守护个人数据与信息安全 企业人力先行

　　“情话多说一点 想我就多看一眼 表现多一点点 让我能真的看见......”小李的手机铃声突然响起，原来小李也是心凌男孩。

　　“喂，您好，有什么事？”小李接起电话说道，对面却毫无声音，只听见嗡嗡作响。小李挂断后，看了下来电显示，心里不禁疑惑，这泰国打来的，谁呀这是，我又没出过境，怎么最近这么多的境外电话，难不成我信息被泄露了，可又是怎么泄露的......

　　7月26日，广州市公安局通报广州一家技术公司在开发一款App系统后，因未履行数据安全保护义务，导致该系统安全漏洞被不法分子利用，1000余万条公民个人信息面临泄露风险，被警方行政立案，罚款5万元。看着上面的通报，不禁陷入沉思——对于“注册账号-同意隐私”，不过是早已习以为常的事情，而今却要承担信息泄露的风险。

　　然而除了我们日常生活在使用的APP外，更应注意到，我们作为“打工人”，还身处于另一“笼”中——用人单位，这也是大家常常忽略的信息场景。用人单位作为密集收集、使用、处理个人信息的主体，日常的人力资源管理工作流程就涵盖了个人信息的整个生命周期。从入职签合同到考勤发工资等阶段，在人力系统或APP上都需要收集大量个人信息，各环节也会不断产生个人隐私数据，数据传输、数据缓存、日志打印、结果存储等都存在泄露风险。

　　因此不论是在生活还是工作的场景之下，守护个人数据与信息安全，企业都应首当其冲。

　　合法合规 尽应尽之义务

　　当前，以数字经济为代表的新经济成为经济增长新引擎，数据作为核心生产要素成为了基础战略资源，数据安全的基础保障作用也日益凸显。伴随而来的数据安全风险与日俱增，数据泄露、数据滥用等安全事件频发，为个人隐私、企业商业秘密、甚至是国家重要数据等带来了严重的安全隐患。

　　国家因此对数据安全与个人信息保护进行了前瞻性战略部署，开展了系统性的顶层设计，不断加强对网络安全、数据安全、个人信息的保护力度。近年来，先后颁布了《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》、《网络安全审查办法》、《数据出境安全评估办法》等法律法规，进一步提高并细化了对于个人信息收集和使用的合规要求，意味着我国个人信息处理正式进入“有法可依、违规必查”的新时代。

　　而关于“数据”和“信息”之间关系的理解，一般认为“信息”是属于“数据”的子概念，“信息”是从采集的“数据”中提取的有用内容。因此《数据安全法》中的数据处理者在处理个人信息时，也是《个人信息保护法》中的个人信息处理者。所以不管是面向大众的APP研发还是公司内部的HR系统，相关企业除需遵守《数据安全法》，还必须遵守《个人信息保护法》，尽应尽之义务，切实保护个人数据与信息安全。

　　技术提升 数据安全新框架

　　守护个人数据与信息安全，最关键的还是需要技术不断提升。从技术层面看，个人信息往往以结构化数据或非结构化数据形式存在，保护个人信息和保护数据的防护手段，二者是高度通用的，经典的网络安全框架 ATT&CK便是防护的核心技术。该框架模型根据实际观测数据对对抗行为进行描述和分类，将已知的攻击行为转化为结构化列表，并将这些已知行为归纳为战术和技术，并通过若干矩阵和结构化威胁信息表达(STIX)、指标信息的可信自动化交换（TAXII）来表述。

　　近年来，随着网络安全的重要地位逐渐显现，ATT&CK框架在安全行业中也广为人知。简而言之，ATT&CK提供的是“对抗战术、技术和常识”框架，它就像一个攻击者在攻击企业时使用过的网络攻击兵器谱，总计包含12种战术和244种企业技术，覆盖了绝大多数网络攻击手段，使安全运营不仅知己而且知彼。但另一方面，ATT&CK建立的是一份用于网络攻击的对抗策略和技术的详尽清单，那对于未知行为能否有效未雨绸缪，提前布防呢？

（图片来源：ATT&CK官网-12项战术与案例）

　　进入数据时代，侧重攻防对抗的 ATT&CK 框架，难以覆盖“主动式保护数据” 的各种技术手段。在《2021 数据安全与个人信息保护技术白皮书》中，其提出了新的数据安全技术框架 DTTACK（Data-centric Tactics, Techniques And Common Knowledge，以数据为中心的战术、技术和通用知识），覆盖数据全生命周期（收集、 存储、使用、加工、传输、提供、公开等）的安全防护，以期结合两大框架实现“攻防兼备、网数一体”。

　　如果说ATT&CK的出现，是让攻击手法拥有通用语言，那么DTTACK的诞生便是对数据本身进行主动式防护，为防护模式打造了通用技术库，实现网络安全“事前、事中、事后”的全过程覆盖，可以主动识别、预防、发现、响应安全风险。

　　在技术的不断提升并付诸实践下，企业便更能切实守护个人数据与信息安全。

　　安全赋能 金蝶云·星瀚人力云一马当先

　　作为我们大众经常忽略或接触不到的人力系统，各家企业却不得不引起重视。此外，随着企业出海全球用工，如何不触碰各国标准不一的隐私保护法律红线，已成为企业管理者们重要且棘手的问题。美国更是针对个人隐私泄露涉事企业直接开出50亿美金的天价罚单，创下美国联邦贸易委员会（FTC）的罚款纪录！在全球化时代，企业HR系统面临着“内忧外患”的局面，稍有不慎，便是罚单，那应当如何破局，切实守护个人数据与信息安全？

　　就像某超大型全球化企业，业务遍及全球180+个国家，用有数十万员工。近年来因为内外部战略环境发生重大变化，未来业务的不确定性增加，公司面临转型压力。为了应对挑战，当前的人力资源管理体系亟需变革。金蝶云·星瀚人力云便结合该集团业务现状及战略方向，面向不同用户提供差异化价值服务、从内部管控到场景化服务、统一人力资源数字化运营平台，重塑人力资源管理，助力其全方位数字化转型。

　　而在各国不同个人隐私保护法律法规框架下，不同人群的数据留存期存在差异。留存期限到期后，需对个人数据做匿名化处理，以满足数据主体权力诉求。金蝶云·星瀚人力云可按字段自定义设置匿名化规则、对数据主体角色基于不同隐私法域进行分类、以及按法域要求配置数据留存期，并按期进行匿名化、假名化处理，为该企业在全球化旅途上切实守护全球员工的数据与信息安全。

　　在数据显示和存储方面，针对他人偷窥、泄露隐私的风险，以及个别运维和开发人员违规导出个人数据的风险，金蝶云·星瀚人力云提供个人信息数据库加密的功能并进行页面级个人信息脱敏，严格控制敏感信息访问权限；同时在用户自助服务端，进行个人信息脱敏防偷窥，多措并举，全方位进行个人数据与信息保护。

　　除此之外，金蝶还吸收了与上述超大型全球化企业合作项目中的丰富场景与领先实践，创新各项安全技术，并结合其二十多年的HR数字化产品经验，在隐私声明签署、个人敏感信息脱敏显示、数据存储加解密、以及数据使用安全管控等各环节，为个人数据与信息安全保驾护航，充分解决企业HR系统安全方面的后顾之忧，助力开启HR管理新世界！

   【免责声明】本文仅代表第三方观点，不代表和讯网立场。投资者据此操作，风险请自担。