“情話多說一點 想我就多看一眼 表現多一點點 讓我能真的看見......”小李的手機鈴聲突然響起��,原來小李也是心凌男孩。
“喂�,您好��,有什么事��?”小李接起電話說道���,對面卻毫無聲音�����,只聽見嗡嗡作響��。小李掛斷后��,看了下來電顯示,心里不禁疑惑,這泰國打來的�,誰呀這是�����,我又沒出過境,怎么最近這么多的境外電話,難不成我信息被泄露了����,可又是怎么泄露的......
7月26日���,廣州市公安局通報廣州一家技術公司在開發一款App系統后,因未履行數據安全保護義務�����,導致該系統安全漏洞被不法分子利用,1000余萬條公民個人信息面臨泄露風險����,被警方行政立案���,罰款5萬元����?粗厦娴耐▓�����,不禁陷入沉思——對于“注冊賬號-同意隱私”��,不過是早已習以為常的事情����,而今卻要承擔信息泄露的風險����。
然而除了我們日常生活在使用的APP外���,更應注意到,我們作為“打工人”��,還身處于另一“籠”中——用人單位,這也是大家常常忽略的信息場景����。用人單位作為密集收集�、使用、處理個人信息的主體�,日常的人力資源管理工作流程就涵蓋了個人信息的整個生命周期����。從入職簽合同到考勤發工資等階段����,在人力系統或APP上都需要收集大量個人信息,各環節也會不斷產生個人隱私數據��,數據傳輸、數據緩存����、日志打印����、結果存儲等都存在泄露風險。
因此不論是在生活還是工作的場景之下��,守護個人數據與信息安全,企業都應首當其沖�。
合法合規 盡應盡之義務
當前�����,以數字經濟為代表的新經濟成為經濟增長新引擎��,數據作為核心生產要素成為了基礎戰略資源,數據安全的基礎保障作用也日益凸顯。伴隨而來的數據安全風險與日俱增,數據泄露、數據濫用等安全事件頻發,為個人隱私、企業商業秘密、甚至是國家重要數據等帶來了嚴重的安全隱患。
國家因此對數據安全與個人信息保護進行了前瞻性戰略部署����,開展了系統性的頂層設計,不斷加強對網絡安全、數據安全����、個人信息的保護力度�����。近年來,先后頒布了《網絡安全法》、《數據安全法》、《個人信息保護法》����、《關鍵信息基礎設施安全保護條例》�����、《網絡安全審查辦法》�、《數據出境安全評估辦法》等法律法規�,進一步提高并細化了對于個人信息收集和使用的合規要求,意味著我國個人信息處理正式進入“有法可依、違規必查”的新時代����。
而關于“數據”和“信息”之間關系的理解���,一般認為“信息”是屬于“數據”的子概念���,“信息”是從采集的“數據”中提取的有用內容���。因此《數據安全法》中的數據處理者在處理個人信息時,也是《個人信息保護法》中的個人信息處理者。所以不管是面向大眾的APP研發還是公司內部的HR系統���,相關企業除需遵守《數據安全法》,還必須遵守《個人信息保護法》,盡應盡之義務�,切實保護個人數據與信息安全�����。
技術提升 數據安全新框架
守護個人數據與信息安全,最關鍵的還是需要技術不斷提升。從技術層面看��,個人信息往往以結構化數據或非結構化數據形式存在��,保護個人信息和保護數據的防護手段��,二者是高度通用的,經典的網絡安全框架 ATT&CK便是防護的核心技術�。該框架模型根據實際觀測數據對對抗行為進行描述和分類��,將已知的攻擊行為轉化為結構化列表,并將這些已知行為歸納為戰術和技術���,并通過若干矩陣和結構化威脅信息表達(STIX)、指標信息的可信自動化交換(TAXII)來表述���。
近年來,隨著網絡安全的重要地位逐漸顯現�����,ATT&CK框架在安全行業中也廣為人知�。簡而言之,ATT&CK提供的是“對抗戰術、技術和常識”框架��,它就像一個攻擊者在攻擊企業時使用過的網絡攻擊兵器譜����,總計包含12種戰術和244種企業技術,覆蓋了絕大多數網絡攻擊手段,使安全運營不僅知己而且知彼�����。但另一方面����,ATT&CK建立的是一份用于網絡攻擊的對抗策略和技術的詳盡清單�,那對于未知行為能否有效未雨綢繆,提前布防呢�����?
