数据安全成为中国移动网络会议关注的焦点--中国移动系列保护措施
最近,中国互联网会议在云端召开,数据安全和个人信息保护等问题已成为本次会议的焦点。中国移动信安中心副总经理赵刚在圆桌会议上介绍了中国移动在数据安全保护和个人信息保护方面的思路和做法,引发了业界的讨论。
随着数据正式纳入五大生产要素的范围,数据安全已成为当前的一个重要问题。今年5月,以"民法典"命名的第一部法律"民法典"正式颁布,以保护隐私和个人信息。7月,"数据安全法"(草案)向公众开放征求意见。此外,"个人信息保护法"等特殊法律已进入立法进程。这充分表明,国家高度重视数据安全问题。作为一家超大规模的国有通信运营企业,中国移动不仅是数据业务和应用领域的领导者,也是数据安全保护的主力军。
据赵刚介绍,2019年中国大数据产业达到8080亿元,预计到今年年底将超过1万亿元。与此同时,根据公开数据,2019年共发生7098起数据泄漏事件,涉及数据记录151亿条,比2018年增长284%。随着数据应用的迅速发展,数据类型越来越丰富,产业规模迅速扩大,数据安全损失将是不可估量的。
中国移动新安中心楼涛在个人信息保护论坛上表示,公开共享数据是大势所趋。今年新冠肺炎疫情期间,"通信大数据旅行卡"等数据服务和应用对疫情的防控起到了重要作用,但值得注意的是,在防控期间泄露的个人隐私信息,加强数据安全保护已成为促进数据要素健康发展的迫切任务。
赵刚分析了目前数据安全保护面临的三个挑战。一是确权问题。目前数据确权难是全球普遍存在的问题,这给数据作为生产要素的流通带来了挑战;二是数据关联聚合带来的隐私保护。数据开放共享后,数据关联聚合的概率大大提高,这一过程中个人信息泄露的风险不容忽视。 赵刚举例说:"比如采集身份证号,一般平台会隐藏用户的生日信息,这种处理很常见,也显得很安全。然而,收集者一旦从其他渠道得到用户的生日信息,用户的原始身份证号就被拼凑在一起,在这个过程中,每个数据集都没有直接的安全风险,但一旦聚合,个人隐私就被泄露了。"三是交易机制的缺失。
赵刚结合实际工作经验,从三个方面提出了加强数据安全保护的建议。首先,在信息收集环节,必须征得用户的同意,遵循最低限度的充分性原则,避免过度收集。第二,在数据使用环节,大数据应用的开发应更多地关注趋势分析、预测、群体肖像等,以避免将信息追溯到个人。第三,在安全监管环节,及时制定数据分类分类标准、重要数据识别原则、政府数据公开目录等配套行政法规和标准,确保数据产业健康发展。
据了解,根据数据时代的新要求,中国移动不断完善数据安全保护工作体系,并在系统保障、技术保护、评估检查、标准研究等方面积累了经验。
建立制度,构建长效机制
中国移动根据"民法典"的法律、法规,如"网络安全法"等法律法规,针对标准和信息部、公安部、网络信息办公室发布的国家标准制定了内部数据安全管理措施,重点是数据收集、传输、储存、使用、共享和销毁等六个关键环节,提出了安全要求,深入到了各个现场的数据管理,重点是数据采集、传输、存储、使用、共享和销毁六个关键环节,促进了安全的规范化和日常管理。
保护技术覆盖整个生命周期。负责网络安全系统维护的吴骥告诉记者,中国移动对涉及个人敏感信息和重要数据存储和处理的平台系统具备数据防泄漏能力,对数据运行异常进行自动预警和拦截及时。此外,对实体营业厅、10086、自助终端等各类客户服务系统的用户界面进行模糊化综合改造,对客户敏感信息进行模糊化处理。同时,运用银行业“金库”管理中“多人操作”和“授权操作”的思想,规定所有涉及客户信息的系统内容查询操作必须由两名以上员工进行,以降低违规风险。
对违规行为进行评估、检查和处罚
对集团各单位进行数据安全评估,定期对各单位数据安全管理的人员、技术支持、协同管理等方面进行评估和检查。在开展监管工作时,孟迪有着深刻的体会:“数据安全没有小事。我们严格执行问题排查和问责,迫使员工提高数据保护意识,及时发现和整改问题。风控工作人员付莉补充说,数据安全也是内控检查和审计工作的重点。
近年来,中国移动积极积累了数据共享、数据共享、工作经验共享、数据共享等方面的经验,“金库模式”技术成果等十多项与数据安全管理相关的成果,已通过ISO、ITU-T、tc260、tc260等国际标准化组织(ISO)批准或发布,CCSA等国内外重要标准组织。长期从事数据安全标准研究的姜伟强博士说:“疫情期间,我们总结了数据安全保护指南,对全集团大数据业务发展起到了很好的规范作用。”