由“徐玉玉”事件引发的数据治理体系化思考

简介:

作者介绍

潘蓉 Infotech中国联盟伙伴,国际注册的信息安全、IT服务、质量管理主任审核员、“网络空间治理创新”(CGI雪茄会)倡议发起人之一,曾带领团队为超过数百家企业提供   ISMS、ITMS、BCM等服务。ISO38505数据治理标准联合编辑、十二五重点图书《大数据治理与服务》主编之一。

 

作为一个数据治理工作者,为徐玉玉惋惜,对骗子痛恨,转帖教育孩子与他人之外,用体系化思维从个人、组织、社会与产业、法规与标准推广也进行了具体操作层的思考。

 

先用一张鱼骨图来看徐玉玉被骗的原因:

 

\

 

下面看看具体的分析与应对建议:

 

1
个人

 

从个人来看,缺少防范意识,不知晓诈骗的通用伎俩,如通过口音、来电号码、转款请求等判断诈骗倾向,涉及转款等重大事项操作未经核实。

 

倡议全民增强信息时代的安全意识,了解使用设备的安全防范技巧,对于收集个人数据的环节要求明确用途和控制手段,对于钱财的转移设定不同控制权限,比如大额支付双人操作。

 

2
数据链

 

\

 

从数据链的相关方来看,学校存有大量学生数据,本案例涉及采集了学生的完整身份信息,也有助学金发放等实时精准行为信息,是否有规章制度要求从采集、保存、处理、传送、使用、销毁等保护个人信息,操作人员是否有相关意识,在上述环节操作注意防止泄露,学校是否有相适应的技术措施防止来自网络的攻击,给黑客留下方便之门?

 

电信作为诈骗电话送达通道的运营商,是否对虚拟运营商的管理做到实名制?如何监管虚拟运营商的运作?对于欺诈电话有没有反欺诈机制和消费者提醒?电信掌握着消费者精准的个人身份与地点、通讯信息,是高价值的数据金矿也是罪犯垂涎之地。

 

类似的笔者去过的一个智能制卡机构,看到各地社保局委托制作个人社保卡,在数据的传送、实体卡的运输、装箱单的要求方面,居然嫌麻烦,要求制卡商明文打印姓名、身份证号、社保卡号、电话等信息作为装箱单,这些拥有大量个人敏感信息的国家机关因为没有商业公司供应链的强制要求,反而是信息安全管理的短板。

 

本案例骗子能精准运用场景诈骗,说明获取了完整的个人身份数据和实时行为数据,这些数据的获取与利用是产业化运作的结果,数据黑产依靠互联网、大数据技术,数据交易非法获取个人数据,最后使用虚拟运营商的服务伪装骗取受害人。

 

提倡:

  • 拥有大量个人数据的组织:

  • 实施信息安全管理及个人数据保护标准;

  • 明确信息安全责任人,也可设立首席隐私官;

  • 建立内控制度防范操作风险;

  • 建立内审制度,发现泄露风险及时纠正;

  • 建立个人数据泄露的报告、处理、赔偿机制;

  • 自建或依靠第三方的能力建立动态的风险监控与防范机制。

 

3
法律标准

 

从法规标准层面看,目前我国《网络安全法》草案从国家安全的角度提到个人数据网络运营者应当采取技术措施和其他必要措施,确保公民个人信息安全,没有从个人权利的角度提出对网络运营商的追责与赔偿;《信息安全技术公共及商用服务信息系统个人信息保护指南》明确了个人敏感与一般信息,也规范了数据生命周期的操作要求,但不是强制标准,宣传推广与接受度受限;金融电信等有行业规范要求保护个人信息,随着云、大、物、移等技术的发展,各类APP的安装,越来越多的个人信息在不知道的情况下被收集被利用;在呼唤个人信息保护法的国家基本大法出台的同时,我们看到更务实的做法是借鉴国际标准,融合行业要求,推动个人信息保护的最佳实践认知。

 

建议推广与培训国际、国内标准作为个人数据保护的起点。

 

目前在个人隐私数据保护方面可以参考国际标准细化操作规范与指南:

 

  • ISO29100:2011数据证据的表示、收集、获取、保留

 

\

 

与隐私保护相关的技术与应用类标准还有:

  • 19608:制定安全隐私功能要求的指南

  • 29191-2012:部分您名、非链接鉴别的要求

  • 27040:存储安全删除

 

与行业应用相关的标准有:

  • 27799:健康信息安全管理

  • 27015:金融服务的信息安全管理

  • 27019:能源行业的信息安全管理

  • 27011:电信运营商的信息安全管理

 

与数据取证相关的标准有:

  • ISO27037:数字证据的识别、收集、获取与保全

  • ISO27042:数字证据的的分析与解释指南

  • ISO27043:事件调查原则和过程指南

  • ISO30121:数字取证风险框架治理

 

社会环境中数据黑产盛行,中国互联网协会《中国网民权益保护调查报告2016》显示,近一年时间,国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。

 

对于黑产的盛行,倡议全民监督,发现数据泄露就举报,结合平台工具利用大数据治理数据黑产,形成众治的力量;行业或协会组织采用各种新型手段场景化、移动、实时、及时促进全民防诈骗防风险的意识。

