題-1_1656554057.png)
2023-03-27
3月26日,,由國內(nèi)知名的數(shù)據(jù)合規(guī)培訓(xùn)機構(gòu)山竹梓豪主辦的2023 EXINDPO數(shù)據(jù)保護官年會在深圳成功舉辦。紅途科技科技創(chuàng)始人,、總經(jīng)理劉新凱受邀參加并發(fā)表演講,,分享了“用科技打造數(shù)據(jù)隱私合規(guī)體系”的主題演講,分析了數(shù)據(jù)隱私合規(guī)行業(yè)發(fā)展趨勢,,企業(yè)面臨的挑戰(zhàn),、風(fēng)險和需求,深度講解了紅途科技的合規(guī)場景解決方案,。以下為演講實錄:
首先,,從行業(yè)發(fā)展趨勢看,,有幾點重要變化。
數(shù)據(jù)環(huán)境的變化:企業(yè)對數(shù)據(jù)的重要性不斷加強,。早期,,企業(yè)是從商業(yè)秘密的角度來看待數(shù)據(jù),而今,,數(shù)據(jù)成為第五生產(chǎn)要素,,是國家基礎(chǔ)性戰(zhàn)略資源,數(shù)據(jù)逐漸發(fā)展成像土地資產(chǎn)一樣的生產(chǎn)要素,,是需要進行衡量,,交易的管理。
合規(guī)環(huán)境的變化:國內(nèi)外法律法規(guī)逐步加強和細(xì)化,。從2020年的上位法出臺,,到2022年,不同行業(yè)的法律法規(guī)逐漸細(xì)化,,出現(xiàn)了具體可實操的細(xì)則,,一些行業(yè)客戶正在加緊推進數(shù)據(jù)隱私合規(guī)的落地工作。我們今天談到數(shù)據(jù)合規(guī)和以往不同,,以往的合規(guī)是需要法律和管理進行保障,,而今的數(shù)據(jù)合規(guī)是需要大量的技術(shù)工作進行支撐,。
技術(shù)環(huán)境的變化:以前數(shù)據(jù)的生產(chǎn),、加工、傳輸,、共享是從PC端產(chǎn)生的一些非結(jié)構(gòu)化數(shù)據(jù),。隨著IOT設(shè)備、手持終端APP等一系列數(shù)據(jù)源的出現(xiàn),,數(shù)據(jù)的生產(chǎn),、存儲、使用,、交換場景發(fā)生很大變化,。第一,數(shù)據(jù)量激增,;第二,,數(shù)據(jù)的邊界在消失;第三,, IT基礎(chǔ)架構(gòu)環(huán)境愈發(fā)復(fù)雜,。那么數(shù)據(jù)到底在哪里,如何進行流轉(zhuǎn)和交換,,這些問題都不清楚的情況下,,我們再談隱私合規(guī),就像空中樓閣,沒有實質(zhì)可運營的根基,。所以,,從技術(shù)的角度來看,必須解決這些底層的問題,,來保證合規(guī)體系可落地,,且可持續(xù)運營。
挑戰(zhàn),、風(fēng)險,、現(xiàn)狀和需求
數(shù)據(jù)的特點是快速流動,如何能夠?qū)λ械臄?shù)據(jù)可觀測,,讓數(shù)據(jù)的使用過程透明化,,亟待突破性的技術(shù)來解決。企業(yè)需要實時動態(tài)可視的數(shù)據(jù)流轉(zhuǎn)地圖以感知數(shù)據(jù),,實際落地過程中,,最大的一個難度是數(shù)據(jù)覆蓋的完整度,當(dāng)覆蓋完整度解決不了的時候,,風(fēng)險可控和合規(guī)實際上是有缺失和不足的,。在工具產(chǎn)品和輔助人工的方面,以往通過標(biāo)準(zhǔn)的顧問訪談過程來梳理一個公司的數(shù)據(jù)和業(yè)務(wù)流程,,在覆蓋完整度和時效性上都是不足的,。比如訪談不同的人,會得到不同的訪談結(jié)果,。業(yè)務(wù)和系統(tǒng)隨時變化,,無法動態(tài)跟進。另外,,除了風(fēng)險的快速識別,,還有很多需求是出現(xiàn)問題后的自證清白。怎樣保證數(shù)據(jù)使用過程中,,能夠滿足合規(guī)的要求,,當(dāng)出現(xiàn)數(shù)據(jù)泄露和風(fēng)險的時候,怎樣自證清白,,或是怎樣找到出現(xiàn)問題的地方,?
