315又成为个人隐私专场!企业如何有效落实数据安全?
近年来,线上消费得到提振,由此也带来了线上业务的纠纷,由于互联网平台对算法技术的不合理应用,导致人脸识别滥用、线上简历泄露事件频频上热搜,今年315晚会的第一枪,就对准了这些数据安全问题……
事件1
谁偷了我的脸?
315晚会曝光某知名品牌卫浴门店、某汽车品牌4S店等地暗藏具有人脸数据收集功能的摄像头,商家为了精准营销,在顾客不知情的情况下窃取了他们的人脸信息。这些摄像头可以精准识别顾客面部特征、性别、年龄,甚至此时此刻的心情。
人脸信息属于个人独有的生物识别信息,一旦泄露,将严重威胁顾客的财产安全、甚至生命安全。
有法可依:
我国已经将人脸数据信息纳入个人敏感信息进行从严监管,《个人信息保护法(草案)》第27条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需。《个人信息安全规范》规定,收集人脸信息时应获得个人信息主体的授权同意。《民法典》第1035条规定,处理个人信息应征得该自然人或其监护人同意。
事件2
你的简历正在被贩卖!
315晚会曝光了出售招聘网站简历信息的平台,在这些平台只需花费7元,就可以获得求职者的简历,包括姓名、性别、年龄、照片、联系方式、工作经历、教育经历等一应俱全,卖家甚至还可以根据客户需求对简历进行精准筛选。这些求职简历信息,在不知不觉中,被不法分子肆意下载、多次倒卖,甚至流入诈骗团伙手中。
有法可依:
《民法典》第111条规定,任何组织或者个人,包括信息处理者,除不得非法收集个人信息外,还不得非法买卖、提供或者公开他人个人信息。
《中华人民共和国数据安全法(草案)》第29条规定,任何组织、个人收集数据,必须采取合法,不得窃取或者以其他非法方式获取数据,应当在法律、行政法规规定的目的和范围内收集、使用数据,不得超过最小必要原则。
个人信息安全保护方案:
如今,数据泄露事件频频发生于各行业,数据安全防护不到位导致海量个人信息通过各种途径被泄露的情况比比皆是,闪捷信息建议各政企单位采取以下措施,构筑个人信息安全防线:
1.数据分类分级,发现敏感数据
首先通过分级分类,发现敏感数据所在,闪捷数据安全治理服务团队可以提供完善的数据安全治理服务。通过人工调研、业务访谈结合机器学习、业务流数据抓取、数据库主动发现、文本识别等技术,从企业业务数据中提取数据文件核心信息,对数据按照内容进行梳理,生成标注样本,帮助企业结合相关标准和业务场景理清敏感数据资产,对数据的重要程度进行划分等级,从而为采用不同的安全措施做好准备。
2.做好风险评估
其次,闪捷数据安全治理服务通过资产识别、威胁分类、脆弱性识别、风险计算、处置建议实现基于数据安全风险评估的体系化建设,发现数据资产的外部安全隐患并得以尽早进行整改和建设,根据评估内容选择安全控制措施,对发现的数据资产进行安全风险加固。
3.建立完善的制度
数据泄露始于企业自身对安全项的疏忽,闪捷建议企业应该确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度;明确部门以及个人的数据安全保护义务,落实数据安全保护责任,规定支持促进数据安全与发展的措施,建立保障数据安全的制度措施。
4.落实安全保障
针对已经保存的敏感数据,如人脸识别特征码、简历中的隐私信息等,可以采用数据脱敏的方式,防止敏感数据被滥用。数据脱敏通过数据漂白、数据混淆、数据去隐私化,确保对外发送的数据是处理过的数据而非原始数据,保护企业内外部所有敏感数据。
对企业内部所有的数据使用和流转实时审计、实时分析;闪捷“图灵”实验室自主研发的擎天AI平台结合数据库审计系统,采用大数据通讯协议深度解析技术和高性能数据分析处理引擎,完整审计数据的访问过程,实时监控大数据的风险、运行、性能状况及数据执行分布情况,识别数据访问异常,例如简历访问数据量的异常或不当访问,可以进行干预和预警。
关于闪捷信息:
闪捷信息(Secsmart)是一家专注数据安全的高新技术企业,在业界率先将人工智能、量子加密技术成功应用于数据安全领域,创新性提出“零信任”动态数据安全治理以及“云管端”立体化数据安全解决方案,产品范围涉及数据安全治理、数据加密、数据脱敏、数据库审计、数据库防火墙、数据防泄漏、大数据安全、云数据安全等,已广泛应用于政府、电力、运营商、金融、教育、医疗等行业。