 

4
执法监督

 

从执法监督来看,目前国内没有专门的机构负责监控个人数据的使用状况,据蔡雄山在“网络空间治理创新”沙龙上介绍,欧盟每个成员国都设立了专门的数据保护局监督个人数据保护的执行情况,审批数据的流动,拥有检查和处罚的权利;以美国为代表的是基于行业自律,通过产业协会、互联网协会,认证机构等进行个人数据保护的认证,是行业与市场认可的机制。鉴于现有的国际标准,欧盟与美国供应链及信息流通的要求,及国内的现有的行业规范、第三方认证资源。

 

建议推动第三方的个人信息保护认证监督工作,发挥中立、市场的力量监督标准、规范、法规的执行。

 

5
技术工具

 

从技术工具来看,所谓道高一尺魔高一丈,大数据蕴藏着价值,也为隐蔽攻击提供了条件。

 

建议产业政策应鼓励和支持大数据安全技术研究的企业,从攻、防、取证、审计开发应用新技术,以大数据治理数据泄露;应鼓励和支持理论与标准化研究人员归纳整理最佳实践,及时出台管理与技术标准,提升行业、社会的数据治理水平。

 

媒体的觉醒,唤起民众的意识,更应唤起法规标准的跟进,每个角色都应尽职尽责保护一个安全的数据天空。


本文来自云栖社区合作伙伴"DBAplus",原文发布时间:2016-08-31

相关实践学习
基于MaxCompute的热门话题分析
Apsara Clouder大数据专项技能认证配套课程:基于MaxCompute的热门话题分析
目录
相关文章
|
人工智能 搜索推荐
阿里云logo设计官方入口链接10秒生成海量LOGO商用无忧
阿里云logo设计官方入口开启二级域名,阿里云智能logo设计,为用户生成logo突破200万件!每个生成的logo都有数十种VI应用样式,办公用品、户外广告、品牌周边…可直观感受logo在各种场景下的效果,个性化的丰富应用效果,帮助用户进行判断。
16596 5
阿里云logo设计官方入口链接10秒生成海量LOGO商用无忧
|
消息中间件 缓存 监控
Flink背压原理以及解决优化
Flink背压原理以及解决优化
1511 0
|
11月前
|
Ubuntu 安全 Linux
Ubuntu 24.10重磅发布:搭载Linux 6.11与GNOME 47新体验!
总结来看,Ubuntu 24.10 的到来不仅带来了新内核与桌面环境的更新,还为用户提供了更为安全和高效的使用体验。随着这些变化,期待它给用户带来的更多惊喜!
|
移动开发 定位技术 Android开发
可直接复制,踩坑以及解决方法,成功版本)uniapp H5地图选点经纬度,地址详细信息
可直接复制,踩坑以及解决方法,成功版本)uniapp H5地图选点经纬度,地址详细信息
1410 1
可直接复制,踩坑以及解决方法,成功版本)uniapp H5地图选点经纬度,地址详细信息
|
JSON 数据挖掘 API
京东商品视频 API 接口系列(京东 API)
京东商品视频API用于获取商品视频的URL、时长、分辨率等信息,适用于电商平台开发、数据分析、商品推荐优化及竞品分析。需安装`requests`库并使用Python内置`json`库解析数据。请求时需提供`productId`等参数,返回JSON格式数据。示例代码展示了如何通过签名验证和参数构建进行API调用。
|
Android开发
Android Studio: 解决Gradle sync failed 错误
本文介绍了解决Android Studio中出现的Gradle同步失败错误的步骤,包括从`gradle-wrapper.properties`文件中获取Gradle的下载链接,手动下载Gradle压缩包,并替换默认下载路径中的临时文件,然后重新触发Android Studio的"Try Again"来完成同步。
10439 1
Android Studio: 解决Gradle sync failed 错误
|
机器学习/深度学习 弹性计算 人工智能
什么是阿里云GPU云服务器?GPU云服务器产品优势及应用场景介绍
GPU云服务器是阿里云的云服务器ECS产品之一,是提供 GPU 算力的弹性计算服务,具有超强的计算能力,服务于深度学习、科学计算、图形可视化、视频处理多种应用场景。本文为大家介绍阿里云GPU云服务器产品优势、应用场景以及阿里云GPU云服务器实例规格有哪些。
什么是阿里云GPU云服务器?GPU云服务器产品优势及应用场景介绍
|
监控 网络协议 Linux
Linux中的conntrack命令深入解析
在Linux网络管理和监控领域,`conntrack`命令是一个强大的工具,它提供了对netfilter连接跟踪系统的直接访问🔍。这篇文章将深入探讨`conntrack`的由来、底层原理、参数意义,以及其常见用法,并对返回结果的每个字段进行详细解释。
|
定位技术
ArcGIS镶嵌数据集的创建与数据导入方法
本文介绍基于ArcMap软件,建立镶嵌数据集(Mosaic Datasets)、导入栅格图像数据,并调整像元数值范围的方法~
687 1
ArcGIS镶嵌数据集的创建与数据导入方法
|
移动开发 前端开发 JavaScript
🍊深入理解前端动画
🍊深入理解前端动画
777 1
🍊深入理解前端动画