(圖片來源:ATT&CK官網-12項戰術與案例)
進入數據時代����,側重攻防對抗的 ATT&CK 框架,難以覆蓋“主動式保護數據” 的各種技術手段�����。在《2021 數據安全與個人信息保護技術白皮書》中����,其提出了新的數據安全技術框架 DTTACK(Data-centric Tactics, Techniques And Common Knowledge,以數據為中心的戰術�、技術和通用知識)���,覆蓋數據全生命周期(收集��、 存儲���、使用����、加工����、傳輸���、提供���、公開等)的安全防護��,以期結合兩大框架實現“攻防兼備�、網數一體”���。
如果說ATT&CK的出現����,是讓攻擊手法擁有通用語言,那么DTTACK的誕生便是對數據本身進行主動式防護���,為防護模式打造了通用技術庫,實現網絡安全“事前�、事中���、事后”的全過程覆蓋���,可以主動識別���、預防���、發現����、響應安全風險��。
在技術的不斷提升并付諸實踐下,企業便更能切實守護個人數據與信息安全。
安全賦能 金蝶云·星瀚人力云一馬當先
作為我們大眾經常忽略或接觸不到的人力系統����,各家企業卻不得不引起重視����。此外����,隨著企業出海全球用工,如何不觸碰各國標準不一的隱私保護法律紅線�����,已成為企業管理者們重要且棘手的問題���。美國更是針對個人隱私泄露涉事企業直接開出50億美金的天價罰單�����,創下美國聯邦貿易委員會(FTC)的罰款紀錄�����!在全球化時代,企業HR系統面臨著“內憂外患”的局面,稍有不慎,便是罰單,那應當如何破局����,切實守護個人數據與信息安全�����?
就像某超大型全球化企業,業務遍及全球180+個國家�����,用有數十萬員工��。近年來因為內外部戰略環境發生重大變化�����,未來業務的不確定性增加,公司面臨轉型壓力。為了應對挑戰���,當前的人力資源管理體系亟需變革。金蝶云·星瀚人力云便結合該集團業務現狀及戰略方向,面向不同用戶提供差異化價值服務���、從內部管控到場景化服務、統一人力資源數字化運營平臺,重塑人力資源管理,助力其全方位數字化轉型。
而在各國不同個人隱私保護法律法規框架下,不同人群的數據留存期存在差異��。留存期限到期后�,需對個人數據做匿名化處理,以滿足數據主體權力訴求。金蝶云·星瀚人力云可按字段自定義設置匿名化規則����、對數據主體角色基于不同隱私法域進行分類����、以及按法域要求配置數據留存期��,并按期進行匿名化����、假名化處理�����,為該企業在全球化旅途上切實守護全球員工的數據與信息安全。
在數據顯示和存儲方面�����,針對他人偷窺�、泄露隱私的風險,以及個別運維和開發人員違規導出個人數據的風險�����,金蝶云·星瀚人力云提供個人信息數據庫加密的功能并進行頁面級個人信息脫敏�����,嚴格控制敏感信息訪問權限�����;同時在用戶自助服務端,進行個人信息脫敏防偷窺�,多措并舉���,全方位進行個人數據與信息保護��。
除此之外,金蝶還吸收了與上述超大型全球化企業合作項目中的豐富場景與領先實踐�����,創新各項安全技術��,并結合其二十多年的HR數字化產品經驗���,在隱私聲明簽署、個人敏感信息脫敏顯示、數據存儲加解密����、以及數據使用安全管控等各環節�,為個人數據與信息安全保駕護航�,充分解決企業HR系統安全方面的后顧之憂��,助力開啟HR管理新世界!
(責任編輯:喻容容 )
【免責聲明】本文僅代表第三方觀點,不代表和訊網立場��。投資者據此操作�����,風險請自擔�����。
最新評論