从滴滴出行下架看数据平台的隐私数据问题

7月4日晚，一则震惊互联网的消息在各媒体平台传播。这则消息是关于"滴滴出行"app的通告，由国家互联网信息办公室颁布，大意是“滴滴出行”App存在严重违法违规收集使用个人信息问题，依据相关法律规定，通知应用商店下架“滴滴出行”App，要求滴滴出行科技有限公司严格按照法律要求，参照国家有关标准，认真整改存在的问题。不久之前，《网络安全法》以及《个人信息处理法案》的重要补充——《数据安全法》于6月10日颁布。该法案9月1日开始正式实施，作为安全相关的法律，《数据安全法》规范的是数据处理活动中的数据安全，通过保障数据安全，来促进数据的进一步开发和利用，保护个人，组织的合法权益，维护国家主权及安全。数字经济蓬勃发展的今天，《网络安全法》将在其中扮演越来越重要的角色，防范国家数据安全风险，维护国家安全，保障公共利益。在进入正式问题讨论之前，我们先分析一下为什么数据安全会成为当下最重要的安全问题。主要是由于以下两点：

• 首先，在数字化时代，安全的战场已经转移，从传统的网络与系统安全发展到"云大物移智"过度。而黑客也从过去无聊的脚本小子和炫技狂人过度到组织与组织、国家与国家层面的对抗。勒索病毒、apt攻击、供应链攻击屡见不鲜，而攻击目的也由之前的网络和系统入侵到数据与和业务本身。
• 其次，激增的网络安全威胁让国家和行业都为之影响，不断出台新的法案，比如欧盟的《通用数据保护条例》、中国的《网络安全法》等，甚至出现了国家层面的网络安全对抗演习活动。联防联控，实战演练成了经久不衰的安全话题。

当安全已经成为数字化转型的关键和首先要解决的问题时，数据安全的使用和过程的管理，已经成为了不可回避的话题，我们不妨先从“隐私数据”的保护说起。

为什么要关注隐私数据？

有以下几点原因：

• 第一，隐私数据包含的信息很容易具体定位到个人，滥用或者非法使用，可能造成对个人权益的侵犯。
• 第二，以前掌握个人信息的是国家，比如身份证，居住地址这些都只有政府机构持有，但是现在某些企业拥有或者甚至超过了政府机构能覆盖的信息，在此基础上进行商业价值挖掘，不断获得更多的对商业层面有利的信息，这些行为的正义性与社会责任很大程度依赖企业自身的安全意识和道德准则，很难在行政方面得到有效控制。
• 第三，网络边界不确定性和企业边界的日益模糊，让数据安全隐患扩大，近年来，不断爆发的数据安全和隐私泄露的问题，让企业对个人隐私数据的保护举措迫在眉睫。

在隐私数据的处理和保护中，国家层面的法律成了不可回避的强制性约束，比如《通用数据保护条例》规定了企业对用户数据的收集、存储、保护等标准，对于自身的数据，也赋予用户更大的权限去处置自己的数据。现在各个行业内出现的巨型企业，本身就是拥有着超量数据的平台，在保护隐私数据方面应该具有更高的安全意识。数据安全和隐私泄露问题频发，促使平台在保护隐私数据安全问题上需要实施有效举措。接下来，我想以数据平台为例简单说明下隐私数据的问题，分享我们在数据安全与隐私安全方面的思考与洞察。

数据平台中的隐私数据问题

• 首先，由于数据平台大多是满足业务诉求，所以在建立和设计之初，以解决问题或者业务增长作为主要出发点，缺乏整体的安全规划，自身的安全机制也存在一定局限性。
• 第二，从业务方面考虑，隐私数据存在于各个层面，需要隐私数据作为补充来完善业务的建立。客户类型多、场景复杂已经是成为共识。而在此过程中，数据访问控制和数据加密很难在这一时间准确投入并且应用其中。
• 第三，大规模分布式存储和计算模式，导致安全配置难度成倍数增长。比如在架构和基础设施中，由于使用微服务架构，数据分布式存储，一但收到删除需求，其实很难完全删除。

