“我们很难想象,在一个高度信息化和数字化的社会,对于极富价值的信息和数字本身,缺乏妥善的管理和保护。”
——罗黎
这是TüV莱茵大中华区数据化与信息安全副总裁罗黎在接受媒体采访时的观点。步入2019年,信息安全形势似乎越来越严峻。在数字经济中,数据和信息技术安全日渐成为组织成功与否的关键因素,如:苹果公司就将隐私保护作为重要卖点展现在宣发方案及广告上。
于2018年5月生效的欧盟《通用数据保护条例》(以下简称GDPR)为市场带来了许多未知数。在该条例实施的几个月后,葡萄牙一家医院因擅自查阅患者档案和信息被葡萄牙数据保护局罚款40万欧元。
尽管该条例总体执行的速度相对较慢,首次罚款的额度也较低,但显而易见,不只是欧盟,GDPR已经在全球范围内对数据保护产生重大影响。对大多数行业来说,与其将自己局限于遵从区域范围内的隐私条款,还不如选择开发和设计符合全球标准的产品和服务更能节约成本。
GDPR的重要性凸显
罗黎在电子电器领域有超过十五年的检验、检测及标准制定的经验。
那么,基于当前GDPR对企业获取用户信息的管控,个人与企业对信息保护的边界在哪里?
面对OFweek编辑提出的问题,罗黎作出了两点解释:“一是如何正确理解GDPR对欧洲公民个人数据的保护;二是中国企业产品及服务在欧洲运行的合法性。”
对于个人数据的保护,GDPR有明确和细致的规定,其主要是查阅权、被遗忘权、限制处理权和数据移植权等方面。
作为保护欧洲公民个人数据安全的条例,GDPR对于中国企业最大的挑战莫过于企业向欧洲公民或者市场提供产品或者服务时,必须自觉保护公民的隐私安全。如中国的智能家电企业将产品售卖到欧洲,这台智能电视及背后的企业要进行GDPR符合性方面的准备。
诸多以安防监控为主的企业不仅仅售卖单一的摄像头,其业务范围更多地扩展到整个社区的安防系统,如果中国企业需要售卖整套的安防系统,其系统内的摄像头、服务器及处理流程会产生诸多数据,在这种的情况下,中国出口企业就要考虑到是否触犯了欧洲的GDPR,提前在整套系统设计过程中进行充分的准备。在这个领域,TüV莱茵一直帮助出口企业按照GDPR在产品、系统、方案及云等多个层面进行多维度的评估,尽力避免因触及法律而引发的多重风险。
GDPR产品检验层的三个步骤
罗黎说,目前中国出口欧洲的企业分布于多个行业如电子电器、消费品等,面对纷繁复杂的产品检验层,TüV莱茵进行了逻辑上的规整,其做法可分为三个步骤:
首先,梳理产品工作过程中涉及到与个人相关的敏感数据。罗黎解释道,不论是冰箱、电视还是视频摄像头,不同的应用环境会涉及不同的个人数据,因此,第一步需甄别这些数据是否为敏感数据。
第二步,在产品和云平台的实现过程中,TüV莱茵会根据数据流的走向进行分析,了解这些数据的传输过程,包括如何实现终端与云端的数据互通,以及数据存储的位置等。
第三步,排查数据传输过程中每个环节是否能够有效控制,如传输过程中传输的协议是否加密,以及通过何种方式进行加密保护,会不会通过特殊的渠道被第三方轻易获取等。
成果方面,TüV莱茵与国内诸多领先企业进行了基于GDPR的隐私保护方面的合作。在智能家电及视频监控等领域,从产品、云端到体系三个层面,TüV莱茵均有不同的解决方案。
提及国内隐私保护法案,罗黎对OFweek编辑表示,我国早于2016年发布了网络安全法,业内周知的隐私保护条例尚在制定中,目的是保护公民的个人隐私。
罗黎预测,中国版的个人隐私保护条例可能会和网络安全法配合使用。各个国家将对个人隐私的保护越来越重视,前不久美国出台的《2018年加州消费者隐私法案》(CCPA),旨在加强消费者隐私权和数据安全保护,该法案有很多条例与GDPR类似,随着数字化的发展和信息安全以及隐私保护越来越受重视,隐私保护将成为未来国际贸易中的重要法则。
人工智能是重要的研究方向
罗黎及其团队同时与全球的数字化团队在人工智能、人脸识别、自动驾驶等领域进行密切的合作。在研究方案中,其数字化团队会给客户提供专业的方向预判或研究报告。
罗黎表示,国内诸多领先企业也意识到,技术的应用会涉及信息安全风险。针对这些风险,国内科技领头企业开始着手人工智能方面的研究,如视频监控过程中“是否会采集过量数据”等。而国际科技巨头则将隐私保护放在广告的第一项,这是互联网及科技企业进步的标志,也是TüV莱茵现阶段努力推动的目标。
组建专业团队为客户提供定制化方案
TüV 莱茵的全球数字化与信息安全团队超过一千人。目前,他在中国的几个大城市,如北上广深、香港和台北都有专门的技术团队。
罗黎出席多个信息安全相关论坛
他说:“谈信息安全就不得不提及底层技术保障,我们分别在上海、深圳建立渗透性测试实验室,并组建了专业的渗透测试团队,他们从黑客的角度去审视产品、Web端、App或者云端是否存在漏洞。”
罗黎相信,每一个管理者或者员工都有自己的管理风格和做事方法。但是他比较推崇的是多元化的管理,根据环境及团队成员的情况,以区别化的激励方法和沟通方式达到管理目标。
罗黎所在的信息安全团队有两个技术方面的大团队,一个是从技术角度出发,基于网络攻击模式分析而进行渗透性测试的团队;另一个则是从管理方案和流程导入出发,代表TüV莱茵为客户提供特定解决方案的资深顾问。可以想象,对于他来说,最大的挑战,在于平衡各方的意见和风格,为客户提供最合适的服务方案。
罗黎向OFweek编辑表示,优秀的团队能充分发挥每个成员的优势,为客户提供更合适、有效的解决方案。
TüV莱茵《2019年网络安全趋势概要和展望白皮书》于8月1日发布,内容包括全球范围内关于信息安全和数据保护的八大趋势和预测,探讨了网络犯罪的演变如何影响网络环境,如运营技术、物联网,以及它对长期技能短缺、管理层之间的权力平衡的影响。同时,预测了红队渗透测试、敏捷安全、安全自动化、机器学习和大数据分析等概念将日益成熟。即刻下载白皮书了解更多详情,同时可免费获得企业app安全扫描(Quick Scan)。