“出示健康碼、行程碼”,已成為當下人們出行、進入公共場所的重要“通行證”。今天我們從資料安全和資料治理來看下這個問題。
小小的健康碼,實際上是一整套複雜的資料流轉、控制、保護,最終呈現的結果。奇安信集團副總裁韓永剛及其團隊,花了很長時間梳理了一張健康碼生成的資料流轉示意圖,并以此為例說明了資料安全的體系化建設的必要性。
來自各委辦局、營運商、交通運輸等多元度的海量資料接入共享交換平台,通過安全共享交換進入原始資料庫,經過資料清洗、資料治理後形成主題庫、專題庫,最後通過網際網路服務出現在手機app或小程式中。
健康碼在使用者的app上隻顯示了有限的個人基礎資訊、健康資訊、核酸檢測狀态、疫苗接種狀态4類資料,其背後卻涉及了複雜的資料流轉和龐大的資料來源。
可以說,手機上小小的一方二維碼,其背後相當于拉動了一火車的多元資料。
海量的資料在流轉過程中被保護、隔離以進行通路與使用的控制。為了保護使用者的隐私安全,出行資料、通訊資料、醫療資料的各流轉環節均涉及到不同的安全防護控制手段,任何一個環節的疏忽,都可能會造成大量個人敏感資訊的風險,對資料安全提出了不小的挑戰。
“資料安全是合規、管理與技術體系的融合。”韓永剛表示,對于企業而言,資料在多方參與計算、内外部流轉中産生價值,但同時資料流轉也帶來更多的安全風險。從資料安全體系建設方面來看,新的法律法規的合規要求,加上數字化轉型的驅動,可能會促使企業管理組織架構調整、管理規章制度及資料安全政策的演進,進而到技術體系建構與營運的逐漸建構,這些政策的改變如何轉化成為能力架構,并落地到技術和運作方面,其複雜度十分高。
以“網神隐私衛士系統”為例,奇安盤古隐私安全業務負責人趙帥表示,僅憑對技術的了解做合規檢測産品是遠遠不夠的:還需要聯合專業的法律團隊,進行深度條文解讀;需要在企業内部溝通,明确産品檢查點;需要和監管部門溝通,明确技術監測的名額如何選取、以什麼樣監測的模式在某種場景下是否合規等,才能提供相對完善的全方位隐私安全合規檢測服務。
對于法律和技術的關系,在合規咨詢方面有着豐富經驗的金杜律師事務所進階合夥人甯宣鳳律師做了一個形象的比喻:“法律是藍圖設計師或者概念設計師,而科技恰恰是工程師,将概念落到工程圖。如果隻有法律概念圖,無法直接施工;如果不對法律進行解讀,工程圖怎麼畫、‘水電’怎麼走也無法确定。這正是資料安全保護和資料安全治理中,法律和科技結合最緊密的地方。”
在奇安信繪制的資料安全運作構想圖中,“資料安全政策層”在四個層級中的最頂層,更多是從管理與政策角度規定資料在在什麼情況下可以被什麼人使用,如何控制權限與政策,資料使用與共享過程中的流轉控制,資料怎麼跨境等等。
而在資料安全體系建設過程中,需要貫穿政策到流轉管控、應用安全能力、資料計算環境安全的各個層面。
随着11月1日起《個人資訊保護法》的正式實施,與《網絡安全法》《資料安全法》兩部資料保護領域的法律互相交織,為網絡安全、資料安全和個人隐私、個人資訊保護提供制度保障,為政府、企業、社會相關管理者、營運者和經營者提供了重要的法律依據和支撐,也對資料合規治理提出了更高、更明确的要求。
天風證券分析師缪欣君曾表示,今年下半年,網絡安全尤其是資料安全政策紅利值得期待,持續看好各大廠商在資料安全方面的業務發展。
在三季報業績交流會上,奇安信總裁吳雲坤也表示,“與法律相關的産品和服務市場是未來一個巨大的增長點。”
網絡安全法律法規與行業标準正在密集出台,尤其是對資料安全、車聯網安全等新安全領域的防護要求更為嚴格。與營運商等重點行業企業客戶保持長期穩定合作的奇安信,或将率先受益這一行業機遇。
雷鋒網