數據安全 VS 數據合規

0 評論 6291 瀏覽 36 收藏 12 分鐘

本篇文章,作者將系統的介紹數據合規與數據安全二者的概念及區別,幫助我們在做數據時有效區分二者的差異,希望本篇文章能對你有所幫助。

隨著社會各界對于數據價值的認識體會不斷加深,數據作為生產要素不斷發揮著帶動生產力的作用,但相應的數據隱私、數據安全、數據合規等關鍵事項也相繼被提上日程。

特別是從2021年開始,新年第一天即施行《中華人民共和國民法典》(簡稱《民法典》),其中明確規定了“隱私權和個人信息保護”的相關要求。

2021年9月1日起施行的《中華人民共和國數據安全法》(簡稱《數據安全法》)明確規定了針對整個數據處理活動的數據安全保護責任及義務。

2021年11月1日起施行的《中華人民共和國個人信息保護法》(簡稱《個人信息保護法》)明確規定了個人信息處理者對于個人信息處理活動各個階段的保護要求及個人信息主體相關權利要求等。

今天,筆者主要想聊一聊數據安全和數據合規的區別,因為很多時候筆者發現安全和合規經常放在一起討論,就好像是一個詞匯一樣,實際上安全與合規有很大的不同。

一、數據安全

根據《數據安全法》中闡述,數據安全是指通過采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。應保證數據生產、存儲、傳輸、訪問、使用、銷毀、公開等全過程的安全,并保證數據處理過程的保密性、完整性、可用性。

  1. 首先,針對數據存儲過程中面臨的未經授權訪問數據、修改或破壞數據等安全問題,可通過高效的加密算法對數據進行加密,以保障數據的安全性。通過密鑰管理服務,實現密匙全生命周期安全管理;通過存儲復制、數據冗余和硬盤保護等多種策略保障數據安全。
  2. 其次,針對數據傳輸過程中的安全問題,可采用數據基因技術構建完整的數據基因體系,確保數據傳輸過程中可溯源、可追蹤、可關聯,以保障傳輸數據的正確性??衫眉用軅鬏?,對數據進行加密傳輸并通過安全傳輸協議,保障數據傳輸安全。
  3. 再次,針對數據訪問環節中出現的惡意攻擊與解密算法多樣等情況,有可能造成數據的惡意非法訪問,引發數據泄露、竊取、濫用等嚴重后果,可采用基于區塊鏈等的新型訪問控制及多因子認證機制對用戶身份進行驗證和授權。
  4. 最后,針對數據使用的安全問題,可采用數據匿名化、數據脫敏等技術,保障數據在授權范圍內被訪問、處理,防止數據竊取、隱私泄露、損毀等安全問題發生。在數據銷毀環節,常用的方法易造成數據銷毀不徹底、數據內容被惡意恢復等情況,導致數據泄露等嚴重安全風險。因此,可采用數據關聯銷毀、軟銷毀與硬銷毀結合的方式,徹底銷毀或刪除數據。

當然,以上僅僅只是理論層面,但具體到實施落地層面,單單數據分類分級很多地方已經碰到很多需要細究的問題了。比如各個部門關于級別的不同理解,數據關聯后的級別如何制定等等問題。

同時,在數據安全之外,很多政府或者企業更多關心的是所謂的大安全,即包含數據安全、網絡安全、信息安全、系統安全、內容安全的安全體系。

在這里筆者簡單介紹一下各個安全的內涵以及與數據安全之間的關系,具體細節內容暫不闡述:

1)網絡安全

主要指互聯網及其他信息網絡、計算機網絡的安全運行,監控和防止針對網絡攻擊和來自網絡的攻擊,確保網絡基礎設施的安全運行和合法使用。

數據安全涉及網絡數據的生產、傳輸和使用過程中的安全,保證網絡數據的保密性、完整性、可用性、真實性和可控性是網絡安全的主要任務。

2)信息安全

主要指信息在系統和網絡傳輸、處理、儲存過程中不被泄露或破壞,確保信息的可用性、保密性、完整性和不可否認性,包括密碼系統的安全等。

其中,信息安全涉及的數據安全主要包括兩方面:

