jù)是在不同的業(yè)務(wù)中使用,,尤其是一些有規(guī)模的公司有自己的大數(shù)據(jù)平臺(tái)來供不同的業(yè)務(wù)使用,那么在調(diào)轉(zhuǎn)這些數(shù)據(jù)的時(shí)候,,和隱私聲明寫的業(yè)務(wù)范圍是否一致,。
而實(shí)際調(diào)查中,很多的情況是未知的,,尤其是進(jìn)入到一些數(shù)據(jù)節(jié)點(diǎn)之后,,有沒有被一些不在隱私聲明范圍的業(yè)務(wù)使用也會(huì)是一個(gè)問題。如何解決呢,?
紅途科技做了兩個(gè)方面的技術(shù)突破,,首先,數(shù)據(jù)采集側(cè)隱私聲明如何寫,,對于隱私聲明和實(shí)際收集的數(shù)據(jù)有持續(xù)監(jiān)控的能力,。其次,紅途科技的數(shù)據(jù)流轉(zhuǎn)地圖可跟蹤數(shù)據(jù)從產(chǎn)生后,,經(jīng)過哪些系統(tǒng),、哪些節(jié)點(diǎn)、哪些人,,可以通過數(shù)據(jù)的流轉(zhuǎn)觀測數(shù)據(jù)實(shí)際被使用的真實(shí)情況,,解決不同的業(yè)務(wù)場景中最小化采集問題。所以,,最小化采集不僅是一個(gè)法律條款,,而且是運(yùn)營過程中數(shù)據(jù)持續(xù)可控的過程保障,。
場景6 - 報(bào)告、響應(yīng),、處置數(shù)據(jù)泄露事件
最后,,關(guān)于數(shù)據(jù)出現(xiàn)問題后,如何溯源,,如何自證清白,。舉一個(gè)案例,有些客戶在媒體上出現(xiàn)了負(fù)面新聞,,內(nèi)容是在暗網(wǎng)發(fā)現(xiàn)了公司的數(shù)據(jù)在被買賣,,對此,網(wǎng)信辦或公安機(jī)關(guān)會(huì)進(jìn)行問詢和調(diào)查,。這個(gè)數(shù)據(jù)到底是不是公司的,,在公司哪些地方,通過什么渠道泄露,,這是一個(gè)完整的數(shù)據(jù)調(diào)查過程,。當(dāng)回答不清晰的時(shí)候,輿論發(fā)酵,,直接影響公司股價(jià),,監(jiān)管方也會(huì)更多的介入。對于企業(yè)利益和名譽(yù)都是極大的損失,。
如何對數(shù)據(jù)進(jìn)行更好的溯源,?紅途科技的技術(shù)手段能實(shí)現(xiàn)雙向溯源,從人到數(shù)據(jù),,從數(shù)據(jù)到人,。當(dāng)某員工離職的時(shí)候,訪問過哪些系統(tǒng),,哪些功能,,看到過哪些敏感的數(shù)據(jù),可以按照這個(gè)順序進(jìn)行正向的數(shù)據(jù)溯源,。一個(gè)數(shù)據(jù)或者一個(gè)數(shù)據(jù)集被販賣,,被監(jiān)管發(fā)現(xiàn)存在風(fēng)險(xiǎn)的時(shí)候,企業(yè)可以完整的回答數(shù)據(jù)在哪些數(shù)據(jù)庫以及大數(shù)據(jù)平臺(tái)分布和存儲(chǔ),,從數(shù)據(jù)采集到出現(xiàn)安全事件的這一段時(shí)間內(nèi),,哪些應(yīng)用通過什么樣的鏈路調(diào)轉(zhuǎn)給這個(gè)數(shù)據(jù),哪些人使用了這個(gè)數(shù)據(jù),,在最快的時(shí)間內(nèi)自動(dòng)化生成報(bào)告,,讓用戶清楚知道數(shù)據(jù)的真實(shí)狀態(tài)。
以上分享了合規(guī)的六大場景,,都是現(xiàn)在法律合規(guī)角度出現(xiàn)的新內(nèi)容,,與以往的網(wǎng)絡(luò)安全不同,。網(wǎng)絡(luò)安全是以攻防的角度來發(fā)現(xiàn)問題,發(fā)現(xiàn)漏洞以及如何修復(fù),。今天談隱私合規(guī),,是以數(shù)據(jù)為基礎(chǔ),掌握數(shù)據(jù)的可觀測性便有把握回答這些全新的業(yè)務(wù)場景,。紅途科技提供的合規(guī)體系,,是以數(shù)據(jù)隱私治理為基礎(chǔ),對于以上談到的合規(guī)運(yùn)營場景,,風(fēng)險(xiǎn)場景,,事后的審計(jì)和溯源場景,提供一系列的合規(guī)解決方案,。
歡迎會(huì)后和大家進(jìn)行更詳細(xì)的交流和溝通,,也希望有更多的機(jī)會(huì)跟大家合作,謝謝,!
紅途科技展臺(tái)實(shí)況
_1660204974.png)
系電話_1657091297.png)
_1657090934.png)
二維碼大尺寸_1659951226.jpg)