大数据时代个人信息保护的困境与思考
2021-11-19
来源:安全牛
当前我国正处于网络全面融合覆盖现实生活的大数据时代,随着社交网络的逐渐成熟,移动互联网的迅速提升,云计算、物联网等应用的快速发展,网络大数据正通过信息的流动和共享改变着人们的生活方式、认知观念与思维模式。与此同时,以用户需求和业务发展而汇聚起的海量个人信息成为大数据环境中最重要的内容之一,也因此成为了数据产业争先抢夺的资源。
近年来,因个人信息遭受侵害引发了诸多典型案件,公众对于个人信息保护的呼声愈高,国家及行业监管部门密集出台相关法律规范企业收集、处理、共享个人信息的行为边界,但现实情况是,个人信息依旧没有得到有效的防护。大数据时代的个人信息保护具有怎样的特征?安全防护面临怎样的难题?《个人信息保护法》实施之后企业应该怎么满足合规要求?近日,安全牛邀请到了北京数安行科技有限公司创始人兼CEO王文宇先生,就当下的个人信息保护新要求和新举措进行了深度探讨。
01
安全牛:大数据时代,对个人信息的保护产生了哪些变化和影响?
王文宇:
在纸质办公时代,针对个人信息的收集较少,流动范围较小,一般通过签署保密协议的方式进行保护。进入互联网时代,企业基于经营发展诉求大规模收集个人信息,个体为了获取便利性服务接受企业收集个人信息,碎片化的单体个人信息价值还未得到凸显。来到大数据时代,大量的个人信息形成整体化数据时,其中蕴含的商业价值开始体现出来,比如,从大量个人信息中分析出群体的行为、消费习惯以及对市场的影响,进而企业根据数据做出市场调整,获得经济收益。这也使得越来越多行业和企业将注意力集中在个人信息的收集和挖掘利用上,不法分子更是从中嗅到了商机,使用各种手段非法窃取个人信息并进行倒卖牟利。
长期以来,企业通过建立安全检测与响应机制、在企业内外网处部署对应的安全产品来范网络入侵、拖库等恶意黑客攻击行为,并以此保护所收集的个人信息不被窃取。但是在大数据时代,数据价值要释放出来,就需要打破个人信息的孤岛式数据服务提供方式,加速开放和共享。面对多维度的个人信息,不同行业不同需求的个人信息使用,各企业对个人信息相关的业务线条复杂化,给个人信息保护带来新的挑战。
在公安部2020年公布的十起侵犯公民个人信息违法犯罪典型案件中,有2起是测试工程师导致,2起是暗网,4起是机构内鬼,2起是合法使用信息的内部人对信息的非法扩散。从这组数据中可以看出,内部威胁在个人信息侵害中占比很大,过度采集、随意传播、无序滥用个人信息的行为,让原本由业务需要而收集的个人信息,在几经转手后,可能转到竞争对手方,也可能流入诈骗犯罪分子之手。如果将个人信息严防死守来彻底杜绝滥用和外泄,则陷入了本末倒置的另一个极端,被框死的数据将因此“失活”,企业也会陷入业务升级的瓶颈。因此在大数据时代,平衡数据开放共享与个人信息保护,才能推动数据产业的健康发展。
另一方面,正是因为有太多的个人信息遭到滥用和泄露,以此导致的精准营销、大数据杀熟、网络诈骗等等事件给公民人身财产安全和社会稳定造成了极大负面影响,为防范这些风险,必须借助法律手段严格规范企业收集、存储、共享、使用个人信息的行为。我国目前已形成一套相对完善的个人信息保护法律体系,涵盖《民法典》《刑法》《未成年人保护法》《电商法》《网络安全法》《广告法》《消费者权益保护法》《数据安全法》及《个人信息保护法》等。
企业收集的个人信息是否能得到有效保护,一定程度上取决于企业的数据安全管控水平,企业应承担起保护用户个人信息的义务,遵守个人信息保护相关法律法规,谨守合规红线。法律完善之后,监管高压并不是儿戏,《个人信息保护法》中对违法处理个人信息作出的处罚规定明确,情节严重的,将会被没收违法所得,至高处五千万或上一年度营业额5%的罚款,责令暂停业务或停业整顿;吊销业务许可或营业执照;直接责任人员至高将被处罚款一百万元,及被禁止担任董监高或个人信息保护负责人。这样的处罚力度已经超过以严苛著称的欧盟GDPR,业务停摆与巨额罚款都将是企业无法承受之痛,主动开展个人信息相关的强化保护工作将是企业未来的新常态。
02
安全牛:个人信息的存在形式和维度多样化,应该从哪些环节进行保护?
