数据安全是个老生常谈的课题了,早在笔者2000年初参加审计工作时,就做过好多金融机构数据安全评价的项目,当时还用的是BS7799、ISO17799以及后续的ISO27000系列标准。不过,现在老革命也遇到新问题啦。过去一年,人民银行、人民法院、公安部等多家机构发布了有关数据安全和客户敏感信息保护的要求,各单位也纷纷开展相关的安全自查和整改工作。由于司法机关的介入,数据安全已经不仅仅是管理的问题,而是上升到刑事责任啦,出了问题是会定罪入刑的哦!这也给许多以数据为生的创新型企业(特别是互联网金融)带来了很多壁垒和问题,许多企业为了规避合规风险,选择了缩小业务范围,甚至出现了叫停部分业务的情况。
那么,我们要怎么看待数据安全带来的各种问题?又应该如何应对呢?让我们首先还是回到数据安全的本质来吧。
要把数据安全讲透,无非是要讲明白数据安全的对象和手段,而且在很多情况下,讲清楚对象反而比手段更为关键,对象也比手段更容易混淆。如果说保护的对象都错了,或者根本没法说清楚,那还谈何保护呢?笔者想起了之前听到的一个笑话(纯洁的小笑话图大家一乐,如有不喜还望多多海涵哈,抱拳),说是一个小女孩经常和邻居家的小男孩一起去爬树,小男孩总在树下看小女孩爬。回到家妈妈听说了,就教育女儿说,你穿的可是裙子呀,你在上面爬不就被人家看到小裤裤了吗,羞羞哦,下次记得不能这样啦。于是乎,下一次小女孩回到家,妈妈问,怎么样这次没有被看到小裤裤了吧?小女孩高兴地说,是的这次没有啦,我特意在爬树前把小裤裤脱掉了呢(笑)~
笑归笑,回到现实工作中,确实也仍存在很多企业,和这位小女孩一样纯洁可爱,连自己要保护的是不是小裤裤都搞不清楚呢!甚至在数据安全比较成熟的金融机构,也难以避免出现保护对象不清晰的问题。大家千万别觉得这是危言耸听,笔者在过去一年中,和多家金融机构的业务和科技部门都聊过,当笔者问业务主管部门,你们如何界定敏感信息的范围啊?业务部门回答说,我们没有界定,数据安全这是科技部门的事情啊;笔者再去科技部门问同样的问题,科技部门的答复是,我们制定了一系列强有力的安全保护技术手段来保护生产数据的安全,不过哪些是敏感信息,这个需要业务部门来界定吧。嗯,好吧,陷入沉默中… …大家看到问题所在了吧!
在此前写的数据治理文章中,笔者提出了数据认责的概念,特别是数据所有者的权利和责任。那么,科技部门是数据的所有者吗?显然不是,科技部门不产生数据、不修改数据、不定义数据,只是负责数据在系统的落地,那么只应是数据的技术实现者,较多可以作为数据的托管者。而业务主管部门,才是数据真正的所有者,要对数据承担较终责任,负责定义数据、解释数据、对数据质量负责。因此,业务主管部门应对自身数据的业务重要性,包括敏感等级进行定义,当然,这里也需要有统一的数据管理部门(可以是信息技术部)统筹管理并制定分类标准,并组织业务部门对各自数据的敏感等级进行认定。当然,这个过程也不是那么简单的,因为这里面涉及企业内部多个部门的沟通和协调,而且往往业务部门会倾向于说“我的数据就是较重要的,较敏感的,较需要保护的(笑)”,在笔者看来这就需要“脱层皮”才有可能完成的事情。先按此不表,各位看官如有兴趣,后续可以和笔者就认责的事情细聊哈,这里面有太多的酸甜苦辣(笑)。
在这里就可能又出现另外一个极端,笔者再用一个例子来给大家说说吧。笔者之前曾问过一家机构的业务部门,你们日常经营分析想用的数据都能顺利拿到吗?这位业务部门主管义愤填膺地说:“拿不到啊!我们要的数据都在别的某某、某某部门,每次问他们要数据,都说这涉及敏感信息不能随便给,说是要这样那样的审批。我们就问合规部门、科技部门的意见,大家觉得这里面可能、似乎、好像会有合规隐患,没有人敢做决定啊!往往较后就这样不了了之了!”是啊,特别是在目前这种数据野蛮生长和严监管互为矛盾的时代背景下,得数据者得天下,得天下的也不会轻易把数据让出来给别的部门共享和使用,又没有明确、清晰的合规监管解读(大家都明白,监管条文只是一般性的原则要求,可不会说得那么具体),那么只会不了了之,较终严重影响业务用户的用数需求!
