2023-02-14
近日,,有媒體曝出,,12日晚Telegram多個頻道大面積轉(zhuǎn)發(fā)某查詢機器人鏈接,可查詢國內(nèi)個人寄遞隱私數(shù)據(jù),,包括姓名,、電話和地址等敏感字段,數(shù)據(jù)量高達45億條,。
近年來,,大規(guī)模的數(shù)據(jù)泄露事件多次發(fā)生,侵犯公民個人隱私信息,、危害數(shù)據(jù)安全的情況呈現(xiàn)出多發(fā)態(tài)勢,。雖然國家先后出臺《數(shù)據(jù)安全法》和《個人信息保護法》,發(fā)布《網(wǎng)絡數(shù)據(jù)安全管理條例》(征求意見稿)和《關(guān)于開展數(shù)據(jù)安全管理認證工作的公告》,,從法律法規(guī)到落地層面強化數(shù)據(jù)隱私合規(guī)的監(jiān)管力度,,但是企業(yè)在實際落地過程中依然會存在種種問題,,總的來說,主要有以下幾點:
意識轉(zhuǎn)變不足
以往企業(yè)進行安全建設時,,大多基于風險視角,,通過邊界式層層管控提升防護水平。數(shù)字經(jīng)濟時代,,數(shù)據(jù)體量急劇增加,、數(shù)據(jù)類型不斷擴展、數(shù)據(jù)流轉(zhuǎn)愈發(fā)頻繁,,數(shù)據(jù)呈無邊界的狀態(tài),,邊界式管控手段會變得捉襟見肘,因此企業(yè)需要轉(zhuǎn)變的第一個意識就是數(shù)據(jù)視角,。此外,,企業(yè)需要轉(zhuǎn)變的第二個意識是合規(guī)視角,安全不代表合規(guī)但是可以支撐合規(guī),,同時合規(guī)可以指引安全,。最后,縱觀近幾年數(shù)據(jù)泄露事件,,我們可以看到應用系統(tǒng)側(cè)泄露占比越來越高,究其原因是數(shù)據(jù)使用和流轉(zhuǎn)過程越來越頻繁,,使得該部分風險敞口增大,,因此第三個意識就是全鏈路視角,用戶訪問或應用調(diào)用產(chǎn)生的數(shù)據(jù)流轉(zhuǎn)鏈路是企業(yè)數(shù)據(jù)隱私合規(guī)能力建設需要重點關(guān)注的環(huán)節(jié),。
數(shù)據(jù)資產(chǎn)不清
數(shù)據(jù)資產(chǎn)除了數(shù)據(jù),,還包括數(shù)據(jù)使用和流轉(zhuǎn)過程中的用戶、應用和數(shù)據(jù)庫資產(chǎn),,這是數(shù)據(jù)隱私合規(guī)能力建設的基礎,。企業(yè)需要全面的發(fā)現(xiàn)數(shù)據(jù),進而落實數(shù)據(jù)分類分級工作,,接下來針對企業(yè)關(guān)心的敏感數(shù)據(jù)實現(xiàn)過程動態(tài)監(jiān)測,,包括這些數(shù)據(jù)被哪些用戶訪問,流經(jīng)哪些應用系統(tǒng)和接口,,最終來自哪些數(shù)據(jù)庫庫表,。隨著企業(yè)數(shù)字化轉(zhuǎn)型,越來越多的服務采用線上化,,應用系統(tǒng),、數(shù)據(jù)調(diào)用和流轉(zhuǎn)變得更加龐雜,加之越來越多的企業(yè)采用混合云架構(gòu)和微服務框架,,這些對于企業(yè)數(shù)據(jù)資產(chǎn)梳理工作都造成不小的挑戰(zhàn),。
動態(tài)閉環(huán)不足
