廣州江南科友科技股份有限公司

一則“男子戴頭盔看房”的小視頻引發(fā)網(wǎng)絡(luò)熱議，某售樓機(jī)構(gòu)采用人臉識(shí)別系統(tǒng)進(jìn)行客戶(hù)信息自動(dòng)化收集和分類(lèi)，某男子為了保護(hù)自己的合法隱私權(quán)益，竟然頭戴頭盔進(jìn)售樓處看房。消費(fèi)者在不知情下被采集人臉信息，而我國(guó)法規(guī)有明確規(guī)定，收集、使用個(gè)人信息必需經(jīng)被收集者同意，售樓機(jī)構(gòu)殊不知擅自采集人臉信息涉嫌違法行為，由此引發(fā)社會(huì)廣泛關(guān)注。

（圖片來(lái)自網(wǎng)絡(luò)）

人臉信息作為生物特征，是個(gè)人敏感信息的重要組成部分。隨著互聯(lián)網(wǎng)快速發(fā)展，每個(gè)用戶(hù)都會(huì)安裝使用很多應(yīng)用程序，為了方便用戶(hù)的使用，貼合用戶(hù)的使用習(xí)慣，應(yīng)用程序也采取許多無(wú)密碼認(rèn)證的創(chuàng)新方法，比如指紋、人臉識(shí)別等認(rèn)證手段，而一旦人臉信息被泄露或者非法濫用，會(huì)對(duì)個(gè)人造成非常不良的影響。下圖中羅列的敏感信息用途基本囊括了個(gè)人社會(huì)活動(dòng)的所有范圍：

隨著公民對(duì)隱私數(shù)據(jù)的保護(hù)意識(shí)越來(lái)越強(qiáng)，國(guó)家對(duì)隱私數(shù)據(jù)保護(hù)法律的不斷健全，隱私數(shù)據(jù)保護(hù)的重要性不言而喻。

網(wǎng)絡(luò)安全法

《中華人民共和國(guó)網(wǎng)絡(luò)安全法》明確規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄漏、篡改、毀損其收集的個(gè)人信息；未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄漏、毀損、丟失。

等級(jí)保護(hù)

要求三級(jí)以上系統(tǒng)應(yīng)采用加密或其他有效措施實(shí)現(xiàn)系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)保密性。

民法典

2021年起實(shí)施的《中華人民共和國(guó)民法典》規(guī)定，任何組織或者個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買(mǎi)賣(mài)、提供或者公開(kāi)他人個(gè)人信息。

在圍繞5G、大數(shù)據(jù)、物聯(lián)網(wǎng)等的“新基建”背景下，互聯(lián)網(wǎng)將成為所有行業(yè)的基礎(chǔ)設(shè)施，安全問(wèn)題將跨平臺(tái)、跨業(yè)務(wù)出現(xiàn)，數(shù)據(jù)安全問(wèn)題也會(huì)越來(lái)越復(fù)雜，而線(xiàn)上線(xiàn)下融合的時(shí)代背景下，面臨著專(zhuān)業(yè)的安全威脅者更加復(fù)雜而多層次多角度的安全攻擊。機(jī)構(gòu)數(shù)據(jù)泄露等安全威脅的影響逐步從機(jī)構(gòu)內(nèi)轉(zhuǎn)移擴(kuò)大至行業(yè)間，甚至影響國(guó)家安全、社會(huì)秩序、公眾利益與金融市場(chǎng)穩(wěn)定。

如何做好隱私數(shù)據(jù)保護(hù)呢，從三個(gè)主要方面來(lái)保障數(shù)據(jù)安全：數(shù)據(jù)分類(lèi)分級(jí)保護(hù)、身份識(shí)別與訪(fǎng)問(wèn)管理、安全合規(guī)評(píng)價(jià)機(jī)制。

一、數(shù)據(jù)分類(lèi)分級(jí)和保護(hù)

