高光时刻:
【01:19】4步,构建数据管理的完整闭环
【03:54】为什么要参考GDPR?
【05:07】1个入口,3个出口
【08:52】静态评估,动态感知
【11:53】边界的变化
首席风控合规官: 哈喽大家好,欢迎大家收听“合规FM”,一个法务、风控、合规领域的电台节目。今天我们邀请到的嘉宾是凯馨科技的CEO孙诚孙总,我们的主题是“合规科技与隐私合规治理”。首先恭喜凯馨科技完成数千万元的Pre-A轮融资,也很感谢孙总拨冗接受我们“首席风控合规官”的访谈,我们希望今天的访谈可以既专业又活泼,深入浅出地为大家解答合规谜题。
凯馨科技旗下涵盖了隐私安全评估、密态数据流通和隐私态势感知版块,那首先能否请您具体介绍一下以及为什么要这样设置?
孙诚: 凯馨科技现在是将整个的方案分成了四个版块,分别叫做数据资产地图、隐私合规评估、密态数据流通以及隐私态势感知。这四个部分构成了数据管理的闭环,目的是为组织管理上合规赋能。
来源:凯馨科技
第一步数据资产地图,对于结构化、非结构化和网络中流转的流式数据关于隐私数据的部分,自动地进行标记匹配和安全等级分级,从而定义数据安全保护对象的边界。
第二部分是隐私合规评估,它是通过合规性的调查问卷和风险分析的矩阵,来定义业务使用边界和待解决的安全风险的边界。这个边界定义之后就可以关联到组织内部角色、数据处理的流程,来跟踪后续的安全处置任务的进展。
第三部分密态数据流通,是保护安全的具体措施。这个措施是以无插件的方式在数据的交互过程中,对终端用户以透明的方法自动完成数据使用过程中的解密和存储的加密,并且跟法规中定义的必要且明确的目的相关联。基于每个人访问数据的目的,开通相应的数据访问权限,在管理上通过统一的策略和视角管理数据在整个流转过程中的安全。
最后一步是隐私态势感知,跟踪、标记隐私数据的流动内容和状态,理解隐私数据当前的安全态势,管理越界和越权的行为,让合规管理体系可以持续增长。所以,它是一个对于前述的评估以及控制手段的反馈机制。这是我们的凯馨科技的整个方案,包括了从数据资产的对象管理、合规安全评估控制能力建设到持续跟踪反馈的闭环流程。
首席风控合规官: 其中隐私安全评估以国内的《个人信息保护法》、欧盟的GDPR和ISO国际标准、法律标准研究成果为基础,为什么这个里面会涉及到国际的法律欧盟GDPR呢?以及参考的动作对中国企业会有什么启示?
孙诚: 我们国内其实也有很多企业,它们的业务不单单局限在国内,比如说我们需要给国外的客户发送短信,我们的商品通过物流要送到国外客户的手上,或者说国外的客户通过国内的业务去做其他的服务。这些都会涉及到对于国外客户的数据收集。
根据各个国家的法律,你的数据是从谁那边收集的,这个信息就应该要遵循当地的法律标准。现在国内我们的客户已经有一些是需要在欧盟或者美国做生意的,因此我们的法律法规体系必须要涵盖欧盟的GDPR和美国的相关法律,是在业务处理流程中必须会关联到的内容。如果说缺少了这部分内容,我们国内的法律只能定义到我们国家的边界范围之内。一旦数据出去,或者(要)从对方拿取数据,我们就没有办法有合规连贯性的操作。这是在合规领域上站不住脚的,所以我们必须要做这个事情。
首席风控合规官: 密态数据流通“一进三出”是什么含义?
孙诚: 从数据采集到最后销毁,中间会经历数据的存储、使用、分享等等。数据采集到以后,要存到我自己的IT系统中,这就叫数据存储的过程。如果说我们在这个过程中没有加任何的安全保护措施,那么只要是具备数据资产或者是IT系统访问权限的人,都可以看到这些数据的明文结果,从而就违背了《个人信息保护法》的最小化授权的原则,也让我们的数据暴露在更多的视野内,增加了安全风险。这是不可以的。
所以,凯馨科技的“一进”,就是在数据入口将隐私数据或者是重要数据以加密的方式进行处理。处理之后的数据就是密文,其他有相应权限、但是没有相应使用目的的人违规访问了,依然看到的是加密后的结果。我们保护了隐私数据的安全。
接下来,当使用端有明确且必要的目的、经过了整个系统的安全人员确定可以使用密文的时候,我们就可以把数据给到你,根据实际的使用环境,采用不同的技术,这个就涉及到我们所谓的三个出口。凯馨科技根据数据实际使用的方式不同,把出口定义成了三种类型,分别是交互型的网关出口、外发分享型的ETL脱敏出口以及联合建模、联合运算的隐私计算的出口。
交互网关型的出口主要就是应用在一进一出的数据交互、数据交换的过程。像我们企业内部的运维人员、数据分析人员或者是关联到企业内部其他的应用、服务,都可以通过网关交互的过程来保证数据的安全能力。
第二类ETL脱敏,它可以将企业内部的数据直接分享给第三方。当然我们会进行数据匿名化、数据去标志化的处理,保证对方拿到的数据中涉及个人敏感信息的全部都已经清除。我们会将敏感数据变成一种标记的代号,代号和代号之间维持跟原来数据一样的关联性。对方就可以去使用这些数据,并且也不会涉及到隐私合规和敏感信息泄露的风险。
第三种是在双方联合构建模型或者是进行数据交互的过程中,我们要保证数据可以跟对方进行计算,但是又不能把真实数据拿出去。为了实现这一点我们采用了一种隐私计算的方法,密文数据来替代明文,让双方数据进行联合建模、联合计算。得出模型之后,需要双方之间共同解密,才能获得最终的结果。
这是我们的三个出口,应用在了三个不同的场景环境中。
首席风控合规官: 隐私安全评估、隐私态势感知,后者能不能够理解成前者的动态版本?
