诸子云社群自成立以来,北京、上海、深圳、武汉、成都/西南、杭州、厦门、南京、广州等地分会持续举办各类活动,有主题沙龙,有名企参访,也有线上分享。持续进行的这些活动,给会员创造了极好的见面、交流、学习、互助的机会,得到大家一致的好评和热烈的反响。
9月起,诸子云分三个阶段/系列展开活动,分别为线上直播第一季(诸子云广州分会承办)、线上直播第二季(以百家智库首批专家分享为主)以及线下沙龙(诸子云各地分会承办)。
诸子云·分享汇第一季由诸子云广州分会承办,共三天分别开展了三场线上直播活动,共计五个议题,本文即诸子云·分享汇第一季的总结回顾。
普华永道数据安全与隐私保护团队专家律师张婷婷、Amber Group数据安全与隐私保护专家胡恺健、广东省计算机信息网络安全协会副秘书长黄振毅、某互联网公司数据安全专家金佳华、广发银行研发专家申超波分别进行了议题分享。
★ 2021.9.6 ★
第一场
《个人信息保护法中的个人、企业与国家》
张婷婷 普华永道数据安全与隐私保护团队专家律师
《个人信息保护法》的诞生标志着在我国法律法规体系中,设立了专门的法律对个人信息的权利范围、保护义务、保护措施及对应的法律责任等进行专项规定,形成了强制力保障。特别是法律责任的明确,有效改善了之前对个人信息保护责任规定不完善不全面的局面,将促进个人信息的主体在遭遇权益侵害时有直接可诉依据,亦保障了相关监管部门在进行监管活动时有法可依,从而双头推动作为处理者的企业进行个人信息的合法、正当及安全使用。虽然《个人信息保护法》中相关的监管体制、程序和职责尚无清晰的界定,部分具体的个人信息保护处理规则和处理者义务尚有待明确之处,但个人信息的保护已是必然之势,无论是个人、企业还是国家都受到这部法律的影响,我们可以预见将会不断涌现许多的实务案例,同时,司法解释甚至是立法解释等都将在《个人信息保护法》公布后逐渐制定出台,从而真正地推动我国个人信息保护的不断发展直至走向成熟。
《个人信息保护法》对个人信息的相关权利内容,主要在其第四章进行全面规定,其规定了个人享有的知情权、决定权、查阅、复制权、转移权、说明请求权、删除权、代死者行使权利、限制处理权,拒绝处理权以及自动决策拒绝权等。这些权利是围绕个人信息从被收集到使用再到删除的过程进行确立的,个人需要关注自己的个人信息是如何被收集,收集后是如何被流转使用的,并在这个过程中关注自己的权益内容是否遭受侵犯,关注相关处理者的行为是否存在不当之处,以维护自身的合法权益并推动社会公众个人信息保护意识的提升。
基于《个人信息保护法》第四章规定的个人享有的个人信息相关权利,映射出企业需要履行的处理者义务及遵守的具体规则,要求企业基于正当、合法及必要的原则处理个人信息,并且及时响应个人信息主体的权利需求。当涉及敏感个人信息特殊情形时还需要采取严格的安全措施,获得单独的同意,如涉个人信息跨境提供则需要满足特殊的监管要求,如签署专门的协议、进行认证及评估等。
同时,《个人信息保护法》中还针对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者义务进行单独规定,对此类处理者的要求非常严格,包括外部人员独立机构监督、必须制定平台规则、定期发布社会责任报告等,并且设置了严厉的处罚内容,当此类处理者违反时将直接面临被叫停的风险。
国家在《个人信息保护法》中所扮演的角色共有两个层面,最主要的是保护者身份,为个保法规则和保护具体要求提供必要的条件和法律法规保障,打击不法行为,处罚不合规的企业组织。
由于国家机关在行政管理的过程中也会涉及个人信息的收集,所以国家在《个人信息保护法》中的另一层角色是个人信息处理者的身份,要求国家遵守同等的个人信息保护义务,依法行政(遵循比例原则、程序正当、合法行政等原则)。
