深入剖析企業合作方數據安全風險及管理

吳安琪 吳瀟 朱奕森 譚志明 謝紹志 鄭文奇

【摘要】? ? 隨著智能信息時代的到來，數據中蘊藏的巨大商業價值被逐步挖掘出來，企業開展數據合作能使雙方利益最大化被利用，但是同時也帶來了巨大的數據安全挑戰。企業應加強自身的防御能力，關注合作方管理，從源頭提升合作方泄露的難度，減少合作方可以濫用的公共資源。

【關鍵詞】? ? 合作方? ? 數據安全? ? 風險

一、背景

2020年某知名酒店發生數據泄露事件，這是該集團在近兩年內發生的第2次重大數據安全事件。這一泄露原因可能是第三方利用員工的登錄憑證訪問了集團的共涉及520萬賓客數據。這一消息無疑給企業及用戶帶來深深焦慮。如今大數據時代中，數據價值愈發凸顯，合作方員工也有意或者無意地給各種企業帶來一定的威脅。企業在數據合作中更需重視并做好數據安全合規合作的工作，保障好企業的切身利益及聲譽。

二、企業對外合作風險現狀

企業可能與合作方在業務合作、數據服務、市場代理銷售、代維代建等方面均有合作，一旦發生諸如數據大批量泄露等的數據安全事件，將對企業的合作開展、企業在業界的聲譽、企業的利益、用戶信任度等方面產生較大影響。目前，企業對外合作風險主要包括以下幾個方面：

2.1合作方企業信譽安全風險

在合作方引入前未對其資質背景充分評估，引入的合作方存在信譽低風險，或曾被企業拉入不良信用黑名單，或有外資企業背景，可能增加敏感數據泄露的風險。

2.2系統代維代建安全風險

在業務研發及系統運維過程中，引入的合作方是代維代建類型，如果未遵循“賬號專人專用、權限最小化”原則，代維人員及代研發人員擁有超出工作職責的高權限賬號，在權限管理控制手段不足的情況下，存在違規訪問和操作行為，導致敏感數據泄露的風險。另外合作方開發人員誤引用內置軟件后門的開源代碼或APP中插入獲取個人信息敏感權限的第三方sdk，均存在非法竊取敏感數據的風險。

2.3數據服務安全風險

在進行數據模型合作時，合作方利用企業平臺數據或融合自帶數據，開發部署和訓練模型，獲取模型結果。如對提供給合作方用于分析挖掘的數據審核不嚴，超范圍使用;或在進行數據分析和挖掘的過程中，對個人敏感信息判定不準確、未進行數據脫敏或數據脫敏不徹底，或合作方代分析挖掘后形成的成果夾帶敏感信息，均可能導致用戶個人權益受損或用戶隱私泄露或敏感信息泄露風險。

企業通過SaaS平臺的方式向合作方提供服務，利用自有數據，形成合作方需求數據維度。若大數據平臺未遵循“賬號專人專用、權限最小化”原則，存在職責分離問題，導致合作方可以對敏感數據進行違規訪問和操作，存在敏感數據泄露的風險。

2.4數據輸出安全風險

涉及數據輸出的合作場景，企業對合作數據范圍，目的以及必要性審批不嚴，未遵循數據服務最小化原則和遵循用戶知情同意原則;或缺乏接口安全檢測，導致敏感數據超范圍輸出給合作方;或涉及敏感信息傳輸的未采用健壯的傳輸加密機制;或合作方可以非法訪問能力開放平臺獲取敏感數據，存在敏感數據泄露的風險。

2.5市場代理銷售留存安全風險

合作方通過代理的形式如服務渠道商，代理商，在推廣合作產品，使用企業渠道系統過程中未按約定違規收集、私自下載或者留存紙質敏感數據，未遵循合法、正當、必要的原則，將收集的敏感數據從事違法犯罪活動或損害社會公共利益的活動。

三、對外合作基本原則

在意識到企業數據合作方面可能會產生的各類安全風險后，日后企業開展數據合作應當基于以下原則管理企業本身及合作方：

3.1合法合規原則

企業應在法律法規規定的范圍內，開展數據對外合作。

3.2權責一致原則

企業在共享合作數據前，應事先開展共享合作數據安全影響評估，依評估結果采取有效的保護共享合作數據的措施，并監督合作方對合作數據的保護措施應不低于本企業。

3.3數據服務最小化原則

企業應具有合法、正當、必要的數據開放共享目的，僅提供合作開展需要的群體屬性、標簽屬性等數據，數據范圍應最小化，降低多余數據外泄風險。

3.4用戶知情同意原則

在共享個人信息前，企業應向個人信息主體告知收集使用個人信息的目的、方式、范圍、數據接收方的信息以及可能產生的后果，并事先征得個人信息主體的授權同意。

四、安全管理要求

企業在遵循對外合作基本原則的基礎上，更應加強數據合規合作管理體系建設。從數據安全事前安全防范、事中持續監測和事后稽核審計三個方面加強企業數據合作安全管控。

4.1事前安全防范

數據合作安全管理“事前防范”包括組織職責管理、數據分類分級管理和合作方調研審查及數據安全協議。

4.1.1組織職責管理

企業應明確數據合作安全監督管理部門，職責包括但不限于：建立數據合作安全管理制度和實施細則;建立數據合作方安全審核制度及審批流程;建立數據對外合作企業的不良信用名單管理制度，明確不良信用名單設置標準;建立數據對外合作清單更新維護機制;建立數據對外合作安全教育培訓制度，建立健全應急響應機制和應急預案。

明確數據合作執行配合部門，配合落實數據合作相關工作，對合作方進行評估審核，審核合作數據內容及合規必要性;定期核查更新數據對外合作清單;開展數據對外合作安全管理培訓;開展數據泄露等場景的應急演練等。