做风控出身的同僚们都知道,风控和效率之间是需要平衡的,没有绝对的管控,也没有百分百的效率。数据安全也是这样,需要在合规前提下结合企业自身的风险偏好,建立适合企业的一套管理机制,否则就容易陷入两个极端:要么是触碰合规的红线遭到处罚,要么是太过保守无法有效开展业务,相信这都不是投资人与管理者愿意看到的结果。
那么,在目前这种情况下,企业要如何有效应对呢?笔者认为,可以从以下几个方面入手:
这里连着提三个意识,除了重要的事情说三遍以外,其实它们的含义都有所不同。
个意识,指的是一定要意识到数据安全或敏感信息保护不是某一个部门(特别是科技部门)的事情,而是公司管理层以及所有部门的事情,不要想着把工作简单交给信息科技部门,就能解决数据安全的问题,那是不现实的。科技部门在这方面往往是“弱势群体”(笑,但也是客观事实啊),需要管理层的大力支持和决策,以及各部门主动承担相应的安全管理职能,方可推动实现的。科技部门的新年美好愿望是,公司管理层不是等到出现重大安全事件后才出现并指责,而是能在日常安全管理中给予重视和资源支持。
第二个意识,指的是不要太迷信安全技术手段,而要关注流程和人员的管理。如果大家仔细分析过往一年来业界的敏感信息泄密事件,就可以发现大部分数据泄密的原因不是由于企业的安全技术不够先进、安全加密强度不足等等,往往出问题的这些企业(特别是金融机构)在安全技术上已经是很、很成熟的了,问题往往出在内部管理流程和人员上。比如企业内部人员舞弊作案,有再强的安全技术手段那又有什么用?直接内部突破!中国人特别有意思的一个特点是迷信技术、忽视管理,很多领导觉得买套技术软件、硬件值这个钱,但是请咨询公司提升管理水平不值这个钱,这种观点需要改改啦!(笑,有点自卖自夸的嫌疑)
第三个意识,指的不是企业自身的意识,而是员工和客户安全意识的长期培养。是的,这不是一件容易的事情!因为人总是有惰性的,笔者平常也总开玩笑说,我们这些做数据安全的业内人士甚至自己都不愿意定期设置并更换复杂密码并备份重要数据,不论是作为公司员工还是作为客户,原来都怕麻烦啊(笑)。以前朋友总是取笑,说这是“医者不自医”,听起来似乎有道理呀(笑)。再次自省、自省!这倒是和“天下无贼”的理想一般,一方面希望所有客户都有很强的安全保护意识、不受安全诱导和欺骗,一方面希望员工能够遵循公司安全政策、严守职业道德,另一方面又希望外部少一些安全隐患或恶意事件。这就需要整个行业乃至全社会的安全意识培养,任重而道远哪!
