数据的大安全时代来临,企业如何赢在起跑线
日前,人民网发布了一篇文章《个人信息保护法施行在即,跨境 互联网 券商何去何从?》,作者实测了某跨境互联网券商的开户流程,提出两个问题:1、个人信息收集是否安全?2、完成个人信息收集后,这些个人信息的去向。
11月1日,《中华人民共和国个人信息保护法》正式施行,对境内 投资 者数据跨境传输及使用提出了更高的合规性要求,并点名一些跨境互联网券商在用户的信息安全和合法化、合规化方面存在风险。
此后,相关跨境互联网券商股价大跌,并立即发布声明,表明对于用户信息安全相关的问题,早已开始整改,同时积极学习《个人信息保护法》,积极自查。
关注互联网公司数据安全的朋友一定都知道,这不是局限在某个行业的偶发个例。腾讯近日公告说:保护用户隐私不仅仅是国家法律法规的要求,也是腾讯的“生命线”。数据增长服务商GrowingIO服务商也介绍,在服务的众多企业级客户里,也有越来越多多加强学习理解数据安全新法规、加大保护用户隐私力度的需求。
不论企业还是数据服务商,都处在了一个里程碑式的数字时代节点。
从私产到公器:数据所有权的“变更”及连锁反应
前不久,国内院线上线了一部电影《失控玩家》,故事讲述了一个虚拟网络 游戏 内的NPC觉醒和寻求改变的故事。在电影结尾,现实里的反派Boss(游戏公司老板)拿着斧头,闯到机房,以(物理)破坏服务器,毁掉所有游戏数据的方式,威胁正面角色,达成自己的私欲。
这个情节曾经引起了不少IT从业人士的吐槽,因为按照电影里的设定,老板公司的那个网络游戏是全世界最火的娱乐活动,这个级别体量的游戏,都会投入重金做数据保护,机房做抗天灾级别的设计和建设,数据做异地存储和备份都是基本操作,一个人拿着斧头就能把一个游戏的数据毁掉,算得上天方夜谭了。
但是这背后表达的命题却很具有现实性:老板认为游戏是自己的私产,可以随意修改设计和升级换代,但是对玩家而言,他们通过操作角色,把自己的信息、行为留在了游戏里,游戏世界的建立,其实是玩家与开发人员共同创造的,但他们一直被认为只有使用权,而没有所有权。
再往前看,另一部类似题材的电影《头号玩家》其实也在表达这一冲突和对立。不过在现实里,随着各类法规、监管的相继落地,问题的边界已经清晰起来了:数据不只是企业私产,也是具有公共属性的社会信息,在一些场景里,数据甚至达到了国家安全的战略高度。可以说,数据的大安全时代到来,而与此同时,数据安全的内容也就更丰富了:
在过去,如果把数据作为公司财产看,公司只要做到保证数据的不被破坏、不丢失,就算尽到责任了,或者再增加一点要求,不被动泄露,比如在酒店业而言,数据库被黑客攻陷,客人的住宿数据被公布到网络上,就是涉及到酒店业生死存亡的大事。
这个时候,主要考验的是企业、数据服务商的技术投入和能力。
而现在,当数据安全的外延被极大扩展后,企业应该在数据安全上的投入至少应该再加入一个基本的维度:有度采集和使用,即不能依靠企业提供服务(有时候是垄断性的服务)的优势强迫用户提交数据,或者依靠一些隐蔽的工具、手段“偷”用户的数据。简单来说,就是要把用户本该有的那部分掌控数据的权力,还给用户。同时,对用户数据的使用要有节制,比如不能主动泄露,就是企业不能未经用户允许,也不能违背法律法规,把数据给到外部利益相关方,用来做收入变现或者得到其他的好处。
再往后看,企业可能还要迎接更高的挑战:安全、有度的开放数据,也就是在满足不破坏、不丢失的基础安全需求、有度采集和使用的隐私安全需求,达成互联互通开放安全需求。
这个时候,其实更考验企业的“主观”能动性,比如很多互联网企业可能并不太在意在数据的基础安全层面投入成本,但是他们更倾向过度采集和使用数据,换取企业的增长,而担心一旦有度使用数据,增长就会停止,市场份额就会失去。再说互联互通,企业特别是头部企业可能会担心开放会影响自己的市场领先地位。
简单来说,道理大家都其实都懂,但要迎接数据大安全时代,外部的不可抗力的确不可避免,但能不能做好,还是要看企业自己,能不能建立内在的驱动能力,这需要企业彻底转变认识,不要认为数据安全意味着成本,包括机会成本。同时,如果加大对数据的投入是不可逆的趋势,那就要早做准备,赢在起跑线。
那么,关键问题是,如何准备?
