此篇文章发布距今已超过698天,您需要注意文章的内容或图片是否可用!
话题1:《》提出数据密态时代一年来的总结,涉及到数据密态与数据使用权流通,隐私合规与可算不可识;以及对可信隐私计算、区块链审计等技术发展趋势;还有在"东数西算"等场景的应用展望。希望能为数据要素产业发展作出微小而积极的努力A1:现在数据流通交易的真实业务场景多吗?从我所接触到的企业来看,都是炒概念,建平台居多。A2:数据流通很多,合规压力很大,怎么做都还在摸索,交易还在初期。合规压力很大的还有一个是啥都不让采,各家公司的数据合作应该会变成越来越迫切,数据密态快来了。A3:我们也想尝试这个领域,但发现其实很难找到特定的业务需求客户,法务同事也对此类业务非常谨慎。A4:去当地的数据交易所谈谈吧,我记得上海也有,不止是概念,没有平台的数据交易已经存在很多年了。至少据我所知,广东本地的运营商一直在做数据交易。Q:文章里提到建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制。个人隐私数据被加工成数据产品,例如API产品当前法律是怎么界定的?数据产品接收传入参数利用隐私数据加工计算返回计算结果,但返回结果本身如果不包含隐私字段,这种数据共享是不是一种默认合法的方式?A5:不是,数据的使用如果涉及到具体的用户,那么不管你怎么用,是隐私计算还是明文,首先要符合个保法的要求,这在很多场景意味着获得用户的场景化的授权。用隐私计算的主要作用有两个:1. 一个在上面的场景中保障专数专用,不被跨场景问卷滥用,比如把原本用于风控的数据拿去做营销;2. 是在没有明确个人身份要求的场景下,支持实现受控匿名化,这样匿名化的数据不再属于个人信息,这个主要用于数据洞察和建模等场景。现在不少用隐私计算做PSI的场景,严格来说是有问题的,不满足上面的要求。A6:数据使用场景的专数专用,这个要求太严格了,而且很难监管。A7:目前在内部这方面的动力不强,但跨主体这方面的诉求很强。都以己度人,担心对方滥用。另外就是数据泄露时自证清白的诉求,如果明文数据流通后泄露,这个自证非常困难。A8:这种跨主体的应用很广泛。有个小故事,一带一路项目,他们的委员会主席说交易数据泄露了好几年,因为涉及好几家单位,一直不知道是谁干的。官方应用,也需要君子协议和金钟罩的手段。A9:工业和信息化部关于印发《工业和信息化领域数据安全管理办法(试行)》的通知https://www.miit.gov.cn/jgsj/waj/wjfb/art/2022/art_e4d9ba53a8014d85a4f80d47272f486d.html工业和信息化领域数据包括工业数据、电信数据和无线电数据等。电信数据是指在电信业务经营活动中产生和收集的数据。像网上银行、互联网企业这种应该都在增值电信业务范畴里,这个办法适用范围还是蛮广的。我理解就是工信部能管的,就适用。A10:又多了一个婆婆,婆婆又多立了条家规,2023年1月1日起施行,还能过个好年。《一图读懂《工业和信息化领域数据安全管理办法(试行)》-网络安全管理局https://www.miit.gov.cn/jgsj/waj/gzdt/art/2022/art_6ea4ecf57ba743fc975bc7d08f251395.html
《工业和信息化领域数据安全管理办法(试行)》重点问题回应
https://www.miit.gov.cn/jgsj/waj/gzdt/art/2022/art_2dfc960d2bdd47d18305cf200e78c64d.html
A11:是不是理解成婆婆也不想管那么多媳妇,还是通过各个妈来管的。A12:又来一位重量级婆婆,我们公司的婆婆一直是最多的,各婆婆要求还老打架,然后就做儿媳妇的吃点亏,没有一个能得罪的。除了大婆婆公、工、网,然后下面的小婆婆无数,类似于广电总局之类的庶亲婆婆也数不胜数...光应付众多大小婆婆都挺累的,尤其汇报,哪还有精力搞真正的安全。A13:还好,工信部没有明指我们行业。不知道是不是只管工业、电信业、无线电,不管金融业?金融是央妈和银婆管?Q:问一下各位,你们企业的数据出境评估是哪个部门负责的?