4.1.2數據分類分級管理

建議企業參考行業數據分類分級指南，建立企業自身數據的分類分級制度，根據數據類型、數據類別、數據敏感程度進行分類分級。實現重要數據重點保護，且需要明確基于不同數據敏感級別對數據進行差異化安全管控的手段，明確數據開放的原則規范。

4.1.3合作方調研審查及數據安全協議

1.合作方調研審查。企業在開展合作前應對合作方進行背景調查，重點做好合作方的境內外合作關系、既往合作情況、是否有不良信用記錄等的調查。應開展合作方安全資質審查，包括但不限于審核合作方保密及運營資質、人員能力、經營范圍、數據源合規性、個人信息保護能力資質、個人信息授權等方面。綜合評估合作方的數據安全保障能力，包括對合作方的數據安全管理制度、數據安全防護技術手段等的評估。確保合作方滿足數據合作安全保障能力要求，能切實保障敏感數據。

2.數據安全協議簽署。企業應加強對合作方的約束管理，與合作方簽署數據安全協議，細化安全責任。簽約前，合作雙方應就保密協議中甲乙雙方安全責任進行界定，包括合作方及項目參與員工可接觸到的數據處理相關平臺系統范圍、合作模式、數據內容、甲乙雙方權限義務、保密責任、保密有效期及違約處罰等條款。

4.2事中持續監測

4.2.1合作方賬號管理

對于合作方人員需使用企業自有系統賬號的情況，應與合作方簽訂相關的安全協議，以明確相關安全責任及保密職責。企業應建立合作方的賬號申請、授權、轉崗、注銷、回收、有效期等賬號生命周期管理流程制度。需審核后方可開通賬號，審核內容包括權限的必要性、與合作范圍的一致性等，原則上應禁止合作方人員掌握系統管理員權限，禁止為合作方人員開通原始個人信息的訪問權限，并定期開展賬號權限審查工作，確保及時刪除沉默賬號，合作方人員發生離職或崗位變動時能及時清理其賬號。

4.2.2數據操作行為監測及審計

企業應對數據合作方數據操作行為進行日志留存，留存字段至少包括人員、操作數據類型、操作行為、操作時間，留存時間應不少于法律法規規定，確保滿足審計和溯源要求。

實現數據訪問和使用行為的自動化實時監測與異常預警，并建立預警處置機制。

建立合作方數據使用行為定期審計機制，對認證記錄、訪問記錄、操作記錄進行日志審計，用以發現異常操作、敏感數據操作等，并留存審計記錄。

4.2.3數據安全保障能力監測及評估

企業應定期對數據合作方的數據安全保障能力進行監測及評估，包括但不限于對合作方的數據安全管理制度、數據安全防護技術手段，確保合作方在合作過程中同樣滿足企業的數據合作安全保障能力要求。

4.3事后稽核審計

4.3.1安全風險監督管理

企業應定期對合作方進行事后監督檢查，對檢查過程中發現的問題，應責成合作方在規定時限內整改，未及時完成的應依據相關條款進行處罰。定期組織開展客戶信息泄露風險隱患排查工作，嚴肅處理并通報發現的違規問題，適當考慮添加至不良信用名單中。對涉嫌違法犯罪的，及時向公安機關報案。

4.3.2合作數據刪除管理

在數據合作結束后，企業應督促合作方依照數據安全協議等約定及時關閉數據接收接口，對數據進行銷毀，不得超期留存，敏感數據銷毀需由企業內部工作人員現場進行有效監督。應對數據合作權限進行回收，對合作方數據接口關閉、數據銷毀等落實情況進行檢查核實，留存相關日志記錄。

五、通用安全技術

在企業數據合規合作管理體系完善并落實的基礎上，企業自身也應當加強數據安全防護技術能力，常見的安全技術有數據流向監測技術、數據防泄漏技術、數據脫敏技術。

5.1數據流向監測技術

存在數據對外開放場景的，要建立對輸出數據的監測溯源能力。對數據進行簽名并添加數字水印，對合作數據及時跟蹤，記錄數據流向等，防止數據被濫用。至少可識別該數據發送者、數據接受者，確保發現可疑泄露數據時，可追蹤到數據泄露者。

5.2數據防泄漏技術

企業應配置數據防泄露能力，具備數據導入導出渠道的實時監控能力，目前常見從數據使用、數據存儲、數據傳輸三個維度進行防泄漏策略定制[1]。掃描存儲的敏感信息并發現不當存儲，監控對敏感信息的敏感操作，以及防范敏感數據從網絡數據流量泄漏的風險。

5.3數據脫敏技術

在合作方人員對敏感數據進行查詢、展示、統計等操作時，應按照最少夠用原則，根據業務需求對敏感數據實施脫敏處理。當前數據脫敏技術主要分為靜態數據脫敏和動態數據脫敏兩類[2]，企業在處理敏感信息時，應選擇合適的脫敏方法，保證脫敏后的數據仍能真實體現需要的數據的特征，且應盡可能多的保留原始數據中的有意義信息，以減小對使用該數據的業務的影響。

六、結束語

總之，在理解了對外合作常見的安全風險基礎上，企業應當高度重視并加強數據安全防護體系建設。從事前安全防范、事中持續監測和事后稽核審計三個方面加強數據安全管控，同時也應提升企業的安全技術防范能力。

參? 考? 文? 獻

[1]徐云峰. 幾種常用的數據安全防泄漏技術[N]. 中華讀書報，2019-07-10（017）.

[2]王卓，劉國偉，王巖，李媛.數據脫敏技術發展現狀及趨勢研究[J].信息通信技術與政策，2020（04）：18-22.