首先让我们看看国标是如何界定敏感信息的,根据国家质量监督检验检疫总局和国家标准化管理委员会较新发布的《信息安全技术个人信息安全规范》,所谓个人敏感信息,是指“一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。除了财产信息、健康生理信息、生物识别信息、身份信息和网络身份标识信息以外,还包括电话号码、网页浏览记录、行踪轨迹等。在国家标准层面,首次界定和例举了个人敏感信息的内涵与外延,这为企业、监管部门和第三方评估机构的监督、管理、评估,提供了基本依据。
尽管有相关国家标准作为依据,但是如何要把数据安全落到实处,企业一定要进一步明确具体的数据项和敏感分类等级。不具体、不精细化、不可执行是业界目前存在的通病。笔者和一些金融机构主管人员经常会聊到如何进行界定,似乎有一些字段是非常明确的,一定需要纳入敏感信息保护范围的,比如客户的身份证号、电话号码、支付密码等;但是有些字段就比较模糊,比如姓名(包括曾用名)、性别等信息,而且结合不同的数据应用场景和使用对象,又会有不同的考虑,在界定方面确实情况比较复杂。
一些主管人员会直接问笔者,说想把子公司客户数据进行整合,支持跨业务条线和板块的客户数据分析和交叉营销,提升集团内产业协同并促进业务发展,这样可行不可行啊?在此,笔者不倾向于、也无法给出简单的是与否的答案,而都会反问一个问题:你想怎么整合,有什么样的安全保护机制和手段?这些,都是需要进行详细的合规要求解读、用数据目标和需求调研、以及详细方案设计的。从合规视角而言,我也会提示,抛开其他因素,假定现在监管机构就来你们这里检查了,如何说明敏感信息是得到了清晰的界定和恰当的保护,没有违反相关合规要求的,并且能够提供相应的证据(制度、文档等)来证明这些吗?
笔者以往做过很多审计评价类的项目,也曾协助监管机构对企业进行检查,或者配合企业应对监管机构检查及整改,多年总结出来的经验是,要想说服审计机构或监管机构,首先要先说服企业自身,你自己是如何理解监管指引的要求,并且把这些原则性的要求进行细化,落实到日常的经营和管理活动中去,通过什么方式进行了管控,效果又是如何。如果你自己都说不圆,或者被问住了,无法进行合理解释,那么一定就有问题了!笔者这样说似乎显得太空了,不利于各位理解,那么举个很简单的例子好了:
比如,企业可以解释说:基于对监管要求的解读,可以把客户信息分为三类,一类是完全敏感信息,这类字段有J项,严格保护且不允许单独使用;一类是非敏感信息,这类字段有Q项,在既定业务场景和恰当的授权下可使用;另一类是类敏感信息,一共有K项,单独出现时不作为敏感信息,参考非敏感信息进行使用和管理,但是一旦和其他特定A项数据组合使用时,就上升为敏感信息进行管理;再把针对这三类数据的相应管理办法、机制和具体手段进行明确规范,并落实到具体的信息系统进行保护。这样一来,至少可以说明企业自身已经明确了敏感信息管理的范围以及配套管控体系,在不违背监管硬性条款要求的前提下(除非连原则都无法遵守),一般情况是能够合理解释的。当然,审计机构(或监管机构)也是在不断的检查和摸索中,结合看到不同企业的不同做法后,对具体的监管要求进行详细解读和细化,并对被审计(或监管检查)的对象单位提出问题发现和整改建议。因此,就看企业是否有能力先一步走在审计或监管机构的前面了。嗯,说着说着怎么有种后背被别人盯着的感觉,不妙,笔者是否说得过多了(汗)。
当然,以上只是针对个人敏感信息,也就是从个人客户敏感信息保护的角度而言。对于企业客户,除了保护客户敏感信息以外,企业自身的业务和管理信息(如财务信息等)也需要进行敏感信息的界定。方法其实都是一致的,此处就不再赘述了。
