面向个人客户信息保护的数据安全治理体系研究.docx
《面向个人客户信息保护的数据安全治理体系研究.docx》由会员分享,可在线阅读,更多相关《面向个人客户信息保护的数据安全治理体系研究.docx(14页珍藏版)》请在第壹文秘上搜索。
1、面向个人客户信息保护的数据安全治理体系研究一、引言在大数据时代,随着云计算、人工智能、区块链、联邦 学习等新兴技术快速推进数字化发展进程,人们无时无刻不 在享受着数字化所带来的便利,数据价值的挖掘也在不断深 入。但数据是一把双刃剑,个人客户信息等重要数据信息化 后,既可以得到快速、便捷、有效的利用,也面临着被非法 收集、窃取、泄露、篡改、破坏等风险。我国于2021年先后发布了中华人民共和国数据安全 法(以下简称数据安全法)中华人民共和国个人信息保 护法(以下简称个人信息保护法),从国家层面确立了数 据安全和个人信息保护的原则、责任和义务。为了使数据 安全法个人信息保护法的配套落地,一些上级机关
2、和地 方政府也先后发布了相关制度,例如中央网信办起草或者发 布了网络数据安全管理条例(征求意见稿)数据处境安全评估办法,深圳市政府发布了深圳经济特区数据条例。 可以预见,后续各级单位和各行各业也将不断完善各级法律 法规和政策制度,推动统一公平、竞争有序、成熟完备的数 据经济市场发展。证券行业作为典型的数据规模巨大、数据价值高、数据 应用场景复杂的行业,面向个人投资者提供着众多金融产品 和服务,对数据安全治理有着天然的诉求。然而,在开展数 据安全和个人信息保护政策落地时,往往面临着一系列问题 和挑战。例如,多法并轨下数据安全实施细则尚不完善,越 来越多的个人客户信息泄露来源于内部人员,海量数据导
3、致 资产梳理和分类分级难度大,数据的职责权属尚不明确,缺 乏长期有效的运营机制来持续保障等。结合近年来个人信息 保护的政策法规以及信息泄露事故,可以发现,这些问题和 挑战可能是出于管理、技术、运营等多方面的原因。为了解决个人信息保护和数据安全面临的这些痛点难 点,我们也需要在企业内从管理、技术和运营三个方面,建 立有效的数据安全治理体系,推动企业内外部数据的合规使 用、有序开放和共享。二、数据安全治理体系建设框架分析数据安全治理体系以个人客户数据为中心,自上而下搭 建企业数据安全的管理、技术和运营体系,并贯穿数据的采 集、存储、传输、使用、共享、销毁全生命周期,典型的数 据安全治理体系框架见图
4、Io图1:数据安全治理体系数据安全治理技术体系敏感数据识别数据库防护数据防泄漏隐私计算数据全生命周期采集存储传输使用(一)数据安全治理管理体系在数据安全治理的管理层面,需要深入结合国家、行业 监管和企业自身发展的诉求,制定公司数据安全战略、成立 数据安全组织、发布数据安全管理制度。数据安全战略指明了企业数据安全工作的愿景、目标、 规划和工作框架,是开展数据安全工作的纲领,是数据安全 的顶层设计。数据安全战略首先要求保障公司内各类数据资 产全生命周期的安全,避免遭到泄露或者非法篡改破坏,保 障数据的机密性、完整性和可用性,践行企业社会责任,保 障客户、企业和员工的利益。数据安全组织包含了决策层、
5、管理层、执行层和监督层。 决策层通常由公司数据安全最高负责人及各业务、职能部门、 信息化分管领导组成,负责对公司数据安全战略、范围、重 大事项进行决策。管理层一般由数据安全或者信息安全管理 部门或团队组成,负责数据安全治理体系的规划、建设、持 续运营、推广和培训。执行层一般由各个业务、职能和IT部 门的成员组成,是数据安全各项制度、策略和流程规范的主 要执行者,也多是数据的提供方和消费方。他们最能发现数 据安全管理的漏洞和潜在风险,也直接关系着数据安全治理 体系是否能有效落地和持续保障。监督层通常由数据安全审 计或者内控部门组成,负责定期对数据安全的战略、制度、 策略、流程等工作的贯彻落实情况
6、进行审查考核,发现问题 和风险并负责向决策层进行结果汇报。基于数据安全战略和组织架构,数据安全管理制度也可 以分为三级,分别是数据安全治理总则、管理办法和各项细 则。数据安全治理总则与数据安全战略相契合,是通过决策 层审定的数据安全工作的指导文件。数据安全管理办法明确 了数据安全的组织与人员、数据确权、各生命周期的保护策 略、应急响应、监控预警、审计评估、培训宣导等制度。数 据安全各项细则属于流程规范性文件,偏向流程落地和操作 指引,包括数据分类分级模板、敏感数据申请流程、数据安 全事件响应工单等流程模板和表单文件。(二)数据安全治理技术体系在数据安全治理技术层面,数据安全面临着国家、各级 政
7、府、行业监管、业务发展和客户体验等日益复杂的合规要 求和场景需要,国密算法、AE区块链、云平台等大数据技 术也在飞速发展,数据安全治理的技术体系也愈加全面和 多样,并非由单一平台和技术可以实现。与网络安全相比, 数据安全技术发展较晚,目前主流的数据安全技术包括数据 访问控制、数据加密、数据脱敏、数据防泄漏、隐私保护、 数据安全溯源、数据可用性保护、数据备份和数据销毁技术 等。企业需要围绕数据全生命周期的风险场景,与企业内数 据安全组织人员、策略、制度规范相配套,打造可落地的数 据安全技术工具,并发挥“1+12”的效果,及时发现风险, 反哺和优化数据安全治理的管理体系和运营体系。对于个人 信息的
8、保护,一些新兴的隐私计算保护技术需要加大投入和 研究,如差分隐私、联邦学习、多方安全计算等,这些都为 个人信息的隐私保护提供了新的解决方案和思路。纵观数据安全技术的相关发展和挑战,海量、多元和非 结构化数据已经愈发成为常态,数据呈现多样化、复杂化的 趋势。例如,在证券行业非现场开户中的视频“双录”数据、 呼叫中心通话记录、客户人脸识别数据等,多样的数据形态 和业务要求,给数据的存储、安全和管理都带来了巨大的压 力。另外,数据实时性的需求在证券行业内也更为迫切,这 也是新生业务和效率提升的必然结果。例如,反欺诈风险评 估、业务推广中的实时竞价,需要依赖实时、安全可靠的数 据采集、同步和分析处理。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 面向 个人 客户 信息 保护 数据 安全 治理 体系 研究