2023-03-27
3月26日,由國內(nèi)知名的數(shù)據(jù)合規(guī)培訓機構(gòu)山竹梓豪主辦的2023 EXINDPO數(shù)據(jù)保護官年會在深圳成功舉辦,。紅途科技科技創(chuàng)始人,、總經(jīng)理劉新凱受邀參加并發(fā)表演講,分享了“用科技打造數(shù)據(jù)隱私合規(guī)體系”的主題演講,,分析了數(shù)據(jù)隱私合規(guī)行業(yè)發(fā)展趨勢,,企業(yè)面臨的挑戰(zhàn)、風險和需求,,深度講解了紅途科技的合規(guī)場景解決方案,。以下為演講實錄:
首先,從行業(yè)發(fā)展趨勢看,,有幾點重要變化,。
數(shù)據(jù)環(huán)境的變化:企業(yè)對數(shù)據(jù)的重要性不斷加強。早期,,企業(yè)是從商業(yè)秘密的角度來看待數(shù)據(jù),,而今,數(shù)據(jù)成為第五生產(chǎn)要素,,是國家基礎(chǔ)性戰(zhàn)略資源,,數(shù)據(jù)逐漸發(fā)展成像土地資產(chǎn)一樣的生產(chǎn)要素,是需要進行衡量,,交易的管理,。
合規(guī)環(huán)境的變化:國內(nèi)外法律法規(guī)逐步加強和細化。從2020年的上位法出臺,,到2022年,,不同行業(yè)的法律法規(guī)逐漸細化,出現(xiàn)了具體可實操的細則,,一些行業(yè)客戶正在加緊推進數(shù)據(jù)隱私合規(guī)的落地工作,。我們今天談到數(shù)據(jù)合規(guī)和以往不同,,以往的合規(guī)是需要法律和管理進行保障,而今的數(shù)據(jù)合規(guī)是需要大量的技術(shù)工作進行支撐,。
技術(shù)環(huán)境的變化:以前數(shù)據(jù)的生產(chǎn),、加工、傳輸,、共享是從PC端產(chǎn)生的一些非結(jié)構(gòu)化數(shù)據(jù),。隨著IOT設(shè)備、手持終端APP等一系列數(shù)據(jù)源的出現(xiàn),,數(shù)據(jù)的生產(chǎn),、存儲、使用,、交換場景發(fā)生很大變化,。第一,數(shù)據(jù)量激增,;第二,,數(shù)據(jù)的邊界在消失;第三,, IT基礎(chǔ)架構(gòu)環(huán)境愈發(fā)復雜,。那么數(shù)據(jù)到底在哪里,如何進行流轉(zhuǎn)和交換,,這些問題都不清楚的情況下,,我們再談隱私合規(guī),就像空中樓閣,,沒有實質(zhì)可運營的根基,。所以,從技術(shù)的角度來看,,必須解決這些底層的問題,,來保證合規(guī)體系可落地,且可持續(xù)運營,。
挑戰(zhàn),、風險、現(xiàn)狀和需求
數(shù)據(jù)的特點是快速流動,,如何能夠?qū)λ械臄?shù)據(jù)可觀測,,讓數(shù)據(jù)的使用過程透明化,亟待突破性的技術(shù)來解決,。企業(yè)需要實時動態(tài)可視的數(shù)據(jù)流轉(zhuǎn)地圖以感知數(shù)據(jù),,實際落地過程中,最大的一個難度是數(shù)據(jù)覆蓋的完整度,,當覆蓋完整度解決不了的時候,,風險可控和合規(guī)實際上是有缺失和不足的,。在工具產(chǎn)品和輔助人工的方面,以往通過標準的顧問訪談過程來梳理一個公司的數(shù)據(jù)和業(yè)務(wù)流程,,在覆蓋完整度和時效性上都是不足的,。比如訪談不同的人,會得到不同的訪談結(jié)果,。業(yè)務(wù)和系統(tǒng)隨時變化,,無法動態(tài)跟進。另外,,除了風險的快速識別,還有很多需求是出現(xiàn)問題后的自證清白,。怎樣保證數(shù)據(jù)使用過程中,,能夠滿足合規(guī)的要求,當出現(xiàn)數(shù)據(jù)泄露和風險的時候,,怎樣自證清白,,或是怎樣找到出現(xiàn)問題的地方?
