《数据安全合规探索与实践-尊重安全与隐私——纪帅(21页).pdf》由会员分享,可在线阅读,更多相关《数据安全合规探索与实践-尊重安全与隐私——纪帅(21页).pdf(21页珍藏版)》请在三个皮匠报告上搜索。
1、数据安全合规探索与实践数据安全合规探索与实践尊重安全与隐私尊重安全与隐私陌陌安全陌陌安全-纪帅纪帅2016.11中华人民共和国网络安全法发布,并于2017年6月1日正式实施。2017.05两高司法发布关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释,明确对个人信息的非法获取、出售等行为的量刑标准。2017.12全国信息安全标准化技术委员会发布信息安全技术 个人信息安全规范(GT/B35273),2018年5月1日正式实施,并于2020年再次更新。2019.12四部委联合发布App违法违规收集使用个人信息行为认定方法【191号文】2020.052020年5月,十三届全国人大三次会议表决通过
2、了中华人民共和国民法典,民法典强调了隐私权和个人信息保护,并于2021年1月1日实施。2019.5市监局、标准委联合发布信息安全技术 网络安全等级保护基本要求,于12月1日正式实施2020.11电信终端产业协会发布一系列APP收集使用个人信息标准。政策标准发展四部门联合开展App违法违规收集使用个人信息专项治理中央网信办、工信部、公安部、市场监管总局工信部开展纵深推进APP侵害用户权益专项整治工作【164号文】工信部开展APP侵害用户权益专项整治工作【337号文】北京通信管理局开展2020年北京市APP数据安全巡查检测专项行动2019.01.25-12.312019.11.6-12.20202
3、0.7.24-12.102020.9.3-12政策标准发展2021年主要监管动态法律法规数据安全法标准规范执法活动个人信息保护法常见类型移动互联网应用程序必要个人信息范围规定未成年人保护法各市开展2021年度App网络安全专项治理工信部开展互联网行业专项整治行动网络安全审查办法互联网信息服务算法推荐管理规定网络数据安全管理条例(征求意见稿)工信部开展信息通信服务感知提升行动明确公司管理层、各业务部门、IT部门、安全部门、内审部门等在数据安全管理工作中职责及内容分工。明确网络数据安全管理责任部门和责任人。通过提高在数据加密、脱敏、水印、监控等全方位的数据安全技术水平,实现多元化数据安全管理。建立
4、完善的、符合公司业务发展的数据安全制度体系。制度体系应涵盖数据安全总体要求、数据分类分级方法、数据使用(提取)流程规范等。数据安全管理制度数据分类分级原则数据提取流程数据安全监测巡查规范用户信息保护制度系统账号权限管理制度信息安全培训管理制度数据安全处罚规范新技术新业务安全评估管理制度信息系统备份管理制度信息安全事件管理制度信息安全应急预案数据分类个人数据经营数据数据资产表可参考GB_T 35273个人信息安全规范可根据公司实际情况分类机密数据秘密数据内部数据公开数据机密性重要性风险性数据分类分级数据分级示例:数据资产盘点表数据资产盘点表全生命周期管理(DLM)数据产生和采集1、授权同意2、合
5、法正当必要数据存储数据使用1、授权审批2、最小权限数据传输1、加密传输2、第三方审计数据归档与销毁1、归档写保护2、数据销毁3、介质销毁1、未经用户同意收集使用个人信息2、超范围收集使用个人信息3、App强制频繁过度索取权限1、数据明文存储2、敏感信息未脱敏1、数据违规下载导出2、权限未审计1、三方SDK滥用2、数据未加密传输1、敏感数据未删除2、敏感数据未匿名化1、加密存储2、定期备份3、备份恢复测试数据全生命周期总结1、在APP首次运行、注册登录等环节通过弹窗、勾选框等明显方式提示用户阅读隐私政策。2、不要用“好的”、“好”、“我知道了”、“我了解”、“我知晓”、“我已阅读”、“立即使用”
6、、“下一步”等无法清晰表达用户同意的词语。3、收集个人生物识别信息前,应单独告知目的、方式、范围以及存储时间等规则,并征得个人信息主体的明示同意。数据采集合规数据采集合规1、APP运行时,向用户索取电话、通讯录、定位、短信、录音、相机、存储、日历等权限,用户拒绝授权后,APP不应直接退出/关闭/白屏、无法注册/登录或者不断弹窗申请权限。2、APP申请敏感权限时应同步告知目的。示例:APP检测工具数据采集合规-检测工具1、APP、SDK的初始化行为应放到同意隐私政策之后。2、应在明确的服务对应场景时申请权限,APP未见提供相关业务功能或服务,不应提前申请通讯录、定位、短信、录音、相机、日历等权限
7、。不应在用户授权同意相关权限前就开始调用。数据安全访问-数据脱敏脱敏覆盖场景前端展示数据导出数据脱敏规则截断替换掩码加密测试数据传输示例:APP个人资料页绑定手机号脱敏入职/转岗 权限申请 权限审批 权限时效 权限冻结 权限清除离职 权限不兼容 新入职 转岗 离职 长时间未使用权限审计数据安全访问-权限管理示例:权限审计数据安全访问-权限管理数据安全平台申请审批流程数据安全导出第三方审计-规范共享管理合作协议合作协议安全评估报告安全评估报告对第三方数据保护制度、技术能力等进行评估台账管理台账管理建立三方台账管理机制,并定期更新三方清单,包括共享个人信息的目的、接收方情况等。签署合作协议,在合作协议中明确数据的使用目的、保密约定等内容。示例:第三方评估示例:定期对第三方SDK进行检测第三方审计-规范共享管理数据销毁-用户注销APP要提供有效并且简单易操作的账号注销功能,同时注销条件限制合理。注销提供条件不能多于注册时的条件。使用联合登录方式的账号注销,仅应解除关联或匿名化处理本APP内账号关联信息示例:APP注销功能监控平台监控策略配置监控策略跟进日志审计水印文本水印和盲水印工具用于业务系统和截屏操作,有效防止并追溯恶意员工的数据泄露行为敏感操作审计非常规高频请求非工作时间高频访问等策略识别数据安全风险数据安全审计THANKS