王文宇:
《个人信息保护法》对个人信息的概念和范围进行了明确,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。同时还强调了对于个人信息中“个人敏感信息”的重点保护,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
在《个人信息保护法》中,明确了对个人信息的处理规则。个人信息的处理是指以自动化方式或人工方式对个人信息进行的操作,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。数据作为信息的表现形式和载体,在针对个人信息的一系列处理活动中,同一数据将会表现为文本、表格、图片、音频等不同形态;同时,存储和使用数据的位置也会随之变动,流转扩散到不同的数据库、终端设备、系统接口、供应链等等环节中。正是这种数据运营过程中数据位置和形态的多样性特征,驱使对个人信息的保护必须要覆盖数据的全生命周期。这种“全生命周期”并不止于笼统的数据“由生到死”的全过程,还需要精确到单个数据在其整个生命周期内的流动,无论其跨域流转或改变形态,都需要具备一致性的跟踪与防护。
03
安全牛:为什么企业在部署了层层的网络安全、数据防护类产品之后,依旧还是会发生个人信息滥用甚至外泄等事故?
王文宇:
现有的针对个人信息保护的主要方式包括传统安全、数据库安全、数据防泄漏(DLP)、终端加密以及UEBA等等。以防火墙/下一代防火墙为代表的传统安全手段主要用于抵御外部攻击,带有一定的数据安全检测和管控的能力,但缺乏对内部数据流动的响应和保护机制。数据库安全手段主要着重解决结构化数据的安全问题如运维、审计、加密、脱敏等,面对非结构化数据及其流动过程难以进行有效保护。数据防泄漏(DLP)以边界保护为主,重在对外发的个人信息进行安全监控或保护,不能保障个人信息在内部不同终端、不同服务器、业务系统之间的流动安全。
终端加密手段对落地到终端的数据进行加密,重在非结构化数据的静态存储保护,结构化数据如个人信息等无法保护,不能在数据流动过程中平衡安全与业务。UEBA能够发现并保护内部数据的异常使用和安全威胁,但对数据从生产到运维,从前端到后端整个生命周期中的流动安全没有保障。
综上所述,现有的个人信息保护方式在一定程度上能够保护个人信息,但存在以下短板:重在保护结构化数据,在处理非结构化数据方面存在空缺;主要解决数据在单个域内的安全,没有对不同域之间的数据流动进行保护;集中解决数据单个时期的安全问题,比如数据静态存储安全,或者监控数据检索、查询;保护了前端数据的存储、使用安全,但对前后端整个运维过程缺乏监管。
正因为传统手段聚焦于解决数据在单一状态、单个域内、单个时期的安全问题,缺乏对数据整个流转和处理过程的持续关注,层层堆叠的安全产品反而形成了新的数据安全孤岛,不同的产品逻辑无法衔接为一致的策略,导致整个网络、系统在加持重重枷锁后,在海量数据高速流转的复杂业务环境中,依然会面临个人信息等关键数据的无序流转和滥用。
04
安全牛:对于企业来讲,当前开展个人信息保护的难点在哪里?
王文宇:
大数据时代的特征决定了,数据只有流动起来才能发挥其最大的价值。当数据孤岛被打破,企业业务线条复杂化,个人信息既可能在特定的业务服务流程中使用,也可能在不同的业务之间流动使用。因此,在数据流动中保护个人信息,是个人信息保护的重点。这要求企业建立一致性的数据安全策略,保证数据无论是在数据库、服务器、终端亦或是被调用时,都能不留死角地评估数据处理过程的安全风险并执行对应的防护措施。与此同时,安全防护不应该以牺牲业务的顺利开展为代价,深入业务执行内嵌进行防护,同时与业务解耦,是大数据时代个人信息保护的目标。
05
安全牛:随着个人信息保护的需求不断增长,有哪些新的技术方案出现?
王文宇:
针对当前个人信息保护的新形势,数安行提出基于数据运营安全理念、结合AI技术的个人信息保护方案。所谓数据运营安全,即DataSecOps,旨在不影响数据业务流程正常运行的情况下对组织内的敏感数据资产进行有效保护,在数据的运营过程中内嵌安全属性,对敏感数据的扩散及滥用风险进行快速响应。融合该理念建立“诊疗一体”的数据运营安全平台,管理跟踪各种类型、各种来源的个人信息数据及其使用变化过程,建立数据资产全景视图,实时感知数据违规使用及流转风险,基于数据角色及用户风险进行自适应的精准动态防护,核心功能如下:
全类型AI个人信息梳理:对各种类型的个人信息进行深度识别,从个人信息本体特征、行业特性、合规性等角度,结合机器学习对个人信息进行梳理,主要包括:1)用户的姓名、电话、身份证等基础属性,以及与业务紧密关联的个人信息,比如在电信运营中的通话数据、位置数据等等;金融行业中的账户信息、财产信息、借贷信息等。2)信息以结构化、半结构化、非结构化等多形态方式,或在数据库中存储,或转为办公文档方式流转,或在内部业务流转过程中进一步进行格式转换、数据的解析等等。3)新网络形态、新技术的应用,所衍生出的新数据类型、数据生产方式、数据处理方式。