紅途可以做什么
紅途科技從技術(shù)的角度根本性的解決企業(yè)面臨的風險和挑戰(zhàn),。我們首創(chuàng)的一個重要技術(shù)能力是實現(xiàn)對流轉(zhuǎn)數(shù)據(jù)的可觀測性,,即數(shù)據(jù)流轉(zhuǎn)地圖。在人員不介入的情況下,,能夠知道每一條數(shù)據(jù)如何進入公司,,進入每一套應用系統(tǒng),如何在不同國家地區(qū)之間調(diào)用和傳輸,,自動化繪制出數(shù)據(jù)流轉(zhuǎn)的路徑和地圖,,讓數(shù)據(jù)的運營狀態(tài)可觀測。
紅途科技構(gòu)建的整體數(shù)據(jù)隱私合規(guī)體系是以全鏈路數(shù)據(jù)流轉(zhuǎn)追蹤技術(shù)為底層科技能力,,對數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)管理,,風險洞察以及事后審計溯源。同時根據(jù)全球不同地區(qū)的法律法規(guī),,進行不同場景的合規(guī)落地,。
場景1 - 數(shù)據(jù)主體請求DSR
不同的法律法規(guī)都對DSR提出了相關(guān)要求。即主體請求從發(fā)現(xiàn),、訪問,、修訂、糾正,、限制,、刪除、導出,、接入等要滿足法律要求,。作為數(shù)據(jù)的采集和運營方,,對于個人隱私數(shù)據(jù)運營過程中,要給用戶提供標準的個人隱私入口,,能夠提交用戶請求,,且在指定的時間內(nèi)提供反饋。實際上,,這一過程也有很多挑戰(zhàn),。比如客戶數(shù)據(jù)進入公司后,都進入了哪些不同的事業(yè)群,,哪些不同的業(yè)務(wù),,有什么樣的應用系統(tǒng)支撐,存儲在哪里,,有沒有進入到公司的大數(shù)據(jù)平臺,,有沒有第三方的調(diào)用和分享。這就是數(shù)據(jù)分布及調(diào)用的完整性問題,,我們在回答DSR的這種報告和問題的時候,,實際是說不清楚的 。我們也訪談過很多不同領(lǐng)域的客戶,,普遍是通過管理手段和人工手段相結(jié)合的方式來操作,。當有用戶提DSR,企業(yè)通過人工的方式,,對于自己熟悉的系統(tǒng)場景進行梳理來提交報告,。而紅途科技從技術(shù)的角度解決數(shù)據(jù)的可觀測性問題,可以讓企業(yè)知道數(shù)據(jù)采集后給到哪些事業(yè)部,,給到哪些應用場景,,哪些應用。如此,,DSR的回答就會變成一個流程性工作,。
提交DSR給到數(shù)據(jù)處理人員,后臺系統(tǒng)自動提供用戶報告,,甚至是數(shù)據(jù)刪除拷貝這樣的技術(shù)動作給到前端,,也給用戶一個反饋,形成一個有效的閉環(huán),。保證我們在進行DSR場景的時候數(shù)據(jù)的完整性和有效性,,減少人工的投入以及人工帶來的風險。一旦企業(yè)提供給用戶的數(shù)據(jù)不全,,用戶發(fā)現(xiàn)問題,,那么企業(yè)在經(jīng)營上將面臨法律風險。所以,用技術(shù)工具解決DSR的場景,,可以幫助企業(yè)避免法律風險,。
場景2 - 數(shù)據(jù)跨境評估
隨著數(shù)據(jù)出境相關(guān)法律和細則的出臺,近期各個公司正在加緊數(shù)據(jù)跨境申報的工作,。數(shù)據(jù)如何出境,,有沒有簽署相關(guān)的協(xié)議,內(nèi)部如何管理,,有沒有制度等,,都需要從法律和流程制度的角度來完善。但實際的業(yè)務(wù)場景會提交很多具體數(shù)據(jù),,這些數(shù)據(jù)分布到了哪些業(yè)務(wù)和系統(tǒng),,在哪些地方存儲,數(shù)據(jù)量是多少,,通過哪些接口給到第三方,,給到第三方的法律條款的要求和實際提供的內(nèi)容是否相符等等。這些底層的基本信息是數(shù)據(jù)跨境申報以及在日常監(jiān)測過程中的關(guān)鍵,。
跨境場景中的難點在于數(shù)據(jù)出境的方式有很多種,可能通過外部應用直接給到用戶在海外使用,,可能通過API接口的方式進行數(shù)據(jù)的對接,,也有可能在數(shù)據(jù)庫和大數(shù)據(jù)平臺上。面對這種復雜場景,,需要在技術(shù)上建立完善的體系,,對所有數(shù)據(jù)進行跨境交互,,出境時進行有效監(jiān)測,。
