打造全链路数据隐私合规平台
导读: 本文主题为打造全链路数据隐私合规平台,文中将探讨数字化转型背景下数据隐私合规的重要性,以及如何深层的思考和理解用户诉求,用创新的方式为企业数据隐私合规管理构建一个底层核心的重要能力-全链路数据隐私合规平台。
文章主要包括以下三部分:
-
背景介绍
-
构建全链路数据隐私合规平台
-
回顾和总结
分享嘉宾|李晓文 红途科技 解决方案专家
编辑整理|李晓 网易
出品社区|DataFun
01/背景介绍
首先介绍全链路数据隐私的背景。
1. 2022 年大数据十大关键词-数据安全在列
上图是 2022 大数据产业峰会上发布的 "2022 大数据十大关键词",十大关键词涉及数据从计算机语言到成为生产要素的全生命周期,这个周期从数据资源化、数据治理、数据资产化、数据开发应用、数据流通到数据要素市场,安全层面的"数据安全合规、数据分类分级"也已列入了十大关键词。而更早之前的《DAMA 数据管理知识体系指南》一书中的数据管理框架中,也将数据安全作为了成熟的数据管理知识领域之一。可以看到,无论是理论还是实践落地,都强调了当前组织持续发展的过程中数据隐私合规对于保障数据要素实现有价值流通的重要性。
2. 国内数据安全合规整体迈入新阶段
随着 2021 年《数据安全法》、《个人信息保护法》的颁布实施,标志着数据安全进入了依法建设的强监管时代。2022 年 1 月 12 日央行印发《金融科技发展规划( 2022-2025 年)》,数据要素是《规划》中新增的核心内容,数据要素被升级为金融业的生产要素,随着数字经济时代到来,金融各行业纷纷在进行数字化转型,在大数据的加持下,金融市场的估值定价、资产配置和风险管理等市场基础性功能无时无刻不依赖着数据。从 2020 年开始,央行、银保监会等金融部门,开始密集发布有关数据安全保护的规范规定,同时也加大了处罚力度。
金融行业随着数字化的转型,拥有海量数据,也承载数据的处理、分析和使用功能,而数据泄露、滥用、篡改等威胁的影响逐步从机构内转移扩大至机构间和行业间。如何在满足金融业务基本需求的基础上,强化数据保护能力,保障金融数据安全流动,已成为当前亟待解决的问题。
3. 金融数据安全 - 数据生命周期安全规范
上图是金融数据安全数据生命周期的规范,展现了数据安全架构。从《数据生命周期安全规范》的安全框架可以看到,需以数据安全分级为基础,建立覆盖数据生命周期全过程的安全防护体系,并通过建立健全数据安全组织架构和明确信息系统运维环节中的数据安全需求,全面加强金融行业数据安全保护能力。
4. 数据隐私合规面临的多种难点
经过分析和总结,金融机构在开展业务和经营管理活动的过程中主要会面临以下四个方面的难点:
(1)立法深化,面临挑战
随着立法的深化和监管要求的密集出台,如何快速的跟进和解读法律法规的具体要求?有着不同行业背景的合规部门、业务部门、安全部门如何能够更好的协同以带来更大的价值?与此同时合规是一个动态的过程,如何伴随业务持续运营?