数据链的全运营周期追溯:对现有的数据流转路径以及新兴的数据流进行追溯管理,建立个人信息与主体的映射关系;个人信息在流动中的原文流转、变形流转的血缘关系;记录个人信息的版本、状态、位置以及轨迹,形成个人信息数据流全生命周期的流动画像,对个人信息的流转、扩散进行全视角的风险态势感知和合规性管控,从数据流的链路中保护个人信息。追溯个人信息在企业中流动,主要包括三个方面:
1)广泛的流动。这和企业业务线条复杂化有关。既有一些个人信息集中式在特定业务系统中处理分析,也有一些个人信息随着不同部门、不同业务需求在网络中向不同的业务系统流动。通过对广域分布的个人信息流动进行追溯管理,感知个人信息的风险态势。
2)基于生命周期数据链的个人信息流动。个人信息流动从产生、收集、存储、使用、共享到销毁,在数据链的每个节点上,抓取个人信息的轨迹。个人信息在不同的业务流程中使用,在不同的业务服务器之间流转,以及不同域之间流动,以数据与业务的运营周期为牵引,追溯个人信息,保护全数据链的流动安全。
3)新技术下个人信息多流转路径追溯。为了挖掘数据价值,企业自身在进一步寻求打破内部业务壁垒的方式;同时,随着大数据时代、5G时代的数据开放共享,网络环境趋于开放,数据流也愈来愈多,企业需要追溯各流转路径,突破传统的数据边界,保障数据的可控性。
自适应精准防护:分布于各业务、各域的个人信息,以及在数据运营过程中流动的个人信息,如果保护力度不当,会造成新的难题。比如,保护力度弱,达不到安全要求,则个人信息安全无法保障。保护力度过强,可能影响业务的持续性,导致本来正常流转的业务被中断。由此,通过数据运营全周期的特征追踪与数据分析,对个人信息进行数据分布采集、流动追溯,感知个人信息的风险态势,基于机器学习,对各类事件和风险进行分析和分诊,结合用户使用场景、安全基线以及风险活动,从响应时间到响应力度,形成适合数据运营业务安全的按需保护响应机制。
06
安全牛:数据运营安全会替代传统的安全防护手段吗,未来的个人信息保护技术会怎样发展?
王文宇:
众多的安全防护手段均有其用武之地,能够在一定范围或一定要求内解决安全防护问题,并非彼此替代的关系,而是能力补齐与激活赋能的发展形势。数据运营安全遵循了个人信息保护的合规性要求,是当前阶段个人信息保护诉求下的一种思路和方案。而随着对个人信息的保护上升到法制阶段,企业的安全举措将进入常态化局面,建立一个以数据运营为中心的数据安全体系,为客户提供全场景的数据运营安全防护解决方案是未来的目标。
比如可以将个人信息等敏感数据资产的识别及分类能力、敏感数据的全流程标注跟踪能力、扩散风险的态势感知报告以及自适应工具箱的防护能力对外输出,和其他品类的安全产品和应用系统实现能力的共享和有机流动,一方面可以将安全能力进行扩展延伸,另一方面也可以对用户的存量系统和产品进行能力激活,重新发挥这些产品在数据运营中的防护效果。
当下,个人信息保护正逐渐跨过“盲人摸象”的草莽阶段,开始朝着“看见风险、看清风险、灵活管控风险”的路径发展,需要大力推进研发数据安全诊疗一体的解决方案,让企业的个人信息保护不再囿于产品堆叠、各自为阵的割裂状态。在一体化方案中,围绕一致性安全策略的原则,使用无感数据安全沙箱、微隔离存储等技术,可为企业建立自适应的数据使用环境,无需对现有网络及应用做任何改造,既不影响业务的流程,同时也将促进数据快速流转及安全协作共享,让企业数据安全建设及运营从成本支出项转变为降本增效的有利举措。
未来的个人信息保护需要注重公共利益与个人隐私保护的平衡,个人隐私的让渡应当基于保障社会公共利益的必要,在合理的限度内限制个人权利的行使,但不意味着个人信息可以被无限度无规则地使用。即使是基于社会公共利益的需要,个人信息的公开也必须在必要合理范围内,如果超出必要边界,随意泄露个人信息,甚至是恶意传播,给信息主体造成损害或其他不利后果,信息控制者和传播者也应当承担相应的法律责任。进一步讲,筑牢个人信息保护的安全边界,除了企业保护责任的建立和落实,还离不开监管要求与用户意识等层面的共同推进。监管机构应加大监管和处罚力度,并为用户提供便利的维权渠道;用户则应提升自身个人信息保护意识,提升数字素养。
安全牛评
《个人信息保护法》的实施对个人信息处理者提出了法律维度的要求。《个人信息保护法》更注重个人信息使用、流转上的安全性。大数据时代的特性是数据流转,因此不应该为了安全而选择将个人数据变成一个个的“信息孤岛”,而是需要从管理、人治的角度,实现个人信息全流程管理,DataSecOps的应用价值开始显现。
大数据时代对个人信息保护带来了挑战,同时也带来了机遇。海量数据促进了模型训练优势的发挥,也为人工智能技术在个人信息防护领域应用提供便捷,因此未来个人信息保护一定是人机结合的安全防护,让个人信息安全流转起来。