事件回顧 今日,據(jù)“網(wǎng)信中國”微信公眾號消息,國家互聯(lián)網(wǎng)信息辦公室依法對滴滴全球股份有限公司涉嫌違法行為進行立案調(diào)查。經(jīng)查實,滴滴全球股份有限公司的違法違規(guī)行為事實清楚、證據(jù)確鑿、情節(jié)嚴重、性質(zhì)惡劣。國家互聯(lián)網(wǎng)信息辦公室依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》《行政處罰法》等法律法規(guī),對滴滴全球股份有限公司處人民幣80.26億元罰款。
從國家網(wǎng)信辦公布的調(diào)查詳情中,以數(shù)據(jù)安全的視角來看,滴滴的16條違法違規(guī)行為中以下幾條尤其要引起重視: 1、持續(xù)違反2017年6月實施的《網(wǎng)絡(luò)安全法》、2021年9月實施的《數(shù)據(jù)安全法》和2021年11月實施的《個人信息保護法》。 2、通過違法手段收集用戶剪切板信息、相冊中的截圖信息、親情關(guān)系信息等個人信息,嚴重侵犯用戶隱私,嚴重侵害用戶個人信息權(quán)益。 3、過度收集司機學(xué)歷信息14.29萬條,以明文形式存儲司機身份證號信息5780.26萬條。 4、違法處理個人信息達647.09億條,數(shù)量巨大,其中包括人臉識別信息、精準位置信息、身份證號等多類敏感個人信息。 可以看出,滴滴既打破了合法合規(guī)的企業(yè)安全責(zé)任底線,同時在數(shù)據(jù)的收集、存儲、使用等環(huán)節(jié)中漏洞百出,造成相關(guān)敏感數(shù)據(jù)的外泄與濫用,給國家關(guān)鍵信息基礎(chǔ)設(shè)施安全和數(shù)據(jù)安全帶來嚴重安全風(fēng)險隱患。 滴滴事件不僅強化了社會各界對數(shù)據(jù)安全重要性的認知,同時也再次佐證了數(shù)據(jù)安全才是企業(yè)在數(shù)字時代長遠發(fā)展的唯一底座。通過滴滴事件的警醒,各行業(yè)企業(yè)也需要對自身數(shù)據(jù)安全體系建設(shè)進行再次的自糾自查。面對海量的涉密數(shù)據(jù),企業(yè)如何做到縱深防御與動態(tài)防御一體化,在安全與效率之間尋找黃金分割點? 敏捷建議 通過對安全事件的總結(jié),結(jié)合自身在數(shù)據(jù)安全領(lǐng)域的攻堅與實踐,敏捷科技對數(shù)字化轉(zhuǎn)型中的企業(yè)數(shù)據(jù)安全防護與統(tǒng)一管理提出以下幾個建議: >>> 數(shù)據(jù)存儲強制加密 >>> 業(yè)務(wù)系統(tǒng)落地加密 對于內(nèi)部業(yè)務(wù)系統(tǒng)(OA、ERP、PLM等)存儲的敏感數(shù)據(jù)(基建設(shè)施信息、客戶個人信息等)下載到電腦終端時自動加密。并且脫離加密環(huán)境不可讀、不可用??梢栽谕獬鲛k公、跨境辦公、居家辦公等外部場景下實現(xiàn)對內(nèi)部數(shù)據(jù)的安全保障。 >>> 涉密文件外發(fā)管控 在協(xié)同設(shè)計、協(xié)同生產(chǎn)等場景下,對需要通過正常渠道流通的涉密文件,通過設(shè)置分層多級的外發(fā)審核流程,確保對外發(fā)數(shù)據(jù)的管控與記錄,通過審核之后轉(zhuǎn)成明文的文件也可以進行權(quán)限設(shè)置來保證除接收方外不會發(fā)生二次泄密。 >>> 快速定位溯源審計 敏捷數(shù)據(jù)安全衛(wèi)士系統(tǒng)DGS 是敏捷科技自主研發(fā)的以主動式智能加密技術(shù)為核心,數(shù)據(jù)安全防護與管理于一體的統(tǒng)一平臺。通過豐富靈活的數(shù)據(jù)加密方式、落地加密、外發(fā)管控、水印溯源審計等全方位的安全管控手段,可以為企業(yè)建立統(tǒng)一、安全、可控、便捷的數(shù)據(jù)可信交換通道,實現(xiàn)事前可預(yù)防、事中可控制、事后可追溯的核心數(shù)據(jù)全生命周期管控。 近年來,國家不斷加強對網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息的保護力度,先后頒布了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《網(wǎng)絡(luò)安全審查辦法》《數(shù)據(jù)出境安全評估辦法》等法律法規(guī),細化對企業(yè)數(shù)據(jù)的監(jiān)管要求。 在數(shù)字化轉(zhuǎn)型的大背景下,企業(yè)要堅持安全與發(fā)展并重,進一步加強網(wǎng)絡(luò)安全、數(shù)據(jù)安全建設(shè),加強個人信息保護,切實履行社會責(zé)任,切實維護國家網(wǎng)絡(luò)安全、數(shù)據(jù)安全和社會公共利益。
使用數(shù)據(jù)加密技術(shù)手段對所有內(nèi)部終端進行加密管控,保證圖紙、文檔等敏感數(shù)據(jù)在創(chuàng)建、存儲、傳輸、使用和銷毀的全生命周期始終都處于加密狀態(tài),保證內(nèi)部文件始終以密文狀態(tài)存儲,從源頭杜絕數(shù)據(jù)安全風(fēng)險。
通過文件水印、屏幕水印等手段對每一份信息產(chǎn)品的歸屬提供完全和可靠的證據(jù),有效實現(xiàn)泄密文件的溯源。在安全事件發(fā)生后,審計部門也能在捕獲到文件后,第一時間定位泄密源頭,保障企業(yè)權(quán)益。