(2)底盘不清,治理不足
假如在社交媒体上出现兜售数据的新闻,这个新闻指向的公司如何在第一时间回答这样的问题:公司是否真的存在数据泄露,如果没有,怎么证明?而面向监管要回答:数据在哪里?如何采集的,如何流转和存储的?如何基于法律法规、行业规范和企业内部的标准做了分类分级,并持续动态的管理和保护数据资产?如果没有对数据资产全面的治理能力,很难去答这些的问题。
(3)风险复杂,强化技术
网络安全的核心本质是和漏洞及脆弱性的对抗 ,**而数据安全基于网络安全保障基础之上,要明确梳理出有什么数据、在哪里和如何使用。**是在网络安全复杂的基础上又增加了多重的复杂性,既有外部攻击带来的数据暴露,又有内部违规带来的数据泄露,对数据的保密性、完整性和可用性均会带来破坏。
(4)完善机制,有效闭环
数据在交换、使用和流转的过程中实现了它的价值,这个过程中需要持续完善数据隐私合规的保护机制和预警机制,确保及时发现、分析和处置事件真正闭环,以在持续运营的过程中优化治理的能力和提升成熟度。
--
02/构建全链路数据隐私合规平台
1. 数据隐私合规科技能力框架
上图展示了数据隐私合规平台的科技能力框架,以满足组织战略发展、数据合规需求和满足数据安全需求为治理目标,须从点到线到面的构建数据隐私合规体系,以深度保障数据的长效价值。
其中,基于全链路绘制出数据流转地图,以实现对数据及数据流经对象也就是承载数据资产的数据库、应用和用户资产的数据隐私治理,并以此为底盘,实现事前保合规,事中管风险,事后可审计的多层次数据隐私合规的技术体系。
2. 数据隐私治理:梳理全域数据属性、流转及使用情况,全面掌握数据资产
数据来自于很多对象,有的来自于应用,有的来自于移动 APP,也有的来自于 IOT 设备。在产生或者是采集之后,为了实现自身的价值,数据会流经不同的应用、服务和接口,存储到不同的数据库,甚至汇总到数据湖,进而被其它一些业务系统所调用。
数字化转型过程中企业应用出现了数据流转"无边界"的趋势,数据在采集和产生后会流转到数据中心、云上甚至是境外。数据隐私全链路实时记录数据的流转过程,并绘制出一个完整的、细颗粒数据流转地图。每一条数据流转地图一旦被梳理清楚后,数据处于什么状态,经历了哪些不同的节点,就会一目了然。数据隐私治理是对全域数据属性、流转及使用情况全面的梳理,以全面掌握数据资产。
主要包括四大功能:
(1)数据发现
基于全链路的数据追踪技术,发现 API 侧的数据,数据库、数仓、大数据平台等的数据。
(2)数据流转地图
自动绘制数据流转地图形成 API 级的流转传输链路,包括链路上的应用、数据和数据库。
(3)数据的分类分级
通常企业在开展数据分类分级时一般由安全部门组织业务部门梳理业务系统、数据、数据库、表和字段等等,这是一个相对漫长和痛苦的过程,如果大家认知和理解不一致,容易造成分级理解和定义的不同,或高或低都会影响到后续保护措施的落地,而且每次梳理都会花很长的时间。但业务是动态发展的,因此数据资产的类别和级别也伴随业务发展而改变,如果依赖于人工,这样的数据资产梳理和分类分级很难实现真正意义上标准化和动态管理,而花费大量的时间,耗时耗力的梳理结果还不一定好。
基于数据链路发现的资产并进行数据的分类分级,除了大家通常理解的结构化和非结构化的数据,这里提出两个新的理念,一个是有特征数据,一个是无特征数据。有特征数据 是通过关键字、正则、语义分析等可以识别出的数据,比如手机、身份证我们可以称作有特征数据,而有特征数据大部分是和个人隐私有关的;无特征数据以企业经营数据为主,不能被传统模式识别,比如支付方式、订单金额等,而无特征数据难以通过传统工具或方法进行有效的识别。所以需要突破传统数据识别方法局限,通过创新的方式提供工具供业务人员在应用侧对无特征数据比如经营数据进行打标,从而帮助用户更快更完整的进行经营数据的资产管理。