紅途可以做什么
紅途科技從技術(shù)的角度根本性的解決企業(yè)面臨的風(fēng)險和挑戰(zhàn),。我們首創(chuàng)的一個重要技術(shù)能力是實現(xiàn)對流轉(zhuǎn)數(shù)據(jù)的可觀測性,,即數(shù)據(jù)流轉(zhuǎn)地圖,。在人員不介入的情況下,,能夠知道每一條數(shù)據(jù)如何進入公司,,進入每一套應(yīng)用系統(tǒng),,如何在不同國家地區(qū)之間調(diào)用和傳輸,,自動化繪制出數(shù)據(jù)流轉(zhuǎn)的路徑和地圖,,讓數(shù)據(jù)的運營狀態(tài)可觀測。
紅途科技構(gòu)建的整體數(shù)據(jù)隱私合規(guī)體系是以全鏈路數(shù)據(jù)流轉(zhuǎn)追蹤技術(shù)為底層科技能力,對數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)管理,,風(fēng)險洞察以及事后審計溯源,。同時根據(jù)全球不同地區(qū)的法律法規(guī),,進行不同場景的合規(guī)落地,。
場景1 - 數(shù)據(jù)主體請求DSR
不同的法律法規(guī)都對DSR提出了相關(guān)要求,。即主體請求從發(fā)現(xiàn)、訪問,、修訂,、糾正、限制,、刪除、導(dǎo)出,、接入等要滿足法律要求。作為數(shù)據(jù)的采集和運營方,,對于個人隱私數(shù)據(jù)運營過程中,,要給用戶提供標(biāo)準(zhǔn)的個人隱私入口,能夠提交用戶請求,,且在指定的時間內(nèi)提供反饋。實際上,,這一過程也有很多挑戰(zhàn)。比如客戶數(shù)據(jù)進入公司后,,都進入了哪些不同的事業(yè)群,,哪些不同的業(yè)務(wù),有什么樣的應(yīng)用系統(tǒng)支撐,,存儲在哪里,,有沒有進入到公司的大數(shù)據(jù)平臺,,有沒有第三方的調(diào)用和分享。這就是數(shù)據(jù)分布及調(diào)用的完整性問題,,我們在回答DSR的這種報告和問題的時候,實際是說不清楚的 ,。我們也訪談過很多不同領(lǐng)域的客戶,普遍是通過管理手段和人工手段相結(jié)合的方式來操作,。當(dāng)有用戶提DSR,,企業(yè)通過人工的方式,,對于自己熟悉的系統(tǒng)場景進行梳理來提交報告,。而紅途科技從技術(shù)的角度解決數(shù)據(jù)的可觀測性問題,可以讓企業(yè)知道數(shù)據(jù)采集后給到哪些事業(yè)部,,給到哪些應(yīng)用場景,,哪些應(yīng)用,。如此,,DSR的回答就會變成一個流程性工作。
提交DSR給到數(shù)據(jù)處理人員,,后臺系統(tǒng)自動提供用戶報告,,甚至是數(shù)據(jù)刪除拷貝這樣的技術(shù)動作給到前端,也給用戶一個反饋,,形成一個有效的閉環(huán)。保證我們在進行DSR場景的時候數(shù)據(jù)的完整性和有效性,,減少人工的投入以及人工帶來的風(fēng)險,。一旦企業(yè)提供給用戶的數(shù)據(jù)不全,用戶發(fā)現(xiàn)問題,,那么企業(yè)在經(jīng)營上將面臨法律風(fēng)險,。所以,,用技術(shù)工具解決DSR的場景,可以幫助企業(yè)避免法律風(fēng)險,。
場景2 - 數(shù)據(jù)跨境評估
隨著數(shù)據(jù)出境相關(guān)法律和細(xì)則的出臺,,近期各個公司正在加緊數(shù)據(jù)跨境申報的工作。數(shù)據(jù)如何出境,,有沒有簽署相關(guān)的協(xié)議,,內(nèi)部如何管理,,有沒有制度等,,都需要從法律和流程制度的角度來完善,。但實際的業(yè)務(wù)場景會提交很多具體數(shù)據(jù),,這些數(shù)據(jù)分布到了哪些業(yè)務(wù)和系統(tǒng),,在哪些地方存儲,,數(shù)據(jù)量是多少,,通過哪些接口給到第三方,,給到第三方的法律條款的要求和實際提供的內(nèi)容是否相符等等。這些底層的基本信息是數(shù)據(jù)跨境申報以及在日常監(jiān)測過程中的關(guān)鍵,。
跨境場景中的難點在于數(shù)據(jù)出境的方式有很多種,,可能通過外部應(yīng)用直接給到用戶在海外使用,,可能通過API接口的方式進行數(shù)據(jù)的對接,,也有可能在數(shù)據(jù)庫和大數(shù)據(jù)平臺上,。面對這種復(fù)雜場景,,需要在技術(shù)上建立完善的體系,,對所有數(shù)據(jù)進行跨境交互,,出境時進行有效監(jiān)測,。