作为首部专门规定个人信息保护的法律,《个人信息保护法》对很多长期以来处于“灰色地带”的个人数据处理行为进行了明确,将对企业在处理个人信息的实践过程中产生不可避免的影响。
影响范围则涵盖了一切涉及到个人信息处理,包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动的企业都会受到此法的影响,与个人信息处理的关系越密切的企业受到影响越大。
对于企业来说,《个人信息保护法》的出台一共带来了多方面的合规挑战,分别是个人信息数据安全挑战、跨境传输挑战、知情同意挑战、合规审计挑战、影响评估挑战、境外机构对华业务挑战。
为了更好地应对挑战,企业应当建立或完善企业内部管理制度,明确产品和业务场景;合法处理个人信息;加强员工培训;明确第三方信息处理的权利和义务;定期开展个人信息安全影响评估与内部审计。
从企业的组织架构层面来说,建议要设立总的个人信息保护负责人,统筹各方人员,及时处理合规问题和宣贯法律法规的要求等。此外,个人信息的处理涉及到的组织部门往往不是单一的,而是横向纵向都牵涉极广,相关部门必须协同应对才能更好地打造产品或服务的合规。组织架构的确认后需要进行职责的划分,明确各个部门在个人信息保护上应该怎么做,做哪些内容,从而构建企业整体合规的体制,以更好地应对挑战推动产品或服务的合规化。
《个人数据与隐私管理的数字化解决方案探索》
胡恺健 Amber Group数据安全与隐私保护专家
(胡恺健老师的分享已于安在公众号完整发布,阅读全文请点击)
自从欧盟议会在2016年通过GDPR法案,国外不少安全厂商已经开始陆续发布隐私科技产品工具,旨在帮助企业更好地应对诸如GDPR、CCPA等数据合规要求。但截至目前,国内安全厂商尚未见有隐私管理平台相关产品和解决方案的踪影,该隐私科技细分领域存在一定程度的缺失。
《中华人民共和国个人信息保护法》里,5次提到了“便”字,方便和便捷的数据主体权益体验是立法的初衷,但大部分互联网平台的数据主体权利申请依然靠邮件,这种“土办法”已经无法与企业数字化转型的趋势相匹配,亟需发力提升。
本次分享的隐私保护数字化解决方案分为三个部分,分别是规划设计阶段、实施构建阶段和持续运营阶段,这是解决方案从建设到运营的整体思路,承接了数据安全与隐私保护框架中的相关安全控制要求,从PDCA的角度去实践技术落地方案。
1、规划设计阶段:是解决方案构建的基础工作,主要是识别企业内部各类资产清单、数据清单和法律实体清单,理清底数台账。通过数据映射为企业理清各司法管辖区隐私法案所关切的数据处理目的、范围、方式和法律基础依据等重点核心问题。通过数据保护影响评估对可能给数据主体权利和自由带来高风险的数据处理活动进行风险和影响分析,满足尽责评估的要求。最后将前面梳理的基础清单,形成企业产品或服务隐私政策。
2、实施构建阶段:是整个隐私保护数字化解决方案的核心,也是使企业彰显隐私品牌价值和体现尊重用户隐私的重点。这里会涉及基于默认和设计的隐私、数据主体同意管理、移动应用合规管理、Cookies合规、数据主体访问请求、事件响应管理等内容。
3、持续运营阶段:是隐私保护数字化解决方案构建完成后,所需要持续运营的工作内容。主要在于对各类相关环境、资产的持续识别,以及维护好可能罚你(监管机构)、告你(数据主体)、坑你(供应商&数据处理者)和投诉你(员工)的各个主体交互点,降低隐私的合规风险;
中国个人信息保护法出台时间虽然较晚,但好处在于全球已经有不少的优秀解决方案供我们学习参考,我们在前人的基础上可以更快、更好地建立企业的个人数据与隐私保护体系。
相信未来随着国内更多的安全人才和安全厂商转换赛道到隐私保护领域后,国内的隐私科技产品能走出一条具备中国特色的创新道路,为企业提供更好的个人数据和隐私保护能力,也能为数据主体提供更人性化的隐私体验。隐私保护,未来可期!