在明确敏感信息管理的范围和边界后,针对不同的敏感分类提出具体的保护和管控要求,那么就需要通过相配套的管理流程和机制实现了。
不过这项工作也貌似不是那么简单的,因为首先要回答一个问题,就是这些流程和机制谁来设计啊?笔者经常会看到,企业内部没有这样一个部门能牵头做这件事。如果这是单纯的科技问题,那么可以由科技部门来完成,但是很多敏感信息保护的管理流程和机制,是要落实到具体的数据采集、数据维护、数据使用的业务流程中的,一旦和业务流程挂钩,涉及业务流程变更,那么就需要相关业务部门的主导了(注意是主导,不是参与那么简单)。
这么说吧,我们可以把敏感信息保护看成一个内控合规的要求要落地实施,以前参与过SOX或企业内部控制基本规范实施的老同志们都知道,这需要把企业的业务流程及存在的风险和控制都梳理一遍,形成内控手册,然后要开展内控评价等等工作。企业的合规部门一般就那几个人,只能起到统筹协调的作用,真正的内控手册、风险和控制矩阵的制定,都需要依赖各业务和管理部门自己开展梳理和评价的,只是较后的成果在合规部门进行整合而已。敏感信息保护也是如此,除了设计一套相对独立的敏感信息管理办法外,还需要充分调动业务部门加入,结合业务流程把敏感信息的要求落到具体的业务环节中去。
如果有人还觉得以上流程设计说得太空泛,那么笔者就再举个例子吧。比如,企业在客户办理业务时如何规定敏感信息的采集和维护;在进行客户分析和营销时如何使用客户敏感信息;在外部合作机构(如支付机构)管理的过程中如何保证客户的敏感信息不被获取,以及如不得不获取时如何保证及时删除与保密;在开展风险管理时如何使用客户敏感信息;对于客户提出的信息投诉和问题如何管理;如何设计风险模型,监测客户异常行为并进行提示;在开展财务分析(如客户盈利分析)时如何使用客户敏感信息;如何开展敏感信息的内部审计和稽核等等。看看,这不就把企业前、中、后台各个部门的相关流程都纳进来了,无处不客户,感觉这真是个复杂的系统性工程啊!那是自然,所以这才更需要引入外部咨询机构的协助嘛(笑,又来了)!
另外需要提示的是,在进行敏感信息的业务流程设计时,一定要回归到业务的本质上去,回头看看业务的本质是什么,需不需要这些敏感信息。特别是要结合不同的数据应用场景,进行访问权限较小的差异化设计。比如,对于营销人员而言,较主要的就是要拿到目标客户清单以及给客户的推荐产品,那么就无需看到客户的身份证号等与营销无关的敏感信息;而对于产生目标客户清单的数据分析人员,完全可以进行客户敏感信息脱敏(需要借助一定的脱敏技术手段)后,通过模型进行计算和分析,而不让分析人员直接看到单一客户的明细信息。说白了,必须要用到什么,才给什么,而且是经过适当的授权和监督。
有些互联网金融公司的同僚们可能会说,我们在使用客户信息时,都是有提前获得客户同意的,所以是不是无需这么费劲的区分不同的使用场景?在这里笔者要说的是,往往在获取客户信息或达成业务交易前,企业确实会设置一些条款需要强制客户认可,一般都是在网页或APP上打勾,表示“本人已阅读以上条款并认可… …”,大家都很熟悉吧(笑)。但是笔者要提醒的一点是,这只是较低限度的要求,真到了客户信息被泄密或使用了,打起官司来也不是那么容易解释的,另外有多少客户是真正仔细阅读过这些条款的(相信大家也不会吧~),里面很多内容甚至可以被解读为“霸王条款”不合理、不合法而被质疑。而且,即使客户允许使用的情况下,一般也会把使用场景限定为比如“评估客户信用情况”等具体的场景,如果不对企业使用客户信息的业务应用场景进行严格管理的话,也会产生相应的安全和法律合规隐患。因此,从未来整个行业精细化管理的发展趋势看,对于敏感信息管理,企业也必将走上精细化的这条路。