舉例說明,,假設(shè)客戶和海外簽訂了合同,,需要中國某些省份的數(shù)據(jù)對外交互,,合同時限一年。實際上一年之后已經(jīng)沒有人關(guān)注這件事,,接口沒有取消,,數(shù)據(jù)依舊可調(diào)用。假設(shè)研發(fā)在共享設(shè)定時圖省事,未按約定開放特定省份,,而開放的是全國數(shù)據(jù)的共享和跨境,。這些具體問題在最開始制定規(guī)則和協(xié)議的時候無法預(yù)見,卻在實際運營中存在相當(dāng)大的風(fēng)險,。紅途科技從技術(shù)上可實現(xiàn)出境數(shù)據(jù)從流程性合規(guī)進入到實質(zhì)性的合規(guī),,提供真實有效的數(shù)據(jù)輸入,且對跨境數(shù)據(jù)實時監(jiān)測,。
場景3 - 隱私政策管理
眾所周知,,企業(yè)在網(wǎng)站、手機APP的不同節(jié)點,,收集用戶數(shù)據(jù)時,,都會先做隱私政策管理。但真正運營過程中還會遇到很多問題,。舉個例子,,一個大型集團下屬有不同業(yè)務(wù),會有不同的渠道與用戶交互,。在不同的渠道進行發(fā)布的時候,,一個版本的隱私聲明就夠嗎?還是不同業(yè)務(wù)會產(chǎn)生不同的版本的隱私聲明,?每一個版本用戶什么時候點擊,,是否接受,,接受的聲明內(nèi)容是什么,?
紅途科技通過技術(shù)手段幫助企業(yè)解決這一難題,如:文本如何編輯的問題,。隨著業(yè)務(wù)的發(fā)展變化把法律要求和具體的場景編入到不同的場景和法律合規(guī)的協(xié)議中。將這些模板預(yù)制到不同的國家,、不同的業(yè)務(wù),,不同的渠道中去,,每個用戶點擊的記錄,,有第三方公證。當(dāng)出現(xiàn)問題的時候,,能提供有力證明,以及用戶統(tǒng)計的時候能找出哪些渠道,,哪些環(huán)境,,用戶的點擊率會更高或更低,。通過法律文本的修改甚至是交互,,讓更多的用戶來接受相關(guān)協(xié)議,。這就是紅途科技在技術(shù)側(cè)落地的工作。
場景4 - Cookie管理
Cookie是指的企業(yè)在網(wǎng)站上通過相關(guān)程序來收集信息的一些組件,。有這些組件時,,一些基礎(chǔ)信息在網(wǎng)站上使用會更順暢,。但大家可能并不知道全球存在的Cookie有幾萬個,,每一個網(wǎng)站可能都用了大量的第三方Cookie組件,。對于開發(fā)或系統(tǒng)管理人員,,Cookie只是一種讓網(wǎng)站用起來更順暢的工具,。但Cookie來自于哪個組織,,能收集到哪些數(shù)據(jù),,收集的數(shù)據(jù)如何向國內(nèi)外的第三方進行交付,。實際上是絕大多數(shù)的網(wǎng)站開發(fā)的同事并不會關(guān)心也并不清楚的問題。
紅途科技針對全球幾萬個不同的主體進行了相關(guān)分析處理,,清楚的知道網(wǎng)站到底有哪些不同類型的Cookie,,會收集什么樣的數(shù)據(jù),幫助企業(yè)在做網(wǎng)站管理時有一個更好匹配,,讓用戶知道到底有哪些信息被收集了,,這些數(shù)據(jù)有沒有出境,有沒有被違規(guī)的使用,。這一實現(xiàn)過程需要積累數(shù)據(jù),,包括對于所有數(shù)據(jù)收集的這些組件的行為管理,讓企業(yè)在發(fā)布不同的隱私聲明后能實際落地的一個至關(guān)重要的保障,。
場景5 - 最小化采集
假設(shè)隱私聲明上面寫了十類數(shù)據(jù)的收集,,隨著業(yè)務(wù)的變化,系統(tǒng)收集的數(shù)據(jù)和隱私聲明上面寫的是否一致,。如果品類一致的情況下,,有沒有做到最小限度地收集。這個問題涉及兩個層面,,第一,,實際收集的節(jié)點和過程是否一致,,需要有實時監(jiān)控和持續(xù)發(fā)現(xiàn)的能力。第二,,使用的場景,,很多數(shù)據(jù)是在不同的業(yè)務(wù)中使用,尤其是一些有規(guī)模的公司有自己的大數(shù)據(jù)平臺來供不同的業(yè)務(wù)使用,,那么在調(diào)轉(zhuǎn)這些數(shù)據(jù)的時候,,和隱私聲明寫的業(yè)務(wù)范圍是否一致。
而實際調(diào)查中,,很多的情況是未知的,,尤其是進入到一些數(shù)據(jù)節(jié)點之后,有沒有被一些不在隱私聲明范圍的業(yè)務(wù)使用也會是一個問題,。如何解決呢,?