舉例說明,,假設(shè)客戶和海外簽訂了合同,,需要中國某些省份的數(shù)據(jù)對外交互,,合同時限一年,。實際上一年之后已經(jīng)沒有人關(guān)注這件事,,接口沒有取消,,數(shù)據(jù)依舊可調(diào)用,。假設(shè)研發(fā)在共享設(shè)定時圖省事,,未按約定開放特定省份,而開放的是全國數(shù)據(jù)的共享和跨境,。這些具體問題在最開始制定規(guī)則和協(xié)議的時候無法預見,,卻在實際運營中存在相當大的風險。紅途科技從技術(shù)上可實現(xiàn)出境數(shù)據(jù)從流程性合規(guī)進入到實質(zhì)性的合規(guī),,提供真實有效的數(shù)據(jù)輸入,,且對跨境數(shù)據(jù)實時監(jiān)測。
場景3 - 隱私政策管理
眾所周知,,企業(yè)在網(wǎng)站,、手機APP的不同節(jié)點,,收集用戶數(shù)據(jù)時,都會先做隱私政策管理,。但真正運營過程中還會遇到很多問題,。舉個例子,一個大型集團下屬有不同業(yè)務(wù),,會有不同的渠道與用戶交互,。在不同的渠道進行發(fā)布的時候,一個版本的隱私聲明就夠嗎,?還是不同業(yè)務(wù)會產(chǎn)生不同的版本的隱私聲明,?每一個版本用戶什么時候點擊,是否接受,,接受的聲明內(nèi)容是什么,?
紅途科技通過技術(shù)手段幫助企業(yè)解決這一難題,如:文本如何編輯的問題,。隨著業(yè)務(wù)的發(fā)展變化把法律要求和具體的場景編入到不同的場景和法律合規(guī)的協(xié)議中,。將這些模板預制到不同的國家、不同的業(yè)務(wù),,不同的渠道中去,,每個用戶點擊的記錄,有第三方公證,。當出現(xiàn)問題的時候,,能提供有力證明,以及用戶統(tǒng)計的時候能找出哪些渠道,,哪些環(huán)境,,用戶的點擊率會更高或更低。通過法律文本的修改甚至是交互,,讓更多的用戶來接受相關(guān)協(xié)議,。這就是紅途科技在技術(shù)側(cè)落地的工作。
場景4 - Cookie管理
Cookie是指的企業(yè)在網(wǎng)站上通過相關(guān)程序來收集信息的一些組件,。有這些組件時,,一些基礎(chǔ)信息在網(wǎng)站上使用會更順暢。但大家可能并不知道全球存在的Cookie有幾萬個,,每一個網(wǎng)站可能都用了大量的第三方Cookie組件,。對于開發(fā)或系統(tǒng)管理人員,Cookie只是一種讓網(wǎng)站用起來更順暢的工具,。但Cookie來自于哪個組織,,能收集到哪些數(shù)據(jù),收集的數(shù)據(jù)如何向國內(nèi)外的第三方進行交付。實際上是絕大多數(shù)的網(wǎng)站開發(fā)的同事并不會關(guān)心也并不清楚的問題,。
紅途科技針對全球幾萬個不同的主體進行了相關(guān)分析處理,,清楚的知道網(wǎng)站到底有哪些不同類型的Cookie,會收集什么樣的數(shù)據(jù),,幫助企業(yè)在做網(wǎng)站管理時有一個更好匹配,,讓用戶知道到底有哪些信息被收集了,這些數(shù)據(jù)有沒有出境,,有沒有被違規(guī)的使用,。這一實現(xiàn)過程需要積累數(shù)據(jù),包括對于所有數(shù)據(jù)收集的這些組件的行為管理,,讓企業(yè)在發(fā)布不同的隱私聲明后能實際落地的一個至關(guān)重要的保障,。
場景5 - 最小化采集
假設(shè)隱私聲明上面寫了十類數(shù)據(jù)的收集,隨著業(yè)務(wù)的變化,,系統(tǒng)收集的數(shù)據(jù)和隱私聲明上面寫的是否一致,。如果品類一致的情況下,有沒有做到最小限度地收集,。這個問題涉及兩個層面,,第一,實際收集的節(jié)點和過程是否一致,,需要有實時監(jiān)控和持續(xù)發(fā)現(xiàn)的能力,。第二,使用的場景,,很多數(shù)據(jù)是在不同的業(yè)務(wù)中使用,尤其是一些有規(guī)模的公司有自己的大數(shù)據(jù)平臺來供不同的業(yè)務(wù)使用,,那么在調(diào)轉(zhuǎn)這些數(shù)據(jù)的時候,,和隱私聲明寫的業(yè)務(wù)范圍是否一致。
而實際調(diào)查中,,很多的情況是未知的,,尤其是進入到一些數(shù)據(jù)節(jié)點之后,有沒有被一些不在隱私聲明范圍的業(yè)務(wù)使用也會是一個問題,。如何解決呢,?