★ 2021.9.15 ★
第二场
《从监管角度看数据安全》
黄振毅 广东省计算机信息网络安全协会副秘书长
《数据安全发》的出台对数据安全保护义务进行了明确的规定。首先,开展数据处理活动要求建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。同时,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
在数据处理过程中要开展风险监测,包括安全事件的通告和上报,要加强风险补救措施,对漏洞及时修复,做到事前预防(数据加密、数据脱敏)、事中防御,并定期开展风险评估,向有关主管部门报送风险评估报告。
对于组织机构来说,建制度、抓培训、上措施,对数据分级分类,进行风险评估和风险监控,建立应急机制,是必须要做的事情,不做就等于违法。而违法处置方式则包括了约谈、警告、罚款以及其他处分等。
《数据安全法》要求了企业应当履行以下数据安全保护义务,包括:
1、建立数据安全管理机构、设立明确数据安全责任人;
2、建立数据分类分级保护制度、全流程数据安全管理制度(在网络安全等级保护基础上);
3、结合法律法规、行业规范和标准对各业务场景、数据生命周期进行合规性审查,对涉及的核心数据、重要数据、个人敏感数据等进行定期梳理和风险评估,向有关部门报送风险报告;
4、根据前期合规审查、风险评估所提出的问题,制定、完善数据保护规范、流程;
5、建立监测预警和事件应急处置机制,结合技术和工具实时监测数据安全风险及时处置事件,并报告;
6、定期进行培训和宣传,企业数据合规是一个持续的过程,企业人员的合规意识通过与企业文化相结合进行长期的宣导
7、通过日常评价企业和责任人数据安全的合规性考核,确保效果,督促相关人员主动履职,在权责一致的情况下,落实合规责任
8、企业应结合安全产品、技术工具、安全制度、考核机制等对数据安全进行动态监控、预警、处置,进行定期与不定期的审查以及不断迭代更新,达到持续安全的目标。
数据安全处理和服务的义务则包括:
1、合法、正当收集数据义务;
2、数据来源审核和留存审核、交易记录义务;
3、依法取得行政许可的义务;
4、依法配合数据调取的义务;
5、关键基础设施重要数据出境:遵守《网络安全法》本地化要求+出境评估;
6、其他重要数据出境:由国家网信部门会同国务院有关部门制定出境管理办法。
作为企业,我们可以参照行业主管部门制定的行业数据分类分级和数据安全标准,在日常工作中引用,从而应对《数据安全法》提出的要求。
从合规角度来看,企业应当建立好数据安全治理体系,包括建立数据安全管理制度、确立数据安全技术措施、建立数据安全风险监测平台,要定期开展风险自评估,做好应急预案和应急演练,并持续不断地予以改进,责任到人、明确到岗。
《个人信息安全保护建设实践》
金佳华 某互联网公司高级数据安全专家
企业在进行个人信息保护建设时,主要考虑三个方面,分别是组织、管理体系和技术体系。
首先,组织建设实践可分为两个部分;实体组织建设和内部管理组织建设。
实体组织,取决于公司业务发展战略,其核心是成本和收益的平衡问题。典型的场景是跨境业务,我们需要考虑不同国家之间的合规差异、基础IT建设、国际认可度、违规成本等几个因素。
管理组织,则是在企业内部,搭建一套行之有效的组织协作机制。毕竟,个人信息保护建设,涉及到的部门和团队是非常多的,包括GR、法务、业务(运营)、产品、PM、研发线、数据管理团队(DBA、大数据团队)等。
如何确保大家能够力往一处使,可以从3个方面着手:
1、共创共赢。建立自上而下的可度量的安全指标,落实到每个部门负责人身上,成立虚拟的安全管理委员会定期向CEO汇报安全指标及进展。
2、职责明确。有了共同的目标,还需要明确各个部门的职责,保证各部门从自身擅长的领域着手,也能避免重复造轮子。
3、能力互补。某些部门的输出,是另一个部门的输入。各部门互相支撑,实现最优解。
安全管理体系建设,是一个逐步建设,逐步完善的过程。以法律法规为依据,以安全策略与风险管理为指导,涵盖数据生命周期管理、安全能力保障等内容,覆盖不同的应用类型,并且借鉴其他标准/体系,形成一个没有明显短板的管理体系,做到有法可依、有据可查。
在体系建设过程中,需要注意3点:
1、按需编制,有法可依。并不是一开始就要做大而全的制度体系,而是要以风险、需求为出发点,根据法律法规、安全标准,参考行业最佳实践,结合公司现状进行编写;
2、制度先行,有据可查。技术的建设是有时间周期的。所以,制度先行,可以先强化员工意识,明确处置原则和要求,让员工们知道,不同的场景,可以做什么,不能做什么。
3、保障落地,虚实结合。制度的发布,并不是终点。有些制度,需要结合技术手段,限制恶意行为,确保员工遵守。而有些制度,则需要以教育、指导为主。比如网盘的使用,如果企业无法提供替代方案,那就不应该一刀切。可以先宣传,减少员工滥用私人网盘,提升安全使用意识。