作為隱私數(shù)據(jù)保護(hù)的重要基礎(chǔ)，首先是對(duì)數(shù)據(jù)采取分級(jí)分類(lèi)和針對(duì)不同級(jí)別實(shí)施相應(yīng)措施。在2020年Gartner安全和風(fēng)險(xiǎn)管理峰會(huì)上，提出了數(shù)據(jù)分類(lèi)和保護(hù)。數(shù)據(jù)復(fù)雜多樣，對(duì)數(shù)據(jù)實(shí)施分級(jí)管理，能夠進(jìn)一步明確數(shù)據(jù)保護(hù)對(duì)象，有助于機(jī)構(gòu)合理分配數(shù)據(jù)保護(hù)資源和成本，是機(jī)構(gòu)建立完善的生命周期數(shù)據(jù)保護(hù)框架的基礎(chǔ)，也是有的放矢地實(shí)施數(shù)據(jù)安全管理的前提條件。同時(shí)，統(tǒng)一的數(shù)據(jù)分級(jí)管理制度，能夠促進(jìn)數(shù)據(jù)在機(jī)構(gòu)間、行業(yè)間的安全共享，有利于行業(yè)數(shù)據(jù)價(jià)值的挖掘與實(shí)現(xiàn)。

行業(yè)數(shù)據(jù)分類(lèi)分級(jí)，可以根據(jù)不同級(jí)別的數(shù)據(jù)采用不同的保護(hù)策略。

比如重要信息系統(tǒng)里的4級(jí)數(shù)據(jù)（包含個(gè)人銀行卡數(shù)據(jù)、賬戶(hù)登錄信息、個(gè)人生物識(shí)別信息等），需要保證從數(shù)據(jù)采集、傳輸、存儲(chǔ)等全過(guò)程數(shù)據(jù)機(jī)密性和完整性。

3級(jí)數(shù)據(jù)（個(gè)人基本信息、個(gè)人聯(lián)系信息、單位信息），需要保證數(shù)據(jù)存儲(chǔ)和使用安全！

二、身份識(shí)別與訪(fǎng)問(wèn)管理

企業(yè)數(shù)字化轉(zhuǎn)型面臨著巨大的安全威脅，而這些安全威脅大多源自身份數(shù)據(jù)泄露。如何保證企業(yè)數(shù)據(jù)的安全，更多的要依賴(lài)于零信任的安全架構(gòu)，需要做好身份與訪(fǎng)問(wèn)管理。

針對(duì)敏感數(shù)據(jù)的使用，要確保數(shù)據(jù)的權(quán)屬屬于應(yīng)用系統(tǒng)本身，規(guī)避超級(jí)用戶(hù)越權(quán)訪(fǎng)問(wèn)，同時(shí)實(shí)現(xiàn)對(duì)管理人員的身份、權(quán)限、操作審計(jì)管理。使用戶(hù)在網(wǎng)上也能夠以“親自證明”的方式對(duì)自己進(jìn)行身份驗(yàn)證。用戶(hù)可以存儲(chǔ)自己的個(gè)人識(shí)別數(shù)據(jù)，而不必將其提交到某個(gè)公司管理的集中化數(shù)據(jù)庫(kù)中，因?yàn)槿绻@些公司被黑客入侵，數(shù)據(jù)泄露將不可避免。

需要實(shí)現(xiàn)生產(chǎn)交易系統(tǒng)自身、與系統(tǒng)間、系統(tǒng)遠(yuǎn)程運(yùn)維等區(qū)域的身份鑒別、數(shù)據(jù)傳輸完整性、防抵賴(lài)，保證數(shù)據(jù)的傳輸安全，遠(yuǎn)程用戶(hù)可以輕松地訪(fǎng)問(wèn)其工具，他們只需使用一次登錄（SSO）即可訪(fǎng)問(wèn)工作所需的最小資源。