紅途科技做了兩個方面的技術(shù)突破,首先,,數(shù)據(jù)采集側(cè)隱私聲明如何寫,,對于隱私聲明和實際收集的數(shù)據(jù)有持續(xù)監(jiān)控的能力。其次,,紅途科技的數(shù)據(jù)流轉(zhuǎn)地圖可跟蹤數(shù)據(jù)從產(chǎn)生后,,經(jīng)過哪些系統(tǒng)、哪些節(jié)點、哪些人,,可以通過數(shù)據(jù)的流轉(zhuǎn)觀測數(shù)據(jù)實際被使用的真實情況,,解決不同的業(yè)務(wù)場景中最小化采集問題。所以,,最小化采集不僅是一個法律條款,,而且是運營過程中數(shù)據(jù)持續(xù)可控的過程保障。
場景6 - 報告,、響應,、處置數(shù)據(jù)泄露事件
最后,關(guān)于數(shù)據(jù)出現(xiàn)問題后,,如何溯源,,如何自證清白。舉一個案例,,有些客戶在媒體上出現(xiàn)了負面新聞,,內(nèi)容是在暗網(wǎng)發(fā)現(xiàn)了公司的數(shù)據(jù)在被買賣,對此,,網(wǎng)信辦或公安機關(guān)會進行問詢和調(diào)查,。這個數(shù)據(jù)到底是不是公司的,在公司哪些地方,,通過什么渠道泄露,,這是一個完整的數(shù)據(jù)調(diào)查過程。當回答不清晰的時候,,輿論發(fā)酵,,直接影響公司股價,監(jiān)管方也會更多的介入,。對于企業(yè)利益和名譽都是極大的損失,。
如何對數(shù)據(jù)進行更好的溯源?紅途科技的技術(shù)手段能實現(xiàn)雙向溯源,,從人到數(shù)據(jù),,從數(shù)據(jù)到人。當某員工離職的時候,,訪問過哪些系統(tǒng),,哪些功能,看到過哪些敏感的數(shù)據(jù),,可以按照這個順序進行正向的數(shù)據(jù)溯源,。一個數(shù)據(jù)或者一個數(shù)據(jù)集被販賣,被監(jiān)管發(fā)現(xiàn)存在風險的時候,,企業(yè)可以完整的回答數(shù)據(jù)在哪些數(shù)據(jù)庫以及大數(shù)據(jù)平臺分布和存儲,,從數(shù)據(jù)采集到出現(xiàn)安全事件的這一段時間內(nèi),,哪些應用通過什么樣的鏈路調(diào)轉(zhuǎn)給這個數(shù)據(jù),哪些人使用了這個數(shù)據(jù),,在最快的時間內(nèi)自動化生成報告,,讓用戶清楚知道數(shù)據(jù)的真實狀態(tài)。
以上分享了合規(guī)的六大場景,,都是現(xiàn)在法律合規(guī)角度出現(xiàn)的新內(nèi)容,,與以往的網(wǎng)絡(luò)安全不同。網(wǎng)絡(luò)安全是以攻防的角度來發(fā)現(xiàn)問題,,發(fā)現(xiàn)漏洞以及如何修復,。今天談隱私合規(guī),是以數(shù)據(jù)為基礎(chǔ),,掌握數(shù)據(jù)的可觀測性便有把握回答這些全新的業(yè)務(wù)場景,。紅途科技提供的合規(guī)體系,是以數(shù)據(jù)隱私治理為基礎(chǔ),,對于以上談到的合規(guī)運營場景,,風險場景,事后的審計和溯源場景,,提供一系列的合規(guī)解決方案,。
歡迎會后和大家進行更詳細的交流和溝通,也希望有更多的機會跟大家合作,,謝謝,!
紅途科技展臺實況
_1660204974.png)
系電話_1657091297.png)
_1657090934.png)