數(shù)據(jù)隱私合規(guī)是動態(tài)的,,當前合規(guī)不代表永遠合規(guī)。一方面,,動態(tài)運營能力的缺失,,使得企業(yè)無法實時掌握數(shù)據(jù)隱私合規(guī)狀態(tài),從而落入盲盒式合規(guī)的境地,。另一方面,,由于工具或者能力的耦合性較弱,使得閉環(huán)能力不足,,比如分類分級結(jié)果無法直接有效運用,,風險預警信息難以精準聚合,定位溯源需要跨越多個工具等,,使得事前,、事中和事后環(huán)節(jié)處置脫節(jié),無法有效降低數(shù)據(jù)隱私合規(guī)風險,,而且運營成本高,。
紅途科技提出的全鏈路數(shù)據(jù)隱私合規(guī)解決方案,明確以數(shù)據(jù)為中心,,在法律法規(guī)的指引下,,依托“API級數(shù)據(jù)全鏈路追蹤”能力,以數(shù)據(jù)隱私治理為基礎,,滿足合規(guī)全場景,。
01
數(shù)據(jù)隱私治理
作為重要底盤能力,數(shù)據(jù)隱私治理可以實現(xiàn)全域API和數(shù)據(jù)庫側(cè)數(shù)據(jù)啟動發(fā)現(xiàn),;基于實際業(yè)務活動,,追蹤API級數(shù)據(jù)傳輸鏈路,自動繪制數(shù)據(jù)流轉(zhuǎn)地圖,;實現(xiàn)用戶賬號,、內(nèi)外部API資產(chǎn)、數(shù)據(jù)庫(表)和數(shù)據(jù)在內(nèi)的數(shù)據(jù)資產(chǎn)動態(tài)管理,;同時支持個人隱私數(shù)據(jù)(如姓名,、電話、地址等)和企業(yè)經(jīng)營數(shù)據(jù)(如薪酬,、成本,、庫存等)在內(nèi)的全類型數(shù)據(jù)分類分級。通過全面掌握數(shù)據(jù)資產(chǎn),,一方面企業(yè)在應對監(jiān)管審查時自證清白更加容易,,另一方面防護能力建設時更加有的放矢。
02
數(shù)據(jù)隱私合規(guī)運營
作為事前重要環(huán)節(jié),,數(shù)據(jù)隱私運營產(chǎn)品針對數(shù)據(jù)主體請求,、數(shù)據(jù)出境,、數(shù)據(jù)共享、隱私聲明,、最小化采集和同意偏好管理等典型合規(guī)場景,,幫助企業(yè)構(gòu)建自動化、智能化數(shù)據(jù)隱私合規(guī)一站式運營能力,,一套機制全面覆蓋,,助力客戶數(shù)據(jù)隱私合規(guī)遵從。
03
數(shù)據(jù)隱私風險管理
基于數(shù)據(jù)流轉(zhuǎn)全鏈路核心能力,,數(shù)據(jù)隱私風險管理產(chǎn)品專注數(shù)據(jù)在使用和流轉(zhuǎn)過程中的風險情況,,圍繞用戶、應用,、數(shù)據(jù)庫和數(shù)據(jù)等多維數(shù)據(jù)資產(chǎn)進行高維數(shù)據(jù)關(guān)聯(lián),,不僅可以靜態(tài)監(jiān)測API資產(chǎn)脆弱性風險,更可以通過聚合分析發(fā)現(xiàn)數(shù)據(jù)使用和流轉(zhuǎn)過程中的動態(tài)風險,,實現(xiàn)應用側(cè)數(shù)據(jù)泄漏風險預警,。
04
數(shù)據(jù)隱私處理活動記錄
處理活動記錄產(chǎn)品無需應用系統(tǒng)埋點改造即可實現(xiàn)用戶訪問日志動態(tài)采集能力,能夠幫助用戶快速構(gòu)建全要素審計溯源能力,,一旦發(fā)生數(shù)據(jù)泄露事件,,結(jié)合用戶、應用,、數(shù)據(jù)庫和數(shù)據(jù)四層關(guān)聯(lián)審計日志,,可以快速實現(xiàn)問題定位,提高事件處置效率,,快速收斂風險。
_1660204974.png)
系電話_1657091297.png)
_1657090934.png)
