隐私保护和数据安全关系
数据主体
采 集
数据控制者
使 用 流 动
数据控制者
数据使用者
主体权利 主体隐私
使 用
数据使用者
• 隐私是个法律问题 • 但在数据流动和广泛使用的时代，隐私问题需要从法律层面映射成数据技术问题 • 数据流动带来了极大的数据/隐私安全的挑战
数据流动让数据风险贯穿全局
业务C1 采集 传输 加工 存储 使用 销毁
资金
全知科技 应数而生 守安卫全 就智而成
传统数据安全误区：把数据安全看作信息的载体安全
IT时代，数据是信息的载体，数据安全往往被认知为等同于“已知信息在数据载体上 的安全” 但DT时代，数据不仅仅是信息的载体，是创造增值的未知知识与情报的生产资料，同 时牵涉进来了业务过程影响。
传统数据安全误区：只重视资产视角的数据访问层安全 忽视数据使用和流动安全
安全 保护 主体
风险 控制 风险 对冲 不确定事件 潜在危害
非安全
应对DT时代数据安全的核心需求是风险控制
风险 单纯安全保护措施的受限条件 确定的保护客体 VS 数据带来的其他客体风险 明确的权限体系 VS 数据基于业务使用授权 确定的保护边界 VS 数据跨域的流动性管理 需要引入风险控制措施以解决 数据带来的其他客体风险：需要从授权、用途、量 级、法律规范等多种角度动态追踪和分析风险 数据基于业务而非可信的合法授权后的风险：数据 是用于生产的，内部威胁因素最大。需要从用户行为、 用户具体使用的数据内容去建立针对已经合法获取授权 用户的动态实时的可审计、可风险建模、可溯源追责的 体系。 数据流动中的风险：数据是在系统、应用、内外部 组织不断流动的，需要从数据的来源、去向、血缘、驻 留等各种角度动态追踪和分析风险。
爬虫爬取接 口数据 合作伙伴滥 用拉取数据
内部用户滥 用数据
数据库操作人 员违规导出或 阅读数据
BI人员利用 数据视图绕 过限制读取 数据 BI人员非工 作目的建模
内部用户滥 用数据
外部接口 服务器
外部接口 服务器
内部用 户终端
系统运 维终端
DB运 维终端
研发测 试终端
BI人员 内网导 出终端 终端
• IT时代，因为数据流动较少，以1：10：100强调事前保护，忽略事后追责溯源体系； • DT时代，数据以生产资料方式动态流动场景中无法确定谁是可能的1？一般情形的事前防御会 极大影响效率。而事后可追责溯源机制是保证效率同时可降低事件概率的较经济的手段。
传统数据安全误区：用“数据生命周期”来做数据安全 体系规划
数据流动保护风险
更多数据来源 更多基础使用 外包威胁 更多外部合作 更多跨域流动 数据采集和来源授 权、去向用途 存储保护和使用目 的 合作伙伴生产链威胁
内部威胁者
外部威胁者
IT系统的信 息 加密（存储&传输） IT系统网络 IT系统网络安全
效率！效率！ 效率！
对他人隐私影响风险
IT时代数据安全保护体系
转换数据安全的视角：生产资料视角而非资产视角
资产价值视角
静态资 产价值 风险
数据资产 态
传统数据安全体系是站在资 产价值的视角
数据生产资料 态
动态资 料价值 风险 数据业 务效率
数据业 务过程 风险
数据的业务过 程
对用户价值更大的是数据生 产过程中的生产资料的保护 和生产过程中的业务风险控 制
业务价值视角
• IT时代，数据只在单一应用里使用，数据风险更多是在数据运维管理上；数据安全更关注运维 操作的安全体系建设，很少关注数据的流动与使用场景的风险体系建设。 • DT时代，数据以生产资料方式动态流动使用，带来流动保护需求以及数据的业务过程风险。数 据的保护重要需要移动到数据的使用与流动中。
传统数据安全误区：只重视资产视角的事前保护忽略生 产过程视角的溯源追责体系。
全知科技 应数而生 守安卫全 就智而成
由信息到数据
知识
归纳
客观事物 发现 数据 解读 表达 数字载体 信息 推理 情报
• • • •
信息是用来消除随机不确定性的东西/信息论。 数据是客观事物未经加工的原始素材的呈现。 信息安全的核心是保护组织的信息背后的知识与情报，以获得竞争优势。 在计算机系统中：
数据发布、共享、 交换、出境 用户隐私、知情、 控制和权益
数据上下游业务故 障和质量
对国家安全影响风险
数据主体权利保护风险
数据业务过程风险
类比法认知数据安全与信息安全的差异
传统数据安全本 质是信息安全在 数字载体上的静 态资产属性安全
用于价值呈现和非 再增值使用 多种数据表达形式
信息
财产安全关注财 产主体自身资产 属性安全
