数据合规管理已成刚需，企业如何更好应对相关风险与挑战？

京东到家某员工离职当天将平台系统代码删除；

A1 Hrvatska数据泄露事件影响约20万客户；

英伟达遭受黑客入侵致部分系统瘫痪；

谷歌因违法收集生物识别数据将赔偿1亿美元；

……

这些真实存在的安全事件，映射出企业数据合规和风险治理能力的不足。在企业数据合规逐渐成为刚需的当下，如何加强企业数据安全和个人隐私保护已经成为关系个人权益、社会稳定和国家安全的核心议题。

企业合规现状和痛点

近年来，我国迎来了个人信息保护以及数据安全领域的两部专属立法：《中华人民共和国个人信息保护法》与《中华人民共和国数据安全法》。这两部法律与“网安法”共同构建了中国数据合规及隐私保护的基础法律框架，对数据安全和个人信息保护提出了方向性和基础性指引及监管要求。

一方面是国家在数据安全、网络安全、个人信息保护层面的监管力度持续增强，一方面是频频出现的企业数据安全事件，加强企业合规管理已成为当下企业发展的必要性、基础性内容。然而，通过对企业合规管理现状的分析，我们发现企业在合规管理方面，往往存在以下难点、痛点问题。

错综复杂的数据如何分类分级？

个人信息合规监管环境日益严格，企业如何应对？

海量的数据，如何识别并掌握数据的流向和分布？

与监管、同行、合作方多渠道数据交换如何保证安全？

数据多层级、多系统、多角色的使用、提取中，如何确保整个业务敏感数据合规使用？

……

这些都是当前企业数据安全和个人信息保护层面面临的风险和挑战。

数据安全与信息合规产品解决方案

针对当前企业数据安全和个人信息保护层面临的风险和挑战，派拉云身份管理平台（简称SSO360）从数据主体、数据处理者两方面进行考量，提供完整、闭环的数据安全和数据生命周期的全链路个人信息合规解决方案，满足安全等级保护合规建设，提升数据安全能力，保障数据在流通与融合过程中的“可用不可见”，实现数据价值的转化和释放，促进数据开发利用。

▲数据安全与信息合规产品体系

破局角度一：数据主体角度

1、同意授权管理 

企业可以通过个人信息主体同意授权管理平台（CMP），解决在收集、使用或共享过程处理用户数据的合法记录和管理用户同意授权问题，保证数据在不同阶段的处理活动均给予“告知-同意”的原则。CMP涵盖三大功能：

1. 收集用户同意

用户首次使用某一产品或产品下某一功能时，若涉及到用户信息的收集，必须以弹窗或其他形式通知用户该产品收集哪些数据、如何使用这些数据等信息。用户可以选择同意或拒绝。

授权通常包括两种类型：

1）将个人信息授权给当前产品；

2）将个人信息授权给第三方应用或SDK（如当前产品的服务提供方、当前产品关联方、合作方）

2. 同意记录

征得用户同意后，需保存用户同意记录。例如“谁同意（电子邮件、cookie、设备 ID） ，何时给予同意（时间戳）， 用户同意的内容（使用个人数据的特定目的列表） ，是否以及何时撤回或更改同意”。企业可查看同意记录的数据库，也可导出记录数据用于监管机构的安全审查。

3. 提供查看、撤销授权入口

根据个人信息保护法规定，同意不是永久性的，用户可以随时撤回他们的同意。用户应该有权查看、撤销授权。

2、个人信息主体权利管理

根据个人信息保护法规定，个人在信息处理活动中的享有：

a. 享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理

b. 个人有权向个人信息处理者查阅、复制其个人信息

c. 个人请求将个人信息转移至其指定的个人信息处理者，符合国家网信部门规定条件的，个人信息处理者应当提供转移的途径

d. 个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。

数据安全与信息合规产品解决方案围绕个人信息保护法规定的个人信息主体权利，制定个人行权响应与行权机制，满足个人信息合规要求，维护个人信息主体权益。

破局角度二：数据处理者角度

数据生命周期覆盖数据收集、存储、使用、加工、传输、提供、公开、删除等环节，针对数据全生命周期的安全管理也是企业开展数据安全管理的核心工作。数据安全与信息合规产品解决方案从数据的“采、存、管、用”展开 ，提供从技术到产品，产品到流程的全流程数据安全管理解决方案，助力企业挖掘数据最大化价值。