共创数据安全生态,让数据有度也能实现高增长
作为一直在数据增长领域深耕的服务商,GrowingIO在近期陆续接到了不少企业加强数据安全的需求,也“加急”帮助这些企业做了一些相关的解决方案,比如提供一些技术手段和工具,让企业更好地根据客户的需求,选择性采集或者不采集客户的某些信息,或者是在已经采集的数据中删除掉他们希望去掉的数据信息,又或者是对客户认为可以保留的信息,做进一步的加密存储方案。
这个场景说起来虽然不复杂,但很能以小见大,可以反映出非常多的信号和信息:
1、虽然关于数据安全(主要是隐私)方面的法律法规还没完全落地,但为数众多的企业已经开始未雨绸缪,做积极准备了。反过来看,如果想要等到法律法规完全落地再开始加强用户隐私方面的机制、投入,等于临阵磨枪,会很被动。尤其对于那些不注重合规、不注重内功,只想钻空子的企业而言,监管的靴子落地就是灭顶之灾,“剩者为王”并不是一个调侃。
2、从相关的企业解决方案看,如果说过去的数据安全是由企业主导、第三方公司执行、用户接受,那么今后就是企业逐渐让渡权力,用户的主动性和参与度提升、第三方(数据)公司从执行方变为企业、用户桥梁的新角色,数据安全将是一个企业、用户、第三方公司组成一个数据安全生态、协同统建的事情。
3、随着数据安全新生态内各方角色的变化,如何选择合适的数据服务商,对企业而言,比过去更为重要。数据服务商的服务能力要全:需要覆盖基础的不破坏、不丢失的基础安全需求、有度采集和使用的隐私安全需求、互联互通的开放安全需求;创造的价值要大:能帮助企业合规的同时,继续让数据发挥价值,为企业增收;服务模式要高度灵活:能提供整体的数据安全解决方案,也能灵活、及时、高效地帮助企业补课,拥抱趋势变化,及时创新。
这是GrowingIO的优势所在。GrowingIO成立虽然只有6年,和传统的IT公司相比算是很年轻了,但幸运的是,GrowingIO的 创业 一方面是站在巨人的肩膀上,不论是传统的IOE、还是从亚马逊后的云计算浪潮,都为数据存储和安全探索和发展出了比较成熟的软硬件基础设施及解决方案,同时,GrowingIO诞生在移动互联网、大数据从无到有、快速发展的时代,整个组织的人才、能力、结构都是为了企业在新时代的数据需求应运而生的。
所以,GrowingIO首先在用户数据“不丢失”、“不泄露”的基础安全需求层面,是完全经得起考验的,在实施的多个重点项目中,GrowingIO均实现安全方面的0事故。当然这种能力在这个时代,也应该是头部数据服务商的基本能力,所以这里也不需要再过多论述了。
更重要的是,GrowingIO具备系统性的从部署到落地的整体安全能力,并且兼顾了信息安全与效率,这体现在三个层面:
1、在系统技术层面,GrowingIO严格的安全要求贯穿了系统设计、开发、后期运维护全阶段,并且每年都会在漏洞防范、渗透测试等安全领域引入三方公司进行测试检验。这其中,除了访问安全、传输安全、加密存储等维度外,采集合规也是重要的指标。
2、在产品设计层面,GrowingIO对用户内部权限管理做了详细、严格的部署,对每一个数据分析功能的使用权限,包括创建、查看、编辑、分享、下载等不同的操作级别,都可以进行灵活、便捷、高效的操作,兼顾用户操作的合规与效率。
3、在服务层面,GrowingIO的价值观是,从成立起就提倡并执行第一方数据数据属于第一方的原则,保护用户的第一方数据,强调用户拥有数据的使用权和所有权。所以,GrowingIO一直在把数据安全及用户隐私看作企业赖以生存的生命红线的基础上,在数据领域进行技术积累和前沿趋势洞见,从客户的视角看,实际上也一直是在基于数据安全合规的基础上,来利用数据进行 商业 洞察。
也正是在这基础上,GrowingIO才能在《个人信息保护法》落地前戏,许多企业有大量的急迫需求的时候,能够接得住,稳妥落地。这也是GrowingIO在已经到来的数据大安全时代充满信心的原因:兼顾用户隐私和基于数据驱动增长,GrowingIO其实已经这样做,很多年了。