三、安全合規(guī)評(píng)價(jià)機(jī)制

企業(yè)通過(guò)識(shí)別和整改數(shù)據(jù)安全風(fēng)險(xiǎn)及問(wèn)題，逐步完善權(quán)限管理和數(shù)據(jù)安全評(píng)估等管控流程，嚴(yán)格遵循相關(guān)監(jiān)管要求，建立健全數(shù)據(jù)安全合規(guī)評(píng)價(jià)機(jī)制，不斷地修復(fù)安全漏洞，提升數(shù)據(jù)安全防護(hù)的能力，滿(mǎn)足合規(guī)審計(jì)要求。

例如，某通訊公司建設(shè)合規(guī)體系實(shí)踐，公司將隱私保護(hù)合規(guī)與企業(yè)發(fā)展戰(zhàn)略相匹配，形成業(yè)務(wù)單位積極配合、全員合規(guī)意識(shí)自驅(qū)和整體合規(guī)文化融入的建設(shè)局面。契合通信行業(yè)特點(diǎn)，匹配內(nèi)部風(fēng)險(xiǎn)偏好和外部監(jiān)管環(huán)境，建立完整的合規(guī)體系，實(shí)施系統(tǒng)的風(fēng)險(xiǎn)控制。合規(guī)體系保障商業(yè)可持續(xù)發(fā)展，幫助企業(yè)樹(shù)立合規(guī)標(biāo)桿和合規(guī)品牌，不僅僅是法律遵從，更是信任共建和道德履行的重要基線(xiàn)。

隨著與數(shù)據(jù)安全、網(wǎng)絡(luò)安全等相關(guān)的第三方檢測(cè)機(jī)構(gòu)檢測(cè)方法不斷完善，數(shù)據(jù)保護(hù)的需求也會(huì)越來(lái)越迫切，整個(gè)數(shù)據(jù)保護(hù)的市場(chǎng)也會(huì)越來(lái)越大，這對(duì)于我們來(lái)說(shuō)也充滿(mǎn)了機(jī)遇和挑戰(zhàn)。

總而言之，互聯(lián)網(wǎng)技術(shù)普及推動(dòng)社會(huì)發(fā)展，同時(shí)為企業(yè)和個(gè)人信息保護(hù)帶來(lái)了新的挑戰(zhàn)，因隱私數(shù)據(jù)泄露所引發(fā)的侵權(quán)、欺詐等信息犯罪行為日益嚴(yán)重，已為全社會(huì)造成巨大損失，嚴(yán)重影響社會(huì)安定。社會(huì)各行各業(yè)也肩負(fù)公民隱私數(shù)據(jù)保護(hù)的責(zé)任，不僅是對(duì)法律法規(guī)的重視，也是對(duì)公民權(quán)利的尊重。企業(yè)隱私數(shù)據(jù)保護(hù)水平提升的牽涉面很廣，需要從員工安全意識(shí)、數(shù)據(jù)分類(lèi)及存儲(chǔ)、數(shù)據(jù)使用、管理審計(jì)等眾多方面進(jìn)行系統(tǒng)性的加強(qiáng)，而我們認(rèn)為其中數(shù)據(jù)分類(lèi)分級(jí)保護(hù)、身份識(shí)別與訪(fǎng)問(wèn)管理、安全合規(guī)評(píng)價(jià)機(jī)制這三項(xiàng)則是重要的基礎(chǔ)性工作，能有效的幫助企業(yè)快速提升隱私數(shù)據(jù)安全保護(hù)水平。

江南科友專(zhuān)注數(shù)據(jù)保護(hù)，在身份與權(quán)限、數(shù)據(jù)隱秘、合規(guī)、安全可視化、云安全五大專(zhuān)業(yè)領(lǐng)域提供安全解決方案，愿與志同道合的伙伴共同探討企業(yè)隱私數(shù)據(jù)安全保護(hù)，共筑數(shù)據(jù)資產(chǎn)的守護(hù)長(zhǎng)城。