  1. 指數據本身的安全,一般采用現代密碼算法等技術對數據進行主動保護
  2. 指數據防護的安全,通常采用現代信息存儲等手段對數據進行主動防護。

3)系統安全

主要指軟硬件信息系統如操作系統、云系統、終端系統、應用軟件系統的安全運行,保證系統不受惡意代碼和其他惡意攻擊,確保系統正常運行和合法使用。

數據安全是系統運行安全的要素。

4)內容安全

主要指信息內容在網絡傳播等過程中的真實性、可靠性、合法性。內容安全涉及用戶多源數據的關聯、隱私數據的竊取、社交網絡對抗等安全問題。

總結以上內容,可以發現數據安全是可以使用有效的技術手段來保護資產免遭攻擊。但是目前伴隨著數據要素流通的持續深入,會遇到各種除了數據安全之外新的課題。

比如如何正確賦以加工使用權、數據產品能否審批通過、數據產品有無異常使用、數據跨境如何能夠滿足相應法律要求等等,這些都屬于數據合規。

二、數據合規

數據合規指的是組織必須遵守的關于如何組織、管理和存儲數據的規定。各行各業的組織都必須遵守數據合規標準,以保證客戶的個人身份信息 (PII) 和財務細節的機密性,并防止他們的敏感數據落入壞人之手。

數據合規已經成為當前國內的一個研究熱點,同時也已經成為各地的一個重點監管方向。

廣州市國資委2021年發布了國內首個數據安全合規方面的指導文件《廣州市國資委監管企業數據安全合規管理指南(試行2021年版)》,面向監管的相關企業單位提出了數據安全合規監管方面的一些重點要求。

上海市楊浦區檢察院聯合多家單位于2022年1月發布了上海市首個《企業數據合規指引》,系統性提出企業數據合規所應該落實的數據安全管理與技術等方面的措施。

所以,數據合規不單單只是技術問題,它需要更加關注政策、法規和法律等,合規的作用是確保組織符合不同的監管要求。

對于合規團隊而言,他們要理解那些需要遵循的法律、規則,并開發對應策略來滿足這些規則。安全團隊只需要保證,他們的防護和控制措施已經到位,并如預期一樣發揮作用即可。

而合規建設則需要相應的證據,他們需要證據來證明已滿足第三方的要求。

在這里面筆者簡單闡述一下數據合規落地實踐關鍵要素:

數據安全 VS 數據合規

1)梳理合規依據

主要涉及國家法律、中央及地方政府法規、政府行業相關的規范、國家/行業/地方等標準,以及相關組織內的規章制度等都是合規重要的參考依據。這些材料的重要性不完全相同,如果相關要求存在沖突或不一致,應以上位法律法規相關要求為準。

2)合規咨詢評估

主要對于所有梳理的合規依據進行相關法律法規以及標準規范等的分析解讀,重點是根據組織所在的業務及地區等相關要求進行合規性分析,并提取相關的合規要點,進一步根據合規要點輸出合規知識等信息以及對評估中發現的合規風險及問題提出合理的改進建議。

3)合規知識庫的建設

重點根據合規咨詢評估等獲取的合規知識,持續進行積累和更新。

4)合規運營管理平臺的建設

主要包括合規數據采集、合規數據分析及合規數據運營等基礎功能組件。

合規運營管理平臺主要是基于合規知識庫,采用大數據分析、自然語言處理NLP、用戶實體行為分析UEBA等相關技術對采集的合規數據進行深入分析,并對數據安全合規結果進行閉環處置管理。

三、結語

數據合規與數據安全是兩個緊密聯系又有明顯區別的概念。

  • 數據安全側重的是如何防范數據被泄露、數據被破壞、數據被濫用的風險所進行的安全防護措施,重點是防范壞人做壞事。
  • 數據合規則是根據數據法律法規相關要求落實數據安全相關責任與義務,本質是指導好人做好事。

本文由 @于振國 原創發布于人人都是產品經理。未經許可,禁止轉載。

題圖來自Unsplash,基于 CC0 協議

該文觀點僅代表作者本人,人人都是產品經理平臺僅提供信息存儲空間服務。

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
評論
評論請登錄
  1. 目前還沒評論,等你發揮!