说到较后,终于提到安全技术手段了(笑)。虽然笔者不迷信技术,但是不可否认,安全技术也同样是实现有效敏感信息保护的重要手段,技术和管理两者缺一不可。当然,由于过去企业都比较重视安全技术,也已投入了很大资源进行相关技术和平台建设,因此这里就不一一展开了。相应地,笔者会从几个点上聊聊常见的一些痛点和难点。
首先就是新技术标准的应用问题。大家都知道,近期监管机构以及行业协会等发布了很多新的技术标准和要求,比如支付标记化技术等。虽然这些技术本身不难实现,但是难得是如何在现有的系统架构基础上实现,说白了就是新老平台和设备替换的问题。大家都知道,目前许多机构用的设备(比如POS等)都是老旧设备,如何全面替换的话,成本效率和客户体验都是个问题。此外,传统金融机构的系统架构如何能够支持新的技术方案实现也是一个重大挑战。当然,笔者在此无法给出具体的解决方案,但也算是抛砖引玉,把这些难题抛给行业的技术大拿们,大家一起探讨和研究。
另外一点就是第三方数据接口管理。按照敏感信息保护的要求,金融机构是不得允许第三方保留客户敏感信息的,而且必须定期(如每年)对其开展独立性的安全评估,并形成报告存档备查。当然,这部分难的环节不完全在于技术本身,而更多的在于如何进行第三方管理,特别是强势的合作机构。
较后,当然还是回归到技术如何更好地和业务结合并支持业务。目前行业上的新技术日新月异,云计算、区块链、人工智能等等,都是热点。未来在数据安全和敏感信息保护上,如何应用这些新技术,也留给大家作为后续进一步探讨和交流的课题吧!
在文章较后,笔者还是回到管理策略上,总结一下如何更好地规划并推动数据安全和敏感信息保护工作。
很多人可能会说,数据安全更多是为了合规要求、声誉风险,本身不创造任何业务价值,只要从合规角度进行推动,满足较低限度要求即可。确实,这种观点不是完全没有道理,至少从很多公司高管来看,只要不出安全事件就是实现了管理目标。
但是,新的环境下一定有新的挑战。笔者一直坚持,数据安全和敏感信息保护不应该仅仅是合规管理,更应该支持业务的发展。就像上面笔者曾举的一个例子,为了合规要求,难道就一刀切地不让业务部门使用敏感信息了吗?这对业务发展没有任何好处。大家想想,如果真的能够把企业自身的用数需求和应用场景梳理清楚,并且明确在不同场景下数据如何有效、合规地使用,那么一定是能够促进业务发展,而不是限制业务发展的。
因此,笔者提出,数据安全和敏感信息保护未来要站在企业级数据共享和应用的视角,以合规要求为前提,以数据应用为基础,以满足业务用数需求为驱动,从技术导向转变为业务和管理导向,来进行统筹规划。当然,由于各类数据应用场景较为复杂,可以先从管理框架入手,先以监管合规要求构建数据安全和敏感信息保护的专项机制,并选择关键的几个业务应用试点作为切入,梳理并制定业务流程和应用场景层面的数据保护要求(保护的另一面就是允许使用数据的需求),并逐步纳入各类不同的业务应用场景,形成完整的体系。基于此,可以考虑和企业级数据治理工作同步推进,通过数据治理自上而下的解决数据需求和认责管理,以此作为数据安全和敏感信息保护的重要业务和管理输入,并基于此进行开展安全专项工作。近期,有不少企业已经是如此规划并推动治理和安全两个项目立项的,这样效率更高、效果更好,供各位同僚参考。如有兴趣,笔者也非常愿意和大家进一步交流!
较后……这篇文章其实是春节前两天写的,现在春节过完啦,大家想必也都回来上班了,在此笔者祝福各位开工大吉!新年更有新气象!一定多关注我们的新书哟!!
- END -
