每年1月28日,是国际数据保护日,或称为数据隐私保护日。设置目的是鼓励人们关注数据隐私,以实际行动来保护在线个人信息安全。增强保护意识,了解基本权利,鼓励企业尊重隐私、保护数据并建立信任,推动数据保护全球公民的责任意识。
这个节日起源于1981年,当时欧洲理事会考虑到个人数据自动化处理的国际化趋势,为了保护公民的隐私权,通过了《关于自动化数据处理中保护个人的公约》。随后,2007年欧洲理事会发起了欧洲数据保护日,2009年1月26日,美国也宣布1月28日为国家数据隐私日。随着越来越多的国家加入进来,国际数据保护日早已成为一项全球性活动。
然而,2024年的数据保护开局不利,在国际数据保护日的前一周,1月22日,SecurityDiscovery和CyberNews的研究人员发现了一个超大型数据库,其中泄露的数据高达12 TB,包含了260亿条数据记录,被视为迄今为止最大的泄露数据库,堪称“数据泄露之母”。
该泄露的数据库中包含了来自Twitter、Dropbox、领英、Adobe、Canva、Telegram和微博等平台的用户记录。而且,数据库中还发现了来自美国家政府机构的记录。难怪很多人说在数字经济时代,我们基本都在“裸奔”。
本文结合网上资料及对专家的采访,梳理了2024数据安全和数据隐私的发展趋势和挑战,以及专家对企业和个人保护数据安全和隐私的建议。
与个人相关的有价值的数据有哪些?
通常,与个人相关的以下数据是非常重要且有价值的:
个人身份信息 (PII)。PII是指关于个人的任何信息,包括可用于区分或追踪个人身份的任何信息,如姓名、社会保险号、出生日期和地点、生物识别记录,以及与个人有关联或可关联的任何其他信息,如医疗、教育、财务和就业信息。
个人健康信息 (PHI)。PHI包括所有可识别个人身份的健康信息,包括人口统计数据、医疗诊断和病史、检验结果、保险信息以及其他用于识别患者身份,或提供医疗保健服务或保险的信息。
学生教育记录。是指学校以任何记录方式保存的一系列学生信息,如学生身份代码、社会安全号和照片;成绩、考试分数和所学课程;纪律记录;特殊教育记录;由学校创建、收集或保存的医疗和健康记录;以及出勤信息、就读学校和所获学位的文件。
金融或支付卡信息。是指持卡人数据,主要是借记卡和信用卡信息,由各组织存储、处理和传输。
一年一度的数据隐私日提醒我们注意过去的得失成败,展望即将到来的挑战。认识数据安全和隐私的重要性,并寻找一些好的建议。
各国争相立法保护数据安全和隐私
安全性与隐私权之间的平衡是每一个国家每个企业都要面临的困难抉择。1890年12月出刊的《哈佛法学评论》发布了《隐私权》,人类社会发展中首次出现了隐私权概念。数字经济时代,数据隐私问题日益突出,亟待法律法规的保护。
各国争相立法保护数据安全和隐私,用户数据隐私保护正在被越来越多国家所重视。
2016年4月14日,欧洲议会正式通过了《一般数据保护条例》(GDPR),它取代了1995年通过的《欧洲数据保护指导》,新的《一般数据保护条例》被称为史上最严个人数据保护条例,于2018年5月25日正式生效。
2018年6月28日,美国《加利福尼亚州消费者隐私保护法案》(CCPA)经州长签署公布,并于2020年1月1日起正式实施。
2022年6月1日,泰国《个人数据保护法》(简称PDPA)经过两次推迟后正式生效,成为泰国第一部综合性数据保护立法。
中国对数据保护也越来越重视,相关法律法规不断完善。《网络安全法》《数据安全法》《个人信息保护法》的陆续颁布和实施,数据隐私也成为法律关注和保护的一个重要领域。例如,在2021年1月1日正式实行的《民法典》对个人信息保护、数据隐私也有明确规定。
企业如何应对数据安全和隐私保护?