孙诚: 这两者不一样。隐私安全评估是事前。当一家企业想要上线一个业务,而这个业务又跟个人隐私信息密切相关的时候,我们就需要进行事前的安全评估。这一点也是法律上的要求,我们国家《个人信息保护法》中定义了跟个人数据处理、大数据分析、个人数据委托处理相关的,还有其他的对于个人权益有损害的行为,必须要进行事前的安全评估,包括对于个人隐私数据处理的目的、处理的行为、处理的过程以及过程中我的系统、服务对于个人隐私信息处理可能会存在的安全风险。我们要对它进行完整的评估,从而决定业务处理的边界在哪,以及IT系统的信息处理的服务可能存在的风险有哪些。
在开展业务之前,如果没有确定好边界,过程中随时都有可能遇到内外部的风险,导致隐私数据泄露,或者也很难去说服使用者或者监管机构相信数据是在合理的目的下流动的。这是事前评估要做的事。事后态势感知是在业务上线之后,我们建立了安全的控制措施,安全风险已经降低在可以接受的范围内了,进入到事后的管理状态。
在事后管理的过程中,我们需要去监控隐私数据的流动状态,包括隐私数据存下来了后有哪一些对应的服务、机器甚至哪一些人在访问,访问隐私敏感数据的行为是不是合理的行为,和我们之前的行为标准是不是一致。我们通过分析这些内容来识别当前在已经建设的安全方案和已经定义的业务逻辑之下,有没有违规的越界、越权的行为,那这些行为可能就是一些安全风险。我们需要及时地捕获它、分析它,最终如果它真是一个安全风险,我们还需要反过来去优化完善之前所做的评估和安全控制工作。
两者的区别,一个是事前评估,一个是在事后不断感知新的风险和对前者的工作进行反馈。
首席风控合规官: 前者更像是给数据画了一个安全的范围,后者更像是持续动态地监测数据全周期有没有风险,有没有可能越出这个安全范围、安全界限。
孙诚: 没错。其实我们做安全有的时候就是在定边界,一个开环没有任何边界的系统,很难去评价它的安全到底做得怎么样。隐私合规管理,也是同样的逻辑。我们要定义业务的边界、合规规范要求的边界、安全风险的边界,同时基于安全控制技术定义管控策略的边界。这是一个从未知到已知的过程。已知的边界是不是把所有的风险都囊括了呢?我们就需要有事后持续的监控跟踪机制来保证,这个范围根据业务、实际安全风险的发生来不断地调整,最终达到更完整、更安全、更合规的状态。这样一个周期性重复的过程,它不是一次性的,它一定是周期重复来运作的。
首席风控合规官: 划定的安全范围可能逐渐在扩大,甚至有的时候可能也是在缩小的。
孙诚: 对的,我们在实际项目中其实就有遇到。客户一开始在安全风险评估中认为它外部威胁有70多种,实际在运转的过程中,它慢慢缩小业务边界,自身的脆弱性慢慢减少。最后经过半年多的发展,70多个外部威胁缩减到了只有5个,整个后台都会变得很轻松。其实我们做合规有的时候也是从未知到已知的过程,让企业的管理更加安心,提升内部管理效能。这也是我们最核心的一个理念,我们始终相信:合规与安全不是目的,而是促进数据在监管中有序流通的手段。产品和方案应该尽可能的简单和有效,让管理者把注意力放在更重要的事情上。
首席风控合规官: 好的,感谢您参加今天的访谈,期待下次和您聊出更多更有趣的合规话题。合规请听好,我们下期再会!
- End -
本文撰写所需的信息采集自合法公开渠道,我们将尽力核实信息的真实性与可靠性,但不对信息的完整性、准确性、时效性提供任何形式的保证,且不对因信息错误或遗漏导致的任何损失或损害承担责任。本文系原创文章,版权归作者所有,如需开白、转载或出版,请联系后台。
