2023-02-14
近日,有媒體曝出,,12日晚Telegram多個頻道大面積轉(zhuǎn)發(fā)某查詢機器人鏈接,可查詢國內(nèi)個人寄遞隱私數(shù)據(jù),,包括姓名、電話和地址等敏感字段,數(shù)據(jù)量高達45億條,。
近年來,大規(guī)模的數(shù)據(jù)泄露事件多次發(fā)生,,侵犯公民個人隱私信息,、危害數(shù)據(jù)安全的情況呈現(xiàn)出多發(fā)態(tài)勢。雖然國家先后出臺《數(shù)據(jù)安全法》和《個人信息保護法》,,發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》(征求意見稿)和《關(guān)于開展數(shù)據(jù)安全管理認證工作的公告》,,從法律法規(guī)到落地層面強化數(shù)據(jù)隱私合規(guī)的監(jiān)管力度,但是企業(yè)在實際落地過程中依然會存在種種問題,,總的來說,,主要有以下幾點:
意識轉(zhuǎn)變不足
以往企業(yè)進行安全建設(shè)時,大多基于風險視角,,通過邊界式層層管控提升防護水平,。數(shù)字經(jīng)濟時代,數(shù)據(jù)體量急劇增加,、數(shù)據(jù)類型不斷擴展,、數(shù)據(jù)流轉(zhuǎn)愈發(fā)頻繁,數(shù)據(jù)呈無邊界的狀態(tài),,邊界式管控手段會變得捉襟見肘,,因此企業(yè)需要轉(zhuǎn)變的第一個意識就是數(shù)據(jù)視角。此外,,企業(yè)需要轉(zhuǎn)變的第二個意識是合規(guī)視角,,安全不代表合規(guī)但是可以支撐合規(guī),同時合規(guī)可以指引安全,。最后,,縱觀近幾年數(shù)據(jù)泄露事件,我們可以看到應(yīng)用系統(tǒng)側(cè)泄露占比越來越高,,究其原因是數(shù)據(jù)使用和流轉(zhuǎn)過程越來越頻繁,,使得該部分風險敞口增大,因此第三個意識就是全鏈路視角,,用戶訪問或應(yīng)用調(diào)用產(chǎn)生的數(shù)據(jù)流轉(zhuǎn)鏈路是企業(yè)數(shù)據(jù)隱私合規(guī)能力建設(shè)需要重點關(guān)注的環(huán)節(jié),。
數(shù)據(jù)資產(chǎn)不清
數(shù)據(jù)資產(chǎn)除了數(shù)據(jù),還包括數(shù)據(jù)使用和流轉(zhuǎn)過程中的用戶,、應(yīng)用和數(shù)據(jù)庫資產(chǎn),,這是數(shù)據(jù)隱私合規(guī)能力建設(shè)的基礎(chǔ)。企業(yè)需要全面的發(fā)現(xiàn)數(shù)據(jù),,進而落實數(shù)據(jù)分類分級工作,,接下來針對企業(yè)關(guān)心的敏感數(shù)據(jù)實現(xiàn)過程動態(tài)監(jiān)測,包括這些數(shù)據(jù)被哪些用戶訪問,流經(jīng)哪些應(yīng)用系統(tǒng)和接口,,最終來自哪些數(shù)據(jù)庫庫表,。隨著企業(yè)數(shù)字化轉(zhuǎn)型,越來越多的服務(wù)采用線上化,,應(yīng)用系統(tǒng),、數(shù)據(jù)調(diào)用和流轉(zhuǎn)變得更加龐雜,加之越來越多的企業(yè)采用混合云架構(gòu)和微服務(wù)框架,,這些對于企業(yè)數(shù)據(jù)資產(chǎn)梳理工作都造成不小的挑戰(zhàn),。
動態(tài)閉環(huán)不足