Mine首席运营官兼联合创始人Kobi Nissan指出,全球几乎每周都有新法规通过,关于隐私的要求达到了前所未有的高度,因此2024年的主要趋势之一将是企业如何应对和处理这些新的隐私责任。新的商业现实意味着要定期进行影响评估,处理比以往更多的数据主体请求,以及理清复杂的隐私法规要求。
BSN发展联盟常务理事、红枣科技CEO何亦凡认为,作为数字经济时代重要的生产要素,数据为数字经济持续健康发展提供了强劲动力。确保数据处于有效保护和合法利用的状态、促进数据高效流通使用、建立健全数据安全风险评估制度,是未来的大势所趋。
随着互联网与日常生活的融合不断加深,个人信息的暴露风险也逐渐增大。如何提高个人数据安全及隐私保护,降低信息暴露风险,是数字经济时代所面临的安全挑战,也是互联网下一步发展的根本要求和必然趋势。
“国家出台了相关的法律法规,从监管层面为保护个人隐私数据提供了坚实后盾,但是仅依靠法规还不足以完全规避数据泄露风险,还需要利用技术手段构建多重防线,通过技术层面的解决方案防止个人隐私数据被非法收集和利用。”何亦凡说。
Symmetry Systems公司安全和GRC工程高级总监Gopi Ramamoorthy指出,对于企业来说,在决定收集哪些个人数据以及为什么收集时,可以参考GDPR第4、5和6条,以获得指导。这三个条款规定了收集数据的方式和目的以及处理原则。其他隐私法规也有类似条款,根据PII数据收集提供指导。“一旦决定了数据收集和目的,就需要仔细规划足够的数据安全。”
“确保PII安全始于隐私设计(PbD)。隐私设计的核心原则是最小化原则。企业应根据法规、政策和程序,对PII数据进行明确定义和严格的访问控制。此外,组织还应实施适当的日志记录和监控控制。对于数据发现、分类、访问控制等许多任务,可以使用最新的技术来实现有效的安全、自动化和扩展。”Ramamoorthy说。
Immersive Labs 网络威胁研究总监Kevin Breen指出,根据《2023年泰雷兹全球数据威胁报告》,人为错误是数据泄露的首要原因。“随着越来越多的敏感数据被推向云端并存储在全球数据中心,数据主权和安全性仍然是首席信息安全官和安全团队今年面临的关键问题。”Breen解释说,“人为错误是造成云数据泄露的首要原因,因此,确保安全和DevSecOps团队继续跟上不断变化的威胁形势,持续衡量组织的网络能力并填补技能差距以更好地应对此类威胁比以往任何时候都更加重要。”
Veritas公司大中华区技术销售与服务总监吴振岗表示,“国际数据保护日(数据隐私保护日)提醒我们,数据隐私绝不是企业在一天之内就能实现的事情。相反,这是一个需要全天候保持警醒的持续过程。今年,最受关注的焦点是人工智能(AI)对数据隐私的影响。AI驱动的数据管理有助于改善数据隐私和相关监管的合规性,但不良分子正在利用生成式AI来制造更复杂的攻击。生成式AI可以提高工作效率,但它需要设置防止敏感信息意外泄露的防护措施。考虑到这些和其他发展,2024年的数据隐私比以往任何时候都更加重要。”
“AI正在使网络威胁形势变得更加危险。网络犯罪分子已经在利用AI提高勒索软件的能力并发起更复杂的攻击,这极大威胁着数据隐私。如果没有AI驱动的网络韧性来应对不断演变的AI驱动的攻击形势,要抵御这些网络威胁只会变得更加困难。”吴振岗说。
Tips:关于个人的数据保护/数据隐私建议
涉及数据隐私时要三思而后行,在让渡部分隐私与寻求便利之间仔细权衡。以下是一些建议:
减少数字足迹。尽量减少在网上的足迹和PII暴露,在向网站、应用程序或社交媒体上传敏感PII或其他信息时要谨慎。建议个人在做出与隐私相关的决定时借鉴“零信任”原则。除非绝对必要,否则避免在社交媒体上分享个人身份数据(PII)或家庭住址、旅行、家庭计划等敏感信息及相关信息。如果有必要,请确保网站的合法性和实施的安全性(如通信协议)。
经常搜索并删除个人数据。搜索个人数据,删除社交媒体上的相关信息。
有选择性地下载应用程序。查看应用程序的评级,注意名称相似的应用程序。
检查并配置隐私安全设置。对于每个应用程序、账户或设备,都要检查隐私和安全设置,根据自己的舒适度调整隐私设置,这些设置选项很容易在“设置”部分找到,只需片刻就能更改设置。一般来说,建议明智的做法是少分享数据。
更改默认密码。设备/账户的默认密码可用于未经授权访问系统和网络。
为每个账户和设备创建较长(至少12个字符)、复杂、唯一的密码。使用密码管理器存储每个密码。现在安全维护几十个密码比以往任何时候都要容易。
整体来看,保护数据安全和隐私无法一蹴而就,任重道远。需要国家、社会、企业组织、个人共同努力,2024年,加油!!!
参考资料:
1、From Data Privacy Day to Data Privacy Week–Take Charge of Your Data in January 2024
https://iet.ucdavis.edu/news/data-privacy-day-data-privacy-week-take-charge-your-data-january-2024
2、Data Privacy Day Garden State Cyber Threat Highlight
https://www.cyber.nj.gov/alerts-advisories/data-privacy-day