另外平台提供的一次打标和全链路赋值的能力,介于很多数据并不是单纯存在于某一个系统中,有不同系统间的调用及数据流转过程。在调用的过程中,可以看到数据在很多应用、服务、API、数据库表字段都有存储,同一个数据在不同的数据库表的字段名可能不一样,采用数据库扫描的方式需要不断重复进行打标,而通过全链路数据流转追踪技术,假设一个系统已有一个数据的输入,当同一数据在不同系统之间进行调用存储时,只要在其中任一系统打标,这类数据流经的服务、API 和存储的所有库表字段就会同时完成打标,而这个打标过程能够真正落地实现统一的分类分级,是可运营基本保障。
(4)资产管理
不仅仅要管理数据本身,还要对数据的载体或访问主体的资产,包括账号、应用、服务、API、数据库资产进行动态持续管理。
3. 数据隐私风险管理:多维监测,及时发现数据安全风险
数据隐私合规平台可以进行多维的检测以及时发现数据安全的风险,如何进行多维的检测呢?以往在分析数据安全事件时,会基于某个切面来做,比如说基于用户的行为可以做一些 UEBA 的分析,应用前的 WAF。数据库有数据库防火墙,但是很难把几者关联其来,但是基于数据流转的全链路能力,我们可以综合用户、应用、数据库、数据关联起来分析,也就是基于多维进行分析,基于记录在平台上的用户账号、用户使用的浏览器及其版本等相关的信息,进行超过百维以上关联数据的分析,无论是内部违规或者外部攻击行为,可以形成更准确的风险告警。
上图中罗列了三大类主要的风险,分别是数据面临的异常访问行为风险 、应用面临的攻击风险 ,以及用户面临的账户风险。基于数据链路的能力,可以进行单维或多维聚合分析出的风险,进而可以管理组织内部的工单,以有效的完成风险事件的响应闭环。
4. 数据隐私处理记录:高效实现处理活动记录,构建四层审计、双向溯源
数据隐私处理记录的能力,即构建四层审计和双向溯源的能力。通常审计溯源是要基于各类的日志源,如果是新的系统,日志记录的能力可能随系统伴生,但存量应用系统需要埋点改造并付出一定的成本,如果有了全链路处理活动的记录能力,即可动态的采集用户访问行为的路径,可以快速全面的支撑溯源或定位。
**双向溯源是指以人追数和以数追人。**平台记录的资产信息、访问链路即通过哪些接口做了查询、数据库执行了什么 SQL 语句,请求响应记录了哪些数据等信息均可有力的支撑到溯源取证。
--
03/回顾和总结
全链路数据隐私合规平台是以法律法规为依据,以数据隐私治理为基础来满足合规的全场景,帮助企业在合规层面构建核心竞争力,为品牌价值赋能。
上图中,数据隐私治理以记录和追踪数据流转过程的每一个节点为核心目标,以清晰的知道每一个数据到底从哪里来、如何流转、如何存储、如何使用以及如何共享,形成全自动化可跟踪的链路,进而可全面的进行多维风险的分析和管理以及四层管理审计和双向溯源。其中数据隐私运营产品即将发布,敬请期待。
随着国家大数据战略的不断推动和深化,做好数据隐私合规治理势在必行,如何在已有的、复杂的业务环境和系统中因地制宜的构建组织自己的数据安全体系,无论是甲方还是乙方都任重道远。红途科技,兼具甲方和乙方背景,洞悉客户痛点,洞察前沿技术,转换客户的目标为我们的目标,在这个复杂环境中构建数据隐私合规的能力,以最大程度降低大数据时代安全威胁的不确定和不可控。
以上就是今天分享的内容,谢谢大家。
▌分享嘉宾
▌DataFun2023线下大会 火热报名中
第四届DataFunCon数据智能创新与实践大会将于⏰ 7月21-22日在北京召开,会议主题为新基建·新征程,聚焦数据智能四大体系:数据架构 、数据效能 、算法创新 、智能应用 。你将领略到数据智能技术实践最前沿的景观。
点击图片可查看大会详情,欢迎大家点击链接报名参会
DataFunCon2023(北京站):数据智能创新与实践大会