应对数据安全的解决思路

解决思路有四个方面：

• 第一，明确法律要求和安全需求之间的关系。法律的要求都比较晦涩和难懂，比如《通用数据保护条例》中对于被遗忘权的描述，要求客户有权删除有关自己的数据。仅仅这一句话针对安全部门、研发部门以及客户接口部门就产生了很多变化。就安全部门来说，需要对存量数据设定周期性的清理，或者定制脱敏策略，定期清除客户数据。对于研发部门来说，需要将法律需求转化为功能需求和非功能的安全需求，比如在个人信息采集中，需要在设计个人敏感信息的时候添加存储和删除的功能。在客户接口部门，需要建立合适的流程和系统在客户提出删除功能的时候就能迅速响应。
• 第二，关注生命周期，从源头解决问题。关于安全问题的解决，最好的方式就是“安全左移”和“内建安全”。从需求阶段就开始解决是非常有效的方法，比如前期我们所做的威胁建模和风险评估，都是很好的发现问题的手段。这方面各位有问题可以参考我司的“内建安全”相关的实践或者马伟老师的文章。前段时间邬江兴院士在上海安全博览会中也提出数据驱动的内生安全新范式，也算是在源头解决问题的新趋势，从加密和授权认证的方式上解决合法用户使用软硬件或者信息资源的情况。
• 第三，定位相关数据，整理隐私保护清单，时刻维护隐私安全策略。隐私保护的问题，需要以隐私影响性分析为基础，通过记录隐私影响性分析的结果，整合项目计划来实现整体和系统性的控制。常见的策略有两个，一个是隐私设计。隐私设计是数据处理者以最小化的方式维护和设置他们的服务，原则上应该仅能提供数据服务所需要的数据。另外一个默认数据保护，包括任何预期对于数据主题的完整性保护，不应收集的可额外数据，以及向主体说明如何处理相关信息等等。
• 第四，安全意识高于一切，需要不断反思和坚持实践，使实践成为一种习惯。安全是一个过程不只是结果，我们只有认识到问题，并将问题影响牢记于心才能更好的处理和应用上述方法。

应对数据安全的技术方案

关于隐私保护相关的技术，除了上述的身份认证和加密存储之外，更重要的是对数据分类分级有所认识，并且，在不同场景下有不同的应用。举个例子，预防数据使用和存储安全的时候，我们需要先对用户身份认证，然后结合进程监控，日志分析以及安全审计策略进行强化。在处理过程中，需要进行可信计算、差分隐私计算与同态加密，访问阻断以及防火墙相关的控制。而在数据安全运维阶段，需要结合不同阶段进行调整。通过事前，事中和事后进行不断的调整。事前主要是漏洞扫描和安全加固，事中主要是从防火墙策略，加密脱敏等角度进行，而事后分析主要是从审计和日志管理来进行。最近比较流行的数据加密和安全多方计算，也是对于过程中信任与协同展开计算。隐私保护中特有的匿名化算法，将成为未来解决的有效方案，它具体根据不同场景和属性来定义方法和策略，将隐私数据中个人信息进行泛化或者屏蔽。第二种，是去标识化，主要是将身份标识直接删除，只保留其他个人信息。还有一种是通过技术手段生成代替原有的身份个体。

总结

在面临隐私保护相关问题时，要从经济、法律和技术三方面入手，建立不断演化的安全攻击和防范体系，技术方面需要强化隐私相关技术的应用，从数据流动的角度，动态审视当前的安全策略。以上是Thoughtworks安全技术与系统研发事业部在数据安全与隐私安全方面的思考与洞察，我们在金融、电商、汽车、医疗等不同行业都曾经与客户一同直面数据与隐私安全问题并探索更符合企业的解决方案。