[Future of Security] 安全专家访谈录系列之(5):

Information Security – Data Compliance 数据合规

访谈专家：Jason Meng

IAPP(国际隐私专业协会)北京分会主席、IAPP特约CIPM(注册信息隐私专家)讲师。

11年外资企业信息安全及隐私保护管理经验，曾作为Data Privacy Officer及Information Security Officer任职于德国博世(Bosch)、拜耳(Bayer)及国内知名金融互联网公司。目前就职于云计算领域公司负责全球数据合规事宜。

SMs: 您之前从事的工作主要是信息安全和DLP方面，能否简要介绍一下DLP主要包含哪些内容？

Jason: DLP（Data Leakage Prevention）是一种防止重要数据泄露的方案，算是一种工程学科，主要目的是为了保护企业或机构重要数据对外泄露。

各行各业都在采取适用的方式来防止数据泄露的发生。其中的动机来自于对于知识产品的保护、商业机密的保护，也来自于法律法规对于特定行业的要求，也常常考虑到数据泄露后对于社会民生的影响。以关键信息基础设施对于国家定义的重要数据的保护尤为明显。

这种保护方案应该是多维度的，各行业在每个维度的发力是不一样的。

对于一些传统行业领域，往往会在技术层面采购并使用一些DLP软件。在行政管理方面会配套专业的信息安全团队，制定一套数据保护的方针政策、流程制度。

但对于互联网行业，可能会采用更加多维的方式防止数据泄露的发生。

不仅仅在客户端和服务端应用DLP软件，还会采用大数据分析的能力监测员工在访问及使用重要数据过程中的行为异常，在违规事件发生前进行阻断。

除了大数据，我们也看到一些前沿技术已经应用到防数据泄露领域。

例如手机对电脑显示器中的内容进行拍照时，可以运用暗藏水印的方式让照片可以溯源到违法员工甚至作案地点和时间。

还有一些硬件厂商，可以在违法员工操作重要数据时，通过硬件采集作案影像等。

当然，随着一些新技术的出现，数据防泄漏的挑战也日益增加。例如去中心化的数据存储和计算等。

防数据泄露短期内应该还会是一个攻防战，此消彼长。功防的目标始终是数据和人，这可能不是一家企业的问题，也许是一个行业甚至整个社会都该面对的问题。例如通过建立行业职业诚信记录机制，有可能会解决一个行业的问题，最终受益的是每个企业。

SMs: 您现在从事的工作主要是数据合规，跟之前的信息安全和DLP主要有哪些不同？有哪些交叉或相同内容？

Jason: 数据合规其实是保证数据的采集、使用、传输、分享等环节符合法律法规、行业规范、资质认证或公司准则的要求。

这个领域提及的数据，一般是指个人信息和国家重要数据。

信息安全主要侧重于保障数据的CIA三性（机密性、可用性和完整性），这个数据主要是指对于一家企业或机构的重要数据，可能是知识产权、商业机密等。它可能会包括专利、生产参数、财务报表、客户信息、医疗数据、商业情报等等所有对于一家企业有价值的信息资产，关注的是信息的财产属性。

*编者 按：CIA – Confidentiality 机密性, Integrity 完整性, Availability 可用性。

个人信息的数据合规，最终目的是维护自然人的隐私权及其他合法权益。数据合规与信息安全在很多领域是交叉的，例如保证个人信息和重要数据在采集、使用、传输和对外分享的安全性，是二者共同关注的领域。

SMs: 您认为现代企业中，信息安全是否得到了应有的重视？有哪些主要的难点和挑战？

Jason: 我看到一些企业的确将信息安全作为企业的生命线，最近海外发生的一些安全事件值得所有企业引以为鉴。例如2018年万豪喜达屋漏洞导致3.39亿个人信息泄露事件导致123million美元的处罚，英国航空50万客户信息泄露致使230million美元的处罚。这些事件都是信息安全领域的事件。

又如Google因数据保存期限及数据删除问题，以及个性化广告推荐已导致5000万欧元的巨额罚款，Facebook因隐私权政策不透明，对第三方ISV管控不足付出50亿美元的代价与FTC和解。

这些都是和数据合规相关的安全事件。

这些案例不仅督促涉事公司提高自身的安全管理水准，相信对其他的企业也有一定的警示作用，让企业意识到在安全领域加大资源投入是十分必要的。

谈到挑战，我觉得最大的挑战是如何让信息安全意识在企业文化中占有一席之地。

80%以上的信息安全事件源自于员工的行为。

企业往往通过规章制度来约束员工的行为，通过开展一些列的培训提高员工的信息安全意识，这些都是在营造一种信息安全的文化。

集体的行为体现了一家企业的价值取向，其实信息安全管理最终的目标不是具备完善的规范制度、严谨的控制流程和机制，而是使得信息安全的意识在企业价值观占有一席之地。

这一点是很难的，也是对信息安全从业人士的考验吧。

SMs: 数据合规领域必然涉及大数据分析和数据传输，尤其是跨境传输问题。这个方面与相关法律法规的联系主要表现在哪些方面？

Jason: 目前可以看到，数据合规不仅仅是企业与企业之间的问题。追本溯源是国与国之间在数据主权领域的争夺，是国家赋予数据主体和企业对于数据掌控的权利。

数据是流动的，企业之间会流动，国与国之间也会流动。利用对于数据的长臂管辖，可以维护国家在网络空间的利益，保障网络空间的健康发展。

以欧盟GDPR和美国的Cloud Act最为典型，欧盟的数据主体可以依据GDPR访问、删除、携带、限制使用境外存储的个人数据。

美国执法机构也可以依据Cloud Act访问存储在境外的数据。

中国也在加快数据合规相关的立法。对内通过《网安法》、《个人信息保护法》及一些列标准的制定，使得个人信息的使用健康可持续，对外通过《个人信息及重要数据出境评估办法》等一些列配套标准，加大对数据主权的掌控力度。以后相信会有更多相关立法，使我们在国际网络空间占有一席之地。

数据合规领域的出现是技术发展的必然。大数据分析、人物画像、精准营销、定制化用户推荐这些技术背后是基于对个人相关数据的分析利用。

人的社会属性早已被数字化，我称为人的数字化社会属性。

每一个人都是一个数据源，每天自从你为自己设定闹钟起床的那一刻，你就开始源源不断地生产数据产生价值，甚至在你睡觉时也在为IOT的数字世界产生着数据。你和身边同事亲戚朋友每一次互动都在雕刻着你在数字世界中的社会属性。

数据是身在现实世界中的你在数据世界中投影的表现形式，对你的行为记录的是如此真实，借助大数据分析能力，数据世界中的人物画像可能比你更像你自己。

技术就是这个时代的生产力，是洪水猛兽还是上帝的福音在于我们如何看待它。

我相信利用技术解决技术带来的问题一定是未来的数据合规发展方向。

近两年各监管机构在数据合规领域加大监管力度，就是为了维护数据主体权益的同时保障网络空间的健康发展。

数据合规工作的意义正在于此吧。

SMs: 您的职业转型对信息安全从业人员有很大的启发意义。您对信息安全专业人员的职业规划有什么建议？

Jason: 数据合规是一个有趣的领域，既有法务从业者又有技术安全从业人士，也正是因为技术的发展造就了这样一个新的职业领域。

互联网催生了千余个新职业，相信这其中一定也催生了许多安全相关的领域。

既然科技是这个时代的生产力，希望每一个安全从业人员都可以拥抱科技的力量，为安全领域创造一片新的天地。