1、数据收集—数据自动化发现、分类分级与标识

数据自动化分析、分类分级与标识是企业急需解决的数据安全需求之一。它打破了数据黑盒，帮助企业发现各类数据，根据事先制定好的数据分类分级标准，通过自动化数据扫描和策略识别的方式进行数据分类，并打上相应标识，实现数据分类分级保护，并有效降低了数据安全风险和管控成本。

近些年来，金融行业、医疗行业、汽车行业等相继发布了针对各行业数据分类分级的指导建议和法律法规。数据分级的标准不仅需考虑到数据共享、开放的类型、数据影响的范围，还需考虑到行业法律法规等相关管理要求。此外，数据体量、时效性、数据脱敏处理等因素，也会影响数据安全级别的升高或降低。

数据分类分级后，生成数据分类分级报告和可视化图表，即数据资产地图。资产发现和分类分级的结果通过标准接口的方式，提供给安全产品和大数据给其他数据资源管理平台，完成对数据资产的安全访问和高效管理。

2、数据存储—数据加密存储

用户数据存储到数据库中，如果不采取加密存储等手段，那么只要有权限访问数据库的人，都能直接看到数据库中所有数据，包括重要的业务数据、用户隐私数据。尤其是在中小型企业中，数据库权限的管理基本是是由开发人员直接进行维护管理，数据安全性存在很大隐患。数据安全与信息合规产品解决方案基于用户数据安全，以及合规性考量，采取AES、3DES、SM4方式对用户敏感数据进行安全传输和存储加密。比如用户的登录和注册操作、数据返回前端、数据同步、以及接口调用、敏感数据加密传输等。

3、细粒度数据访问权限

企业应根据业务实际情况和内部管理要求，配备相关人员。并且，根据不同岗位权限和职能，对可接触数据的人员角色进行分离，避免出现权责不清、责任不明等现象。权限的设置应遵循符合业务安全需求和最小够用原则。数据安全与信息合规产品解决方案基于RBAC、ABAC模型，明确数据操作权限，支持将数据操作权限分配给指定用户/角色/岗位/第三方应用，并对数据操作日志留存记录，严格执行内部登记、审批制度。

4、数据安全审计&监测预警

数据安全与信息合规产品解决方案通过日志采集和记录，实现内部员工关于数据的操作行为审计，从海量日志中抽取关键信息，并以用户为维度将操作行为汇总建模，建立数据安全风险监测机制。对严重偏离模型的行为进行告警和发布，帮助管理员发现内部泄密的威胁。

解决方案价值

1、满足合规要求

随着数据量的爆发性增长及数据处理场景的多元化，传统人工识别隐私合规风险的方式已无法满足需求，数据安全与信息合规产品解决方案以自动化/智能化手段为组织展示隐私数据在组织内部的全貌，帮助企业识别合规风险，合法合规地处理数据。

2、保护数据安全

数据安全与信息合规产品解决方案从数据生命周期全链路出发，助力企业在数据收集、存储、权限管控、安全审计等方面做到数据的全方面保护，避免企业遭遇数据盗用、泄露等安全事件，确保隐私数据安全。

3、挖掘数据价值

在兼顾合规安全的前提下，数据安全与信息合规产品解决方案可帮助企业打通不同组织/企业间的数据壁垒，打破各应用间的数据孤岛现象，促进数据开发利用，挖掘数据价值，为企业提供数据决策支持。

结语

云计算、物联网、大数据、人工智能等新一代信息技术群落的兴起，数据成为关键生产要素的时代已然来临。在企业数字化、数据化发展的同时，也要注意对于数据的合规处理以及个人信息的保护。这是国家法律法规下的明确要求，也是企业自身发展的趋势使然，而对于企业合规的重视也将为企业提供发展的安全支撑以及更多数据价值的挖掘。

（本文作者：派拉软件 李媛媛）

（2022.7.1 数说安全报道）