一、 从实际业务出发
各个企业所涉及的实际业务都具有其独特性。您的企业或许是教育培训机构、医疗美容机构,也或许隶属于餐饮行业、金融领域,或者职能是提供公共服务等等。每一个行业都具有其行业的特点,每个企业也都会因自己的业务需要处理客户的个人信息。这些个人信息一定是能够识别特定客户,能够为我们的企业提供客户画像,也一定会与我们的实际业务存在深层次关联的。
举一个常见的例子:外卖行业。
针对使用外卖服务这一场景,用户的必要信息为联系人信息、电话号码、具体地址和订单信息。只有完全具备了以上信息,才能够保证业务有效地完成。那么外卖平台势必需要对上述用户数据进行采集和存储。这些被存储的用户数据应如何进行保护就成了企业所面临的重要问题。《个保法》《数据安全法》等法律法规将个人信息或者说用户数据的安全责任赋予了企业。如果发生数据泄漏等安全问题,企业自身将承担相应的法律责任以及安全风险事件给企业带来的负面影响。
基于“最小必要原则”,企业需要根据自己的业务特点梳理出自己主营业务中的关键性必要个人信息,且需要明确哪些对应数据对于业务来说是必要的,是完成业务的充分必要条件。在此基础上进行数据的采集和存储,并通过数据安全技术进行保护。
二、 梳理数据链路
当前互联网发展迅速,在数字化转型的浪潮下,信息化对当前的企业已经不是什么新鲜事物,所以当前的企业很多都具有自己的信息化系统,数据也都会经过信息系统进行流转,存储到各自的数据库中。那么从我们的系统对业务中的数据进行采集环节开始,到存储过程结束,整个链路都需要进行梳理。需要明确地知道这些数据从哪里来?经过哪里?到哪里去?存储在哪里?将来会如何地使用?这些问题都是企业在进行数据安全保护的准备工作时必不可少的要点。
三、 评估数据链路薄弱环节
在数据链路梳理清晰之后,需要针对数据在链路中的每一个节点进行数据安全风险评估。在数据处理全生命周期中的采集、传输、处理、存储、使用等各阶段所涉及到的所有节点与系统都要进行评估,找出数据链路中的薄弱节点,清晰地定位出各类数据在各个环节中安全风险的类型、程度和概率。针对业务流程也要明确哪些数据在哪些环节存在多大的安全风险。
经过评估之后需要针对薄弱环节进行有针对性的处理。依旧以外卖行业举例,在配送员配送商品的过程中,配送员需要知道用户的电话号码、地址和订单信息。这就造成了一个问题,配送员会接触到大量的用户数据,甚至用户丢弃的外卖订单也会被其他人所获取,这对企业来讲无疑存在很大的数据泄漏风险,所以一些企业将地址信息推送给配送员,但是电话则通过平台的虚拟号码来标识,且配送员与用户之间的电话需要通过平台来拨通。同时,外卖订单中将用户的真实电话号码通过隐藏部分字段的方法去标识化。这在一定的程度上减少了数据泄露的风险,同时也对用户的数据进行了保护。
四、 定岗定责
在数据安全保护过程中,定岗定责无疑可以更好地实现数据安全保护的目的。企业可以通过建设具有自身特点的、安全的、合规的保护制度,设置个人信息和数据安全保护的相关岗位,并明确岗位职责,专人处理专事,专人对专事负责,同时进行权限管理。在发生数据安全风险事件时,企业能够第一时间采取应急处置措施,并对事件的发生进行溯源,向责任人员予以追责。
当然,企业的数据安全保护,在未来将会伴随其自身业务的开展而发生变化。企业规模越大,数据的量级和复杂性越大,所需要承担的数据安全保护责任越大。到那时,针对数据安全保护来说所需要做的远远不止以上几点,需要进一步扩展和完善相关的数据安全及合规体系。
数据安全保护这条路,着实是道阻且长。
(本文系原创,未经许可,禁止转载。)
————