隨著企業數位化轉型的深入,數據已然成為了企業運行的重要資產。尤其是隨著網際網路+、雲計算、大數據等信息技術與通信技術的迅猛發展,社會逐步進入了數據時代。
但是,與之而來的是數據泄露風險的加劇。根據近期發布的《2022年數據泄露成本報告》,數據泄露的平均成本創下435萬美元的歷史新高,比2021年增長了2.6%,自2020年以來增長了12.7%。今年的研究首次發現,83%受訪組織已經不是第一次發生數據泄露事件。
此外,越來越多企業推出APP、SaaS小程序等終端應用,以便可以為用戶提供更便捷的服務。但是據相關調查,大量APP存在未經同意收集、超範圍收集、強制授權、過度索權等違法違規收集使用個人信息的問題。
例如,8月26日,工信部通報了47款侵害用戶權益的APP和SDK,它們都存在涉違規收集個人信息等問題。據報導,工信部組織第三方檢測機構對群眾關注的酒店餐飲類、未成年人應用類等移動網際網路應用程式(APP)及第三方軟體開發工具包(SDK)進行檢查,對發現存在侵害用戶權益行為的共227款APP(SDK)提出整改要求。截至目前,尚有47款APP(SDK)未按要求完成整改,包括都市酒店、花築旅行、華人易居、住友生活、神州專車、賽百味點餐等。
這些被過度收集的用戶個人信息包含身份證號碼、手機號碼、家庭住址、學歷、工作等。而這些敏感信息如果一旦被泄露,或造成個人信息被販賣,威脅用戶人身、財產安全。
目前,在數字經濟大背景下,海量數據在各種信息系統上被存儲和處理,其中包含大量有價值的敏感數據。敏感數據主要可能有個人隱私數據、企業業務數據,還有數據分級分類之後安全級別很高的核心數據。
但是,很多企業進行數據採集、傳輸、交換和共享的過程中,並沒有很好地對數據進行保護。據一則相關調查報告顯示,政務公開、招考公示等平台未脫敏展示公民個人信息事件至少107起,涉及未脫敏個人信息近10萬條;對國內50個銀行發布的小程序進行的安全檢測結果顯示,超過90%的小程序在程序原始碼暴露關鍵信息和輸入敏感信息時未採取防護措施。
一方面,在數據產生、收集過程中,由於過度收集用戶個人信息,且對用戶個人信息未作任何安全保護措施,導致企業存在數據泄露風險;另一方面,當前業務系統中,存有大量的商業信息、企業信息等敏感數據,但是不同企業之間有相互共享數據、分析數據,進而開展相關業務的需求,若是數據未進行保護,內部人員或外部攻擊者可能利用自身擁有的高權限或資料庫漏洞,非法獲取、泄露、篡改甚至破壞數據,造成企業損失。
數據的價值在於流動與融合,但數據的可用範圍,正常情況下敏感數據是只能存在於生產環境中,而經過脫敏之後就可以在測試環境中存儲、在開發環境中存儲以及對外部開放訪問,進而可以最大限度保證數據的規範使用和數據價值的安全釋放,推動企業的數位化發展、業務增收。
與此同時,隨著《數據安全法》《個人信息保護法》等相關法律法規的落地,以及即將實施的《數據出境安全評估辦法》,可以看出國家對於個人信息的隱私保護要求逐漸嚴格,數據安全與隱私保護的相關技術逐漸走進人們的視野。
其中,數據脫敏就是一項重要的數據安全防護手段,它可以有效地減少敏感數據在採集、傳輸、使用等環節中的暴露,進而降低敏感數據泄露的風險,確保數據合規。例如,有能力的企業可以針對不同的業務場景制定出不同的脫敏策略,數據脫敏工具支持泛化、抑制等脫敏技術手段,以實現對核心業務數據的脫敏,保證數據可用性和安全性的平衡。
數據脫敏是一個數據科學領域的常用術語,是指在不影響數據分析結果的準確性的前提下,對原始數據中的敏感欄位進行處理,從而降低數據敏感度和減少個人隱私風險的技術措施。在企業進行數據採集、傳輸、交換和共享的過程中,有必要、也有義務採取必要的手段防止數據泄露,保證數據安全。
因而,數據脫敏技術的應用目的主要包括兩方面:一是以保護敏感數據安全、實現合法合規為主要目的;二是在達到第一目標的前提下,儘可能地保證數據可用性以及可挖掘價值。
通常而言,數據脫敏分為三個階段,首先,需要識別出資料庫中的敏感欄位信息;其次,採取替換、過濾、加密、遮蔽或者刪除等技術手段將敏感屬性脫敏,脫敏所使用的技術手段與下文提到的去標識化和匿名化用到的技術本質上沒有不同;最後,需要對脫敏處理後的數據集進行評價,以確保其符合脫敏要求。總的來說,假名化、去標識化和匿名化都可以算是數據脫敏技術。
當前,數據脫敏技術主要應用在涉及到個人隱私數據存儲和應用的部分行業領域,因此廣泛應用於政務、金融、電信、醫療、能源、網際網路等行業領域。例如,在金融和電信行業中,由於金融客戶的個人帳戶信息、交易記錄等信息以及運營商內部存儲大量的客戶信息均屬於敏感信息,對資料庫查詢返回的結果進行敏感數據遮蓋,防止數據泄露。
未來,各行各業的數據量將進一步匯聚,規模將以指數級增長,數據脫敏技術的應用場景將擴展到各個領域,隨著需求的增長和多樣化,數據脫敏技術也將得到長足的發展。