紅途科技做了兩個方面的技術(shù)突破,,首先,,數(shù)據(jù)采集側(cè)隱私聲明如何寫,對于隱私聲明和實際收集的數(shù)據(jù)有持續(xù)監(jiān)控的能力,。其次,,紅途科技的數(shù)據(jù)流轉(zhuǎn)地圖可跟蹤數(shù)據(jù)從產(chǎn)生后,經(jīng)過哪些系統(tǒng),、哪些節(jié)點,、哪些人,可以通過數(shù)據(jù)的流轉(zhuǎn)觀測數(shù)據(jù)實際被使用的真實情況,,解決不同的業(yè)務(wù)場景中最小化采集問題,。所以,最小化采集不僅是一個法律條款,,而且是運營過程中數(shù)據(jù)持續(xù)可控的過程保障,。
場景6 - 報告、響應(yīng),、處置數(shù)據(jù)泄露事件
最后,,關(guān)于數(shù)據(jù)出現(xiàn)問題后,如何溯源,,如何自證清白,。舉一個案例,有些客戶在媒體上出現(xiàn)了負(fù)面新聞,,內(nèi)容是在暗網(wǎng)發(fā)現(xiàn)了公司的數(shù)據(jù)在被買賣,,對此,網(wǎng)信辦或公安機關(guān)會進行問詢和調(diào)查,。這個數(shù)據(jù)到底是不是公司的,,在公司哪些地方,,通過什么渠道泄露,這是一個完整的數(shù)據(jù)調(diào)查過程,。當(dāng)回答不清晰的時候,,輿論發(fā)酵,直接影響公司股價,,監(jiān)管方也會更多的介入,。對于企業(yè)利益和名譽都是極大的損失。
如何對數(shù)據(jù)進行更好的溯源,?紅途科技的技術(shù)手段能實現(xiàn)雙向溯源,,從人到數(shù)據(jù),從數(shù)據(jù)到人,。當(dāng)某員工離職的時候,,訪問過哪些系統(tǒng),哪些功能,,看到過哪些敏感的數(shù)據(jù),,可以按照這個順序進行正向的數(shù)據(jù)溯源。一個數(shù)據(jù)或者一個數(shù)據(jù)集被販賣,,被監(jiān)管發(fā)現(xiàn)存在風(fēng)險的時候,,企業(yè)可以完整的回答數(shù)據(jù)在哪些數(shù)據(jù)庫以及大數(shù)據(jù)平臺分布和存儲,從數(shù)據(jù)采集到出現(xiàn)安全事件的這一段時間內(nèi),,哪些應(yīng)用通過什么樣的鏈路調(diào)轉(zhuǎn)給這個數(shù)據(jù),,哪些人使用了這個數(shù)據(jù),在最快的時間內(nèi)自動化生成報告,,讓用戶清楚知道數(shù)據(jù)的真實狀態(tài),。
以上分享了合規(guī)的六大場景,都是現(xiàn)在法律合規(guī)角度出現(xiàn)的新內(nèi)容,,與以往的網(wǎng)絡(luò)安全不同,。網(wǎng)絡(luò)安全是以攻防的角度來發(fā)現(xiàn)問題,發(fā)現(xiàn)漏洞以及如何修復(fù),。今天談隱私合規(guī),,是以數(shù)據(jù)為基礎(chǔ),掌握數(shù)據(jù)的可觀測性便有把握回答這些全新的業(yè)務(wù)場景,。紅途科技提供的合規(guī)體系,,是以數(shù)據(jù)隱私治理為基礎(chǔ),對于以上談到的合規(guī)運營場景,,風(fēng)險場景,,事后的審計和溯源場景,提供一系列的合規(guī)解決方案,。
歡迎會后和大家進行更詳細(xì)的交流和溝通,,也希望有更多的機會跟大家合作,,謝謝!
紅途科技展臺實況
_1660204974.png)
系電話_1657091297.png)
_1657090934.png)
