“出示健康码、行程码”,已成为当下人们出行、进入公共场所的重要“通行证”。今天我们从数据安全和数据治理来看下这个问题。
小小一“码” 拉着“一火车”的数据库
小小的健康码,实际上是一整套复杂的数据流转、控制、保护,最终呈现的结果。奇安信集团副总裁韩永刚及其团队,花了很长时间梳理了一张健康码生成的数据流转示意图,并以此为例说明了数据安全的体系化建设的必要性。
来自各委办局、运营商、交通运输等多维度的海量数据接入共享交换平台,通过安全共享交换进入原始数据库,经过数据清洗、数据治理后形成主题库、专题库,最后通过互联网服务出现在手机APP或小程序中。
健康码在用户的App上只显示了有限的个人基础信息、健康信息、核酸检测状态、疫苗接种状态4类数据,其背后却涉及了复杂的数据流转和庞大的数据来源。
可以说,手机上小小的一方二维码,其背后相当于拉动了一火车的多维数据。
海量的数据在流转过程中被保护、隔离以进行访问与使用的控制。为了保护用户的隐私安全,出行数据、通讯数据、医疗数据的各流转环节均涉及到不同的安全防护控制手段,任何一个环节的疏忽,都可能会造成大量个人敏感信息的风险,对数据安全提出了不小的挑战。
数据安全治理需要法律“设计图”和科技“施工图”紧密结合
“数据安全是合规、管理与技术体系的融合。”韩永刚表示,对于企业而言,数据在多方参与计算、内外部流转中产生价值,但同时数据流转也带来更多的安全风险。从数据安全体系建设方面来看,新的法律法规的合规要求,加上数字化转型的驱动,可能会促使企业管理组织架构调整、管理规章制度及数据安全策略的演进,进而到技术体系构建与运营的逐步构建,这些策略的改变如何转化成为能力框架,并落地到技术和运行方面,其复杂度十分高。
以“网神隐私卫士系统”为例,奇安盘古隐私安全业务负责人赵帅表示,仅凭对技术的理解做合规检测产品是远远不够的:还需要联合专业的法律团队,进行深度条文解读;需要在企业内部沟通,明确产品检查点;需要和监管部门沟通,明确技术监测的指标如何选取、以什么样监测的模式在某种场景下是否合规等,才能提供相对完善的全方位隐私安全合规检测服务。
对于法律和技术的关系,在合规咨询方面有着丰富经验的金杜律师事务所高级合伙人宁宣凤律师做了一个形象的比喻:“法律是蓝图设计师或者概念设计师,而科技恰恰是工程师,将概念落到工程图。如果只有法律概念图,无法直接施工;如果不对法律进行解读,工程图怎么画、‘水电’怎么走也无法确定。这正是数据安全保护和数据安全治理中,法律和科技结合最紧密的地方。”
在奇安信绘制的数据安全运行构想图中,“数据安全策略层”在四个层级中的最顶层,更多是从管理与策略角度规定数据在在什么情况下可以被什么人使用,如何控制权限与策略,数据使用与共享过程中的流转控制,数据怎么跨境等等。
而在数据安全体系建设过程中,需要贯穿策略到流转管控、应用安全能力、数据计算环境安全的各个层面。
法律+科技 即将迎来蓝海市场
随着11月1日起《个人信息保护法》的正式实施,与《网络安全法》《数据安全法》两部数据保护领域的法律互相交织,为网络安全、数据安全和个人隐私、个人信息保护提供制度保障,为政府、企业、社会相关管理者、运营者和经营者提供了重要的法律依据和支撑,也对数据合规治理提出了更高、更明确的要求。
天风证券分析师缪欣君曾表示,今年下半年,网络安全尤其是数据安全政策红利值得期待,持续看好各大厂商在数据安全方面的业务发展。
在三季报业绩交流会上,奇安信总裁吴云坤也表示,“与法律相关的产品和服务市场是未来一个巨大的增长点。”
网络安全法律法规与行业标准正在密集出台,尤其是对数据安全、车联网安全等新安全领域的防护要求更为严格。与运营商等重点行业企业客户保持长期稳定合作的奇安信,或将率先受益这一行业机遇。
雷锋网(公众号:雷锋网)
雷锋网版权文章,未经授权禁止转载。详情见转载须知。