企业为什么要开展数据分类分级工作以及数据分类分级的一些实践难点,对于企业而言,这是一项复杂且重要的工作。但是,仅仅进行数据分类分级以满足监管相对应的要求是远远不够的,数据分类分级工作是合规的起点而不是终点,今天我们就继续探讨数据分类分级如何在隐私管理与保护中发挥作用,以实现数据合规建设工作中更多的应用与价值。
联动隐私管理,落实合规义务
为保护个人隐私数据,个人信息处理者应事前进行个人信息保护影响评估(PIA),这在个保法第55条、56条中有具体说明。在常规的实践中,RoPA往往作为PIA的前置步骤,也就是需先梳理数据流转情况再来进行PIA工作。那么,在整个PIA工作中,数据分类分级如何发挥作用呢?
首先,在梳理数据处理活动时,我们以数据流向绘制工具辅助生成可视化的数据流向图,在涉及数据收集、使用、存储、访问、公开、删除、传输等数据处理的过程时,我们可直接引用来自数据分类分级模板中的标识信息,在PIA评估问卷的填写中,涉及到个人信息的相关问题,亦可直接引用来自数据分类分级模板中的标识信息,这样在PIA的过程中,不仅能以标准化分类分级模板标识作为统一规范,同时也能根据标识、敏感级别编排一些规则,从而实现部分PIA模块的自动化。其次,在数据处理活动产生实际的业务数据后,我们可通过应用关联对应数据库,由于我们已经定期定时对企业内部全量数据做过数据分类分级,因此我们可以看到某个具体应用在实际的业务活动中究竟处理了哪些敏感数据,这时合规人员可以将其与事前的数据处理活动流图做比对,以明确事前评估与实际业务处理数据的差异性,从而在合规的角度提出整改意见,真正落实合规义务。
建设隐私保护能力,加强个人信息保护
联动数据分类分级的事前评估是必要的,同时基于数据分类分级结果,进行事中、事后的数据访问控制、去标识化以及数据行为审计也是保护个人信息的重要措施,个保法第51条明确了个人信息处理者需要采取去标识、操作权限管控等具体措施以防止个人信息泄漏、篡改、丢失。由于在数据分类分级后,我们已经发现了企业的敏感信息以及个人数据,那么下一步,我们便能顺理成章的利用分类分级结果建设隐私保护能力。
联动数据分类分级,进行数据访问控制
1、在进行数据权限申请时,申请者和审批者均能直观看到所申请数据的标识、分类以及敏感级别,从而为申请者/审批者提供依据;
2、动态调整审批流程,权限申请流程可根据敏感数据级别动态变化,如L1级别的数据无需审批直接通过,L3级别的数据则需直系主管审批,从而提升权限审批效率;
3、动态权限回收策略,根据敏感级别的变动进行权限回收,防止因权限过大导致的数据泄漏问题或因权限过小导致的生产事故;
基于分类分级结果,进行去标识化处理
1、基于已识别出的敏感标识,可配置不同的脱敏算法,以支持在使用数据时达到去标识化的效果;
2、基于sql解析,先执行sql语句再对结果进行脱敏,在保证去标识效果的同时不影响计算的执行;
结合分类分级能力,进行数据行为审计
1、自定义行为审计规则时,配置规则维度支持以敏感标识、敏感分级进行配置,并支持敏感信息查询审计规则、定向查询审计规则、统计规则的配置,从而在事后对高危操作行为进行审计告警;
2、审计分析详情结合分类分级结果进行展示,每一笔操作敏感数据的风险事件均能有迹可循。