【数据治理】数据隐私治理实践.pptx

数据隐私保护趋势01数据隐私保护实施路径020304未来展望目录数据隐私保护挑战

数据过度采集与使用人工智能、物联网、云计算、大数据等依赖数据的采集与使用，企业为了追求商业利益，对个人信息滥采滥用程度加重数据资产梳理不清数据形态日益丰富，数据资产梳理和分类分级难度加大，传统的数据分析方法和工具难以从非结构化数据中识别信息内容和重要程度，加上行业制度存在差异，企业内部的分类分级的场景化落地存在困难数据安全措施不足企业在数据保护投入上不足，数据在采集、储存、分析、计算、调用的过程中缺乏安全保护。“黑客”、不法人员通过技术手段入侵不同网站等数据源以获取信息数据新技术新应用带来新的风险由于AI技术的普及、算法的滥用和深度伪造等新技术增加对数据的采集与训练，且量级很大，增加侵害、泄漏隐私、隐私的可能，降低了恶意攻击成本、增加了隐蔽性，危害公众利益数据交易泛滥在一些非法网站或暗网中，用户数据交易已成常态。不法分子盗取企业数据信息，然后通过贩卖数据牟利，也有可能利用这些隐私数据对用户进行敲诈勒索等犯罪活动。对个人人身财产甚至是生命安全都造成了极大危害

公众对隐私问题的关注度不断提高，人们越来越关心自己的数据和隐私被如何收集、使用和共享。组织和个人需要更好地保护数据和隐私，以满足公众的需求。!#$!?#$%()*+,- *普华永道关于全球消费者对于隐私态度的调研 !Ω#$%()*+,-./0123456789:E=?@A62%48%81%74%65%58%64%90%88%80%全球受访访者中国受访者

标准逐步完善，但执行细节不够清晰和统一，企业在做产品的落地合规方案上存在困难个人信息泄露问题严重，数据泄露的方式多种多样，如黑客攻击、病毒等，技术手段难以抵御攻击隐私保护关键技术不完善，很多新的技术方案的落地应用及效果存在不足在数据使用、数据价值发挥与隐私保护之间的平衡数据跨境流动，不同国家地区数据合规政策与法律上的差异内部开发人员的隐私保护意识与能力不够标准泄漏保护价值跨境意识

数据隐私保护实施路径03

实现数据价值运营合规风险可控个人信息保护目标安全影响力打造产品安全隐私特性打造安全运营消费者意识教育内部人员的意识与能力培训消费者调研行业洞察监管三方消费者业务安全隐私“三道防线”组织建设技术工具制度流程数据安全防御体系 认证与鉴权 数据脱敏 数据加解密 隐私保护技术数据与隐私保护制度PBD流程产品隐私设计原则数据全生命周期安全流程安全测评制度 应急响应制度用户权利实现流程业务部门（第一道防线）安全隐私专业团队（第二道防线）监督审计（第三道防线）安全与合规委员会检测与评价安全隐私认证内外部审计安全测评风险监测自证合规需求理念站在用户的角度发自内心的践行，而不是因为有法律的约束被迫去执行

职责分工：通过分委会来运营，明确定义各方的职责，协同共建安全保护体系。明确业务为安全隐私第一责任人保障机制：激励与问责机制。业务部门1业务部门2业务部门3业务部门4业务部门…安全隐私代表1安全隐私代表2安全隐私代表3安全隐私代表4安全隐私代表…安全隐私接口人1安全隐私接口人2安全隐私接口人3安全隐私接口人4安全隐私接口人…安全隐私评审安全隐私测试应急响应安全产品及运营…持续运营定期审计系统高管 业务部长 安全人员 安全团队安全与隐私保护委员会

安全与隐私保护制度需求安全需求分析人工+半自动化产品隐私设计原则设计安全与隐私合规评审安全架构评审威胁建模研发安全编码规范敏感数据脱敏SDK源代码扫描三方组件与漏洞扫描测试安全测评规范IAST（后端动态安全测试）SDK扫描安卓安全隐私扫描快应用安全隐私扫描iOS安全隐私扫描安全合规测试（人工+自动化）产品发布规范发布统一发布流程上线门禁检查运营业务运营规范OSRC威胁情报三方送检应急响应红蓝对抗DSR处理

产品需求产品研发功能测试安全隐私测试制品自动化扫描安全隐私扫描产品发布安全隐私扫描安全与隐私合规评审!#$%()*必须通过才能发布门禁检查监控分析策略：安全流程强制覆盖新业务或者老业务的大版本，其他的版本由业务架构师根据我们的指引（checklist）进行自评，由业务自行判定是否走安全流程，这样既保证了能够消除大部分风险，又兼顾了业务效率。

敏感数据识别数据安全风险分析数据安全保护敏感数据特征项数据安全态势大屏标准接口（数据/日志）标准接口（策略/指令）数据脱敏静态脱敏动态脱敏API脱敏访问控制安全审计多方计算组件安全防护治理一体化联动数据加密终端防泄露安全审核数据脱敏数据安全治理数据分类分级 数据资产地图策略集中管理 数据安全策略下发数据安全平台-DSP访问控制安全审计通过数据安全治理平台，实现对不同数据类别的自动化识别和分类分级。构建敏感数据特征项识别模型，开展对数据的识别、分类