A14:集团级有数据合规办公室,人在信息安全部下面,对外按照数据合规办公室行文干活。A15:信息安全部招2个懂业务和法规的就行了,不影响。数据出境评估也需要懂技术,不然就得配一个懂技术的做翻译。Q:数据出境是要很懂业务和法规的吧,技术人员能干这个的吗?A16:我们集团层的数据合规办公室有法务的人,也有信息安全的技术,最好还有业务的人。A17:我觉得安全的人主动去了解业务学习法规效果好些。其实大家在应对监管的时候主动了解下监管的人或者来检查的人的组成和背景,专业的法律背景的人是很少的。而且很多模糊地带从技术角度去argue下,他们也是认的。需要大家一起配合来做。其实过一遍数据出境风险自评估报告的模板(http://www.cac.gov.cn/2022-08/31/c_1663568169996202.htm)就知道了,需要各个方面的专业人员。举个例子,股权结构和实际控制人这块,一般的人也填不了。模板里的内容都是要自己填的,一些己方模板就算用,没有监管认可,参考意义也有限。有疑惑,不如直接联系网信办,一步到位。现在各地都有公开负责出境这块支持的联系方式。A3:看你是要表达学术上的关系,还是行政上的关系。我这段时间也在搞这个三个关系的汇报哎。A4:简单的从安全工作看。网络安全囊括一切,数据安全和个人信息保护是子集特例说明。交叉的圈更合理。A5:网络安全的范围最大,基本上囊括了所有,应该算部门法总纲领,所有网络相关都跑不出这个圈,数据安全法与个保法,关基条例,等保条例这些,可以算对网络安全这个大部门的解释。而数据安全和个保法又会因为隐私信息的实际存储态是数据而交叉。个保法既是针对数据在一些场景中的定义,又新增了权利和义务。A6:网络安全和数据安全应该还是两个维度吧,网络安全是关注网络上的人与活动,数据安全关注线上线下的数据。我记得看两法的定义没有包含关系。现在不好说信息安全到底是网络的范畴还是数据的范畴。A7:我认可你这个看法。但这里的网络,网络安全法是有定义的,是指网络空间的。线下数据确实在此之外。如果按照差异点: 1.个人信息保护法有额外的权利约定。2.数据保护法含网络空间内外的数据看。标准确实是交叉图。但这样,确实不太好宣贯,安全自己人都糊。这个起点有点高,对于工作下发有点远。A8:感觉是不是换个思路考虑,网络安全是底座,保护网络基础设施安全;数据安全和个人信息保护是上层目标;从监管层面看,都包在国家安全这个大包里面。A9:说起来,现在的网络安全都是在说网络空间安全了,不知道狭义的网络层面的安全有没有什么新名词。话题3:请教大佬,我公司内网git pull执行了一下,安全同事就联系我,并说出了git项目名,按理说走的ssh流量,应该是加密的,怎么做到的?A1:端上的监控吧,如终端dlp,加密传输前的明文检测。A2:有这个可能,但实际上这个存电脑上挺久了,之前都没事,当天就pull了一下,就联系我了。有没有可能是通过预制证书把加密流量都解密了?A3:Git可以使用四种不同的协议来传输资料:本地协议(Local),HTTP 协议,SSH(Secure Shell)协议及 Git 协议。说不定走得http?A4:git clone ssh://xx@xx/test。之前是这样clone来的,对方能得到这个test名字。而且我这次只是在里面pull一下,都没clone。对方先问我是不是用了ssh,我说是的,用了git,然后说出项目名。所以我感觉是通过流量解密的。我们电脑上是统一装了一些企业用监控扫描之类的产品,应该属于dlp?A5:git本身的日志吧,之前君哥有篇文章讲到这个:A6:在我们这里开发人员都要签承诺,不把代码放在git上。A7:让外包上内部vpn,开发云端化,没有本地。代码不落地。A8:我们都是在云桌面里面,和外面隔离,基本不用管。A9:有没有可能现在外包很多产品都是已有产品根据需求的二次开发,外包自己电脑上写好了很多模块直接拷进云桌面合并代码。Q:请教下,外包用云桌面,从云桌面到外包登录终端的下载权限,云桌面访问互联网的权限怎么管理呀?A10:云桌面有ip地址,可以防火墙上限制的。要做只能导入的,导入步骤要做复杂。A11:管理先行,再技术控制。后面发现违反了才好名正言顺扣钱的。A12:复杂化,太多业务了,测试环境几千套,安全也审不过来啊。拷进去合并问题不大,拷入有管理,拷出没权限。Q:封禁后,开发团队提出过外包需要上网查开源代码,开发团队和外包之间需要通讯工具同步项目进度和项目成果,有什么好的方法能解决吗?A13:我们是禁止的。没办法,手工查完资料,下好各种包,给内部的项目组拷入。一旦连互联网都不可控,这是底线。内部可以vpn主机上安装通讯软件,拷入的话可以拷入基础包。A12:我们也是禁止,开发通过自己电脑查。之前见过某大行,还严禁带私人电脑。私人电脑可以用来互联网查询。A14:通讯软件装云桌面外面对吧,因为装里面是可以拷贝数据出去的。里面,内外隔绝。-------------------------------------------------------------------------------【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送(每周)。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球,方便大家查阅。如何进群?
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下
还没有评论,来说两句吧...