通信世界网消息(CWW)数字时代,数据安全已成为企业的核心命脉。那么,作为互联网头部企业的腾讯云,如何做到数据安全保障和个人隐私保护?9月22日,2022(第十九届)北京互联网大会举办,在云网安全与数字治理论坛上,腾讯云安全副总经理钱业斐分享了“大型互联网企业个人隐私安全治理实践”。
大型互联网面临数据安全挑战
云计算、大数据等新技术本身能帮助企业业务快速提升,但新技术的出现也会带来新的风险面,这些风险面对传统的技术架构思维带来挑战。而不同风险领域的终局、打法、指标、技能要求不一样,要清晰定义数据安全的边界和终局。
在个人隐私数据保护方面,行业警钟频频敲响。GDPR重塑公众意识,建立商业利益和个人权利平衡关系,长臂管辖加快了各国对应的立法和规定的进程。在国内,从前几年的《网络安全法》,到2021年实施的《数据安全法》和《个人信息保护法》,都体现了国家对数据安全的治理决心和重视程度。
由此可见,做好个人用户隐私防护是企业数据安全治理的重中之重,但对于企业而言,落实隐私保护工作纷繁复杂,各部门责权利不一致导致业务部门无所适从。
“互联网业务快速发展、人员流动性大、需求瞬息变化,建立符合互联网特点的数据安全解决方案难度很大,既需要能满足外部合规,也要能满足内部数据流通和使用,还能及时感知内部数据泄露行为。” 钱业斐坦言,“大型互联网企业个人隐私安全治理的难点在于如何低成本彻底解决问题。”
个人隐私数据保护需要技术强监督
钱业斐强调,个人隐私数据保护不仅是管理和法律合规问题,更需要技术思路来监督,确保有效执行。
在个人隐私数据包括方面,腾讯安全从“理、收、管、查、抓”五个环节开展实践。第一环节是通过技术“梳理”各个阶段的个人隐私数据如何流动;第二环节是定义关键个人隐私数据范围并收敛,尽量归一库统一管理;第三环节是定管理制度,看抓手、定指标,建立正向技术防御能力,降低事件发生;第四环节是重检测快响应,用事件反向驱动正向建设,用数据验证正向建设效果;第五环节是抓恶性严重数据安全事件,重处置重威慑,辅以必要性的染色或溯源。
“要保障云平台的严重数据安全事件趋近于0发生!”,在钱业斐看来,具体到个人隐私安全保护,可以采用数据驱动的方式,把风险点量化出来,通过数据驱动方式计算出最终的风险发生概率。