數(shù)據(jù)隱私合規(guī)是動態(tài)的,當前合規(guī)不代表永遠合規(guī),。一方面,,動態(tài)運營能力的缺失,,使得企業(yè)無法實時掌握數(shù)據(jù)隱私合規(guī)狀態(tài),從而落入盲盒式合規(guī)的境地。另一方面,,由于工具或者能力的耦合性較弱,,使得閉環(huán)能力不足,,比如分類分級結(jié)果無法直接有效運用,,風險預警信息難以精準聚合,定位溯源需要跨越多個工具等,,使得事前,、事中和事后環(huán)節(jié)處置脫節(jié),無法有效降低數(shù)據(jù)隱私合規(guī)風險,,而且運營成本高,。
紅途科技提出的全鏈路數(shù)據(jù)隱私合規(guī)解決方案,明確以數(shù)據(jù)為中心,,在法律法規(guī)的指引下,,依托“API級數(shù)據(jù)全鏈路追蹤”能力,以數(shù)據(jù)隱私治理為基礎(chǔ),,滿足合規(guī)全場景,。
01
數(shù)據(jù)隱私治理
作為重要底盤能力,數(shù)據(jù)隱私治理可以實現(xiàn)全域API和數(shù)據(jù)庫側(cè)數(shù)據(jù)啟動發(fā)現(xiàn),;基于實際業(yè)務(wù)活動,,追蹤API級數(shù)據(jù)傳輸鏈路,自動繪制數(shù)據(jù)流轉(zhuǎn)地圖,;實現(xiàn)用戶賬號,、內(nèi)外部API資產(chǎn)、數(shù)據(jù)庫(表)和數(shù)據(jù)在內(nèi)的數(shù)據(jù)資產(chǎn)動態(tài)管理,;同時支持個人隱私數(shù)據(jù)(如姓名,、電話,、地址等)和企業(yè)經(jīng)營數(shù)據(jù)(如薪酬、成本,、庫存等)在內(nèi)的全類型數(shù)據(jù)分類分級,。通過全面掌握數(shù)據(jù)資產(chǎn),一方面企業(yè)在應(yīng)對監(jiān)管審查時自證清白更加容易,,另一方面防護能力建設(shè)時更加有的放矢,。
02
數(shù)據(jù)隱私合規(guī)運營
作為事前重要環(huán)節(jié),數(shù)據(jù)隱私運營產(chǎn)品針對數(shù)據(jù)主體請求,、數(shù)據(jù)出境、數(shù)據(jù)共享,、隱私聲明,、最小化采集和同意偏好管理等典型合規(guī)場景,幫助企業(yè)構(gòu)建自動化,、智能化數(shù)據(jù)隱私合規(guī)一站式運營能力,,一套機制全面覆蓋,助力客戶數(shù)據(jù)隱私合規(guī)遵從,。
03
數(shù)據(jù)隱私風險管理
基于數(shù)據(jù)流轉(zhuǎn)全鏈路核心能力,,數(shù)據(jù)隱私風險管理產(chǎn)品專注數(shù)據(jù)在使用和流轉(zhuǎn)過程中的風險情況,圍繞用戶,、應(yīng)用,、數(shù)據(jù)庫和數(shù)據(jù)等多維數(shù)據(jù)資產(chǎn)進行高維數(shù)據(jù)關(guān)聯(lián),不僅可以靜態(tài)監(jiān)測API資產(chǎn)脆弱性風險,,更可以通過聚合分析發(fā)現(xiàn)數(shù)據(jù)使用和流轉(zhuǎn)過程中的動態(tài)風險,,實現(xiàn)應(yīng)用側(cè)數(shù)據(jù)泄漏風險預警。
04
數(shù)據(jù)隱私處理活動記錄
處理活動記錄產(chǎn)品無需應(yīng)用系統(tǒng)埋點改造即可實現(xiàn)用戶訪問日志動態(tài)采集能力,,能夠幫助用戶快速構(gòu)建全要素審計溯源能力,,一旦發(fā)生數(shù)據(jù)泄露事件,結(jié)合用戶,、應(yīng)用,、數(shù)據(jù)庫和數(shù)據(jù)四層關(guān)聯(lián)審計日志,可以快速實現(xiàn)問題定位,,提高事件處置效率,,快速收斂風險。
_1660204974.png)
系電話_1657091297.png)
_1657090934.png)
