涉及个人数据的发布与共享

最新推荐文章于 2023-11-10 20:04:05 发布

maoguan121

最新推荐文章于 2023-11-10 20:04:05 发布

阅读量280

点赞数

文章标签：网络

本文链接：https://blog.youkuaiyun.com/maoguan121/article/details/127565765

版权

小结

随着企业业务发展和扩大，数据库、大数据平台以及流动过程的数据越来越庞大，业务复杂多变，其面临的数据安全问题和威胁越来越突出和严，不仅有来自外界的攻击，也有内部管理或错误配置等引发的数据窃取或敏感信息泄露。企业内部数据安全治理不仅是满足合规性
的需要，同时也是内部自身安全的需求。敏感数据的安全性是企业数据安全防护的重中之重，其第一步需要更好地识别和发现敏感数据，对于普通的结构化数据，传统的正则和关键词等方法可以应对，然而对于尤其是非结构化或半结构化数据，比如文档、网页、XML文本等，需要应用敏感数据智能技术，通过机器学习，自然语言处理进行赋能，以高识别的准确率；数据脱敏作为一种成熟的技术广泛应用在企业的敏感数据的处理环节，然而数据脱敏并没有完全彻底消除隐私风险，脱敏完成后仍需对脱敏数据集的残余风险进行评估与检测，以实现风险感知与控制。敏感数据的流动与操作行为需要监控与审计，UEBA作为数据驱动的智能技术，可智能发现用户数据操作行为异常与攻击事件。通过这一系列创新技术，实现企业内部更好的数据安全治理与防护。

前沿技术赋能企业间数据共享

与计算
聚焦在企业间数据共享与计算场景，首先分析其四个典型的子场景合规性要求与安全挑战，后续将从应对的四种前沿技术
，包括数据匿名、同态加密、安全多方计算、联邦学习，进行技术原理、行业应用、以及未来发展的介绍与探讨。

数据安全场景与挑战

本节将分析用户隐私数据安全合规的四个子场景面临的合规性条款，以及安全挑战。

涉及个人数据的发布与共享

随着数字化的升级与转型，企业的数据发布、共享、融合等场景需求正变得越来越多。然而，涉及个人隐私数据的发布，以及数据共享，会产生隐私安全问题与危害，企业相应的安全保护措施，同时满足合规性要求。

GDPR：如前文 1.2.2 节所述，企业 A将个人数据委托给企业 B进行处理，用户对企业 B具有限制处理等权利，即用户出任何纠正、删除或者处理限制，企业 A必须传达给企业 B，企业 B 必须对该用户请求进行响应（第 19 条）；然而，企业对个人进行匿名化处理，得到的匿名数据，可用于统计和研究目的，其不受 GDPR的约束与限制（GDPR前言的第 26 段），也就是说，企业无需对该部分数据履行数据权利请求响应等法规义务（GDPR 豁免权）。
《网络安全法》：在第 42 条指出个人数据合法共享有两条途径：➀ 征求所涉及的用户同意；

➁ 对个人数据进行匿名化处理（达到“经过处理无法识别特定个人且不能复原”效果），该情况无需征求用户同意，可直接与第三方企业进行数据共享（第 42 条）。

企业不经处理直接将用户数据对外发布，或直接将数据共享时，一方面客观隐私泄露风险较高，另一方面触犯法规风险较大。具体来说，在 GDPR场景，企业进行数据共享必须在数据采集阶段向用户展示限制第三方处理的设置窗口界面，这增加了原始个人数据与第三方共享的难度；而在《网络安全法》场景中，其中一条合规的数据共享途径是：企业需征求待共享数据所涉及的全部个人信息主体的同意与授权，但这极大具体实施过程中的实施成本，尤其是数据中涉及大量的个人信息主体。那么，如何实现低成本的、安全合规的数据共享与发布，这对于企业来说是一大挑战。

云上数据安全的存储与计算

随着云计算产业的快速发展，数据上云近年来成为趋势。然而，上云的数据中可能涉及用户隐私以及其他类型敏感数据，隐私与数据泄露风险日益增多。特别是在公有云场景中，比如企业 A拥有一批数据，它为了降低成本选择外包给廉价的第三方⸺公有云平台（企业 B）处理与计算。若处理数据中涉及用户隐私数据，那么企业 A和 B均需承担法律责任，即满足合规性。

合规条款
GDPR：企业与委托第三方（比如公有云）进行数据处理时，必须进行严格挑选与授权，并通过技术或管理措施以确保传输的数据完整性与机密性（第 5条，数据处理六大原则）；对于技术措施， GDPR明确推荐加密等技术（32 条）。
《网络安全法》：企业履行数据安全与个人信息保护义务，法规同样推荐应用加密等技术措施，防止数据（个人信息）泄露以及毁损等安全问题（第 21 条）。
问题挑战

传统的数据加密方法（如 AES, SM4等），加密得到的密文数据“杂乱无章”⸺无法在云服务器进行分析与处理。因此，亟需一种新的加密技术，不仅能保障数据内容的安全，同时得到的密文数据仍然可执行数据分析操作。

应对技术： 同态加密（参见 5.3 节）