最后是安全技术体系建设,我主要从个人信息定义、关键合规红线、APP检测和跨境通信四个方面展开描述。
首先,我们需要明确保护的对象,即梳理出公司涉及到的所有个人信息。有几个注意点:
1、范围。不同的法律法规,对个人信息会有不同的定义和要求,如个人信息安全规范、民法典、关键信息基础设施安全保护条例等。
2、识别是否属于个人信息,是已识别或者结合其他数据可关联到唯一自然人。如果多个数据,组合起来也能够唯一识别到自然人,那么,该数据集也属于个人信息。
3、数据流经节点。需要结合公司业务,从APP端、服务端、办公端等各个方面进行梳理,确认哪些节点会存储、传输个人信息。
其次,针对在信息采集、处理、共享、跨境传输等环节中可能触碰的关键合规红线,安全一定要深入了解业务,并参考行业其他头部企业的做法,避免安全事件和违规行为的发生。目前被通报的违规重灾区,就是:个人信息违规采集、非法处理与共享、大数据杀熟、AI定向推送、向境外提供数据。
再次,APP是目前我国重点关注和抽测的对象。我们需要重点关注隐私策略、业务功能(个人权利)、权限、SDK、跨境通讯、APP行为检测、未成年人保护等。
1、目前主流的APP安全检测工具,包括了厂商APP检测平台、MobSF、FlowDroid、Xposed等。
2、建议通过正向(新业务SDL+DevSecOps)+反向建设(定期抽查业务主流版本)的模式,实现提前发现、提前准备、提前整改,避免被通报后整改的被动。
最后,在跨境通信的过程中,无论是通过APP直接向境外传输,还是服务端向境外传输,我们都必须要确保合理与必要、最小化的原则,并重点关注人员跨境运维与运营,确保所有行为被审计,并建立报备和评估机制,主动报备、评估自查。需要注意的是:
1、如果有跨境IDC或云资源,由国内运维人员进行跨境运维。在强监管国家,也会被认为是数据跨境,需要做好日志审计,以自证清白。必要时候,可考虑配置当地运维人员。
2、鉴于各地文化等因素差异,在产品需求、满足用户个人权益方面,应尽可能参考当地主流APP或国际主流产品,如Facebook、twtter。
★ 2021.9.22 ★
第三场
《隐私计算之联邦学习》
申超波 广发银行研发专家
数字经济时代的特点之一便是将数据视作关键的生产要素,并通过跨领域、跨行业、跨地域机构间的数据流通释放要素价值。但是,目前我国数据要素市场化配置尚处于起步阶段,机构间的数据流通仍存在诸多阻碍。
为兼顾高质量数字化生态合作与安全隐私合规,隐私计算应运而生,指在保证数据提供方不泄露原始数据的前提下,对数据进行分析计算的一系列信息技术,保障数据在流通与融合过程中的“可用不可见”。
联邦学习,就是用来解决机器学习领域中数据流通和数据安全的一类隐私计算技术体系,是大数据、密码学、机器学习三合一的交叉技术。在进行机器学习的过程中,各参与方可借助其他方数据进行联合建模。各方无需共享数据资源,即数据不出本地的情况下,进行数据联合训练,建立共享的机器学习模型。
联邦学习的类型分为三种,分别是:
1、纵向联邦学习:两个数据集的样本(U1, U2…) 重叠部分较大,而特征(X1, X2…) 重叠部分较小;
2、横向联邦学习:两个数据集的特征(X1, X2...) 重叠部分较大,而样本(U1, U2…) 重叠部分较小;
3、联邦迁移学习:两个数据集的样本(U1, U2...) 与特征重叠(X1, X2...) 部分都比较小。
其中,纵向联邦学习本事是特征的联合,适用于用户重叠多,特征重叠少的场景,比如同一地区的商超和银行,他们触达的用户都为该地区的居民(样本相同),但业务不同(特征不同)。
而横向联邦学习的本质是样本的联合,适用于参与者间业态相同但触达客户不同,即特征重叠多,用户重叠少时的场景,比如不同地区的银行间,他们的业务相似(特征相似),但用户不同(样本不同)。
【诸子云·分享汇】
诸子云·分享汇线上直播第二季将于10月中旬再度开展,第二季活动将以百家智库首批专家分享为主,围绕网安最新热点及企业最佳实践展开讨论。
同时,诸子云线下沙龙也在后续定期举办,覆盖深圳、成都、北京、厦门、南京、上海、广州、武汉等城市,欢迎大家持续关注,积极报名,踊跃参与。
诸子云社群系列活动,面向诸子云会员,自愿报名,免费参加,即时抽奖,福利多多。鉴于不同活动形式人员各有限额要求,报名通告发布后,先到先得。
对于还未加入诸子云社群的甲方网安业者,请先联系群秘注册入群:Tina(微信号:xuqingqing823125689)
【赞助合作】
诸子云社群活动对厂商适度开放,欢迎赞助合作,具体要求如下:
1. 安在企业会员优先,欢迎与安在建立长期合作关系,持续关注并支持诸子云社群。
2. 必须是聚焦活动主题之创新厂商,在主题相关领域有扎实的技术储备和较为独特的产品服务,乐于听取甲方反馈,积极寻求并建立非直接营销的甲乙方互动交流关系。
3. 每场(线下)活动仅限2个厂商议题。
具体请洽:椰子(微信号:coconut_yeguo)。
点【在看】的人最好看