“你多说些甜言蜜语,我就多看一眼,多露一点,让我真的看得见.....”小李的手机突然响起,原来小李也是个暖心的男生。
“你好,有什么事吗?”小李拿起电话说,但是对方没有声音,只有嗡嗡声。小李挂了电话后,看了看来电显示,不禁疑惑,这是泰国。是谁呀?我没有过境。最近怎么打了这么多越洋电话?也许我的信息被泄露了,但是怎么泄露的呢?......
7月26日,广州市公安局通报广州某科技公司开发一款App系统后,因其未尽到数据安全保护义务,导致系统安全漏洞被不法分子利用。1000多万条公民个人信息面临被泄露的风险,因此被警方立案,罚款5万元。看着上面的通知,我不禁陷入了沉思——“注册账号——同意隐私”只是一件早就习以为常的事情,现在却要承担信息泄露的风险。
然而,除了我们日常生活中使用的app,我们更应该注意的是,作为“劳动者”的我们,还在另一个“笼子”里——用人单位,这也是人们常常忽略的一个信息场景。作为个人信息密集采集、使用和处理的主体,人力资源管理的日常工作流程涵盖了个人信息的整个生命周期。从签订聘用合同到考勤、工资发放,都需要在人力资源系统或APP中采集大量的个人信息,每个环节都会不断产生个人隐私数据。数据传输、数据缓存、日志打印、结果存储等。都有泄露的危险。
因此,无论是在生活还是工作场景中,企业都应该首当其冲地保护个人数据和信息安全。
法定义务和应尽义务
当前,以数字经济为代表的新经济成为经济增长的新引擎,作为核心生产要素的数据成为基础性战略资源,数据安全的基础保障作用日益凸显。随之而来的数据安全风险与日俱增,数据泄露、数据滥用等安全事件频发,给个人隐私、企业商业秘密乃至国家重要数据带来严重的安全隐患。
因此,国家对数据安全和个人信息保护做出了前瞻性的战略部署,进行了系统的顶层设计,不断加强网络安全、数据安全和个人信息的保护。近年来,《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》、《网络安全审查办法》、《数据出境安全评估办法》等法律法规相继出台,进一步完善和细化了个人信息收集和使用的合规要求,这意味着我国个人信息处理正式进入“有法可依、违法必究”的新时代。
对于数据与信息关系的理解,一般认为信息是数据的一个子概念,信息是从收集的数据中提取的有用内容。因此,数据安全法中的数据处理者在处理个人信息时,也是个人信息保护法中的个人信息处理者。因此,无论是面向公众的APP RD,还是公司内部的HR系统,相关企业除了遵守数据安全法外,还必须遵守个人信息保护法,尽最大努力保护个人数据和信息安全。
利用技术提高数据安全性的新框架。
保护个人数据和信息的安全,最重要的是技术的不断进步。从技术角度来看,个人信息往往以结构化数据或非结构化数据的形式存在。保护个人信息和数据的保护手段具有高度的通用性,经典的网络安全框架ATTCK是保护的核心技术。框架模型根据实际观测数据对对抗行为进行描述和分类,将已知的攻击行为转化为结构化列表,并将这些已知行为归纳为战术和技术,用若干矩阵、结构化威胁信息表达和可信自动交换指标信息来表示。
近年来,随着网络安全的日益重要,ATTCK框架在安全行业广为人知。简而言之,ATTCK提供了“对抗战术、技术和常识”的框架,这就像攻击者在攻击企业时使用的网络攻击武器谱。共包含12种战术,244项企业技术,涵盖绝大多数网络攻击手段,让安全运营不仅知己知彼。另一方面,ATTCK公司已经建立了一份详细的网络攻击对策和技术清单。能否有效提前规划,对未知行为做好防范?
进入数据时代,以攻防对抗为主的ATTCK框架难以覆盖“主动数据保护”的各种技术手段。在《2021数据安全与个人信息保护技术白皮书》中,提出了全新的数据安全技术框架DTTACK,该框架涵盖了数据全生命周期的安全保护,以期将两个框架结合起来,实现“攻防兼备、网数融合”。
如果说ATTCK的出现是让攻击战术有了共同语言,那么DTTACK的诞生则是主动保护数据本身,为保护模式构建共同的技术库,实现网络安全“事前、事中、事后”的全流程覆盖,能够主动识别、防范、发现和应对安全风险。
随着技术及其实践的不断完善,企业可以更有效地保护个人数据和信息安全。
安全赋能金蝶云星汉人类云领先
作为一项经常被公众忽视或接触不到的人力资源制度,企业不得不重视。此外,随着企业在全球范围内出海办公,如何不触碰各国标准不一的隐私保护法红线,成为企业管理者重要而棘手的问题。更有甚者,美国直接对涉及泄露个人隐私的公司开出了50亿美元的天价罚单,创下了美国美国联邦贸易委员会的罚款记录!全球化时代,企业人力资源系统面临着“内忧外患”的局面。稍有不慎就要罚款。应该如何打破局面,有效保护个人数据和信息安全?
就像一个非常大的全球性企业一样,它在180多个国家开展业务,雇用了数十万名员工。近年来,由于内外部战略环境发生较大变化,未来业务不确定性增加,公司面临转型压力。为了迎接挑战,现行的人力资源管理制度需要改革。金蝶云星汉人力云将结合集团业务现状和战略方向,为不同用户提供差异化的价值服务,从内控到场景服务,统一人力资源数字化运营平台,重塑人力资源管理,助力其全方位数字化转型。
但是,在不同国家对个人隐私保护的法律法规框架下,不同人群的数据保存期限是不一样的。保留期到期后,个人数据应匿名,以满足数据主体的权力需求。金蝶云星瀚人云可以根据领域定制匿名化规则,根据不同隐私权限对数据主体角色进行分类,并根据权限要求配置数据保留期限,按期对数据进行匿名化和假名化,为该企业在全球化征程中有效保护全球员工的数据和信息安全。
在数据展示和存储方面,针对偷窥和泄露他人隐私的风险,以及个人运营者和开发者非法导出个人数据的风险,金蝶云星汉人云提供了个人信息数据库加密和页面级个人信息脱敏功能,严格控制敏感信息的访问权限;同时,在用户自助服务器中,对个人信息进行脱敏,防止偷窥,同时采取多种措施全方位保护个人数据和信息。
此外,金蝶还吸收了与上述全球超大型企业合作项目的丰富场景和领先实践,创新多种安全技术,结合其20多年的HR数字化产品经验,在隐私声明签署、个人敏感信息脱敏显示、数据存储加解密、数据使用安全控制等各个环节为个人数据和信息安全保驾护航,全面解决企业HR系统安全的后顾之忧,助力开启HR管理新世界!