数据风险 控制层 C 数据基础信 息层 B
数据流动带来的数据治理层风险
数据治理层数据风险
数据变更风险 数据来源去向用途风险 缺乏细粒度权限控制能力 数据驻留追踪风险 数据资产位置发现 敏感数据资产分布和管理 数据无序复制风险
用户终端
应用服 务器
应用数 据库
大数 据中 心
应用数 据库
应用服 务器
外部接口 服务器 外部接口 服务器
• • • • 直接信息的中心位置被弱化：人们发现通过相关数据也可以获得未知的知识与情报。 数据的相关性：可以只使用相关过程数据，这些数据维度多动态性强场景复杂难以通过垄断数据源的保护方式来保护。 数据的流通性：掌握数据的一方不一定需要对应的情报与知识，需要获取数据的一方可以多个相关维度获取数据 数据第三方风险：掌握数据的一方可能并不会受到风险，但可能给第三方带来风险。
业务B1 采集Βιβλιοθήκη 传输加工存储
使用
销毁
交换&共享
业务C2 采集
传输
加工
存储
使用
销毁
业务A
采集
传输
加工
存储
使用
销毁
数据风险通过 数据流动，贯 穿多个系统和 阶段中，形成 了一个难以分 割的风险整体
销毁
交换&共享
业务C3 采集
传输
加工
存储
使用
业务B2 采集
传输
加工
存储
使用
销毁
业务C4 采集
传输
加工
存储
使用
销毁
数据流动带来了新的风险与挑战
• 业务过程风险是最核心的风险
？
• 复杂的数据流动导致风险追踪的困难 • 广泛的数据使用让风险无处不在
无法基于可信 授权
需要平衡生产 效率
？
• 生产效率与数据风险控制的平衡 • 基于可信的授权控制被削弱
锄地生产
价值
挖断电缆 不当损坏
风险
IT时代数据安全体系无法适应DT时代的挑战
隐私&重要数据分类分级管理合规风险 隐私&重要数据存储保护合规风险 隐私用户权利保护合规风险 隐私&重要数据泄露后应 急措施合规风险 隐私影响评估
内部用 户终端
应用层数据风险
数据库访问控制层风险
应用层数据风险
数据流动带来的合规风险
隐私数据采集与使用目的合规风险 隐私数据第三方SDK合规风险 隐私数据采集准确性合规风险 隐私&重要数据传输保护合规风险 隐私&重要数据驻留合规风险 应用服 务器 隐私数据发布合规风险 隐私&重要数据传输保护合规风险 隐私&重要数据据使用保护合规风险 隐私&重要数据驻留合规风险 隐私&重要数据共享和交换合规 隐私&重要数据离境合规风险
安全 保护 主体
风险 控制 风险 对冲 不确定事件 潜在危害
非安全
全知的DT时代的数据安全整体风险视角
数据治理 层 G 数据风险 识别层 D
G/数据资产风险治理：针对风险要素识别处理 数据的分类分级与细粒度权限策略 数据的血缘关系与策略一致性 数据所有者和数据数据变动传递风险管理 数据来源与去向&授权与用途追踪、数据标签管理 数据的驻留追踪 R/人为风险动态识别 用户滥用行为 异常拉取、爬取、截留行为 异常DB操作、BI操作、数据导出操作行为 异常数据流动和流向信息 数据泄露事件情报 R/人为风险控制 加密&脱敏 细粒度权限控制 流向控制、追踪&审计、溯源 速率控制&拦截&风险控制策略 C/合规风险动态识别 采集传输使用存储合规风险 交换共享发布离境合规风险 数据的授权与用途合规风险 数据分类分级管理合规风险 数据驻留与第三方SDK合规风险 C/合规风险控制 加密&脱敏 细粒度权限控制 合规操作&措施&审计&评估 用户权利保护&协议 Ｂ/数据基础信息采集 数据资产存储分布信息 数据应用层使用驻留和流动信息 数据库管理、BI和导出操作信息 数据来源与去向的流向与授权信息
数据成为业务的石油而流动
合作流入 数据
系统A 数据A 汇集、加 工、关联、 分析
合作流出 数据
系统A
数据A
AI建模
系统B
数据B
系统B
数据B 数据D
系统C
数据C
系统C
数据C 系统D
IT时代：业务数据化 数据以信息在计算机系统中承载的 方式存在，数据来源和使用单一， 也没有形成复杂的上下游关系
DT时代：数据业务化时代 数据通过业务采集和多种外部来源渠道汇集、多维度加工、回流业务系 统、以及各种系统数据不断加工和使用形成了非常复杂的上下游消费链 路以最大化数据的价值同时流出体系。数据的管理、用途授权控制、业 务使用流动的保护风险都非常复杂。
用于价值呈现和非再 增值使用 多种资产表达形式
财产
分析 建模 载体形式：数据库、文件、数据流
DT时代的数据安 全需要关注流动 中的业务过程风 险与动态生产资 料保护