由“徐玉玉”事件引发的数据治理体系化思考

作者介绍

潘蓉, Infotech中国联盟伙伴,国际注册的信息安全、IT服务、质量管理主任审核员、“网络空间治理创新”(CGI雪茄会)倡议发起人之一,曾带领团队为超过数百家企业提供   ISMS、ITMS、BCM等服务。ISO38505数据治理标准联合编辑、十二五重点图书《大数据治理与服务》主编之一。

 

作为一个数据治理工作者,为徐玉玉惋惜,对骗子痛恨,转帖教育孩子与他人之外,用体系化思维从个人、组织、社会与产业、法规与标准推广也进行了具体操作层的思考。

 

先用一张鱼骨图来看徐玉玉被骗的原因:

 

 

下面看看具体的分析与应对建议:

 

1个人
 

从个人来看,缺少防范意识,不知晓诈骗的通用伎俩,如通过口音、来电号码、转款请求等判断诈骗倾向,涉及转款等重大事项操作未经核实。

 

倡议全民增强信息时代的安全意识,了解使用设备的安全防范技巧,对于收集个人数据的环节要求明确用途和控制手段,对于钱财的转移设定不同控制权限,比如大额支付双人操作。

 

2数据链
 

 

从数据链的相关方来看,学校存有大量学生数据,本案例涉及采集了学生的完整身份信息,也有助学金发放等实时精准行为信息,是否有规章制度要求从采集、保存、处理、传送、使用、销毁等保护个人信息,操作人员是否有相关意识,在上述环节操作注意防止泄露,学校是否有相适应的技术措施防止来自网络的攻击,给黑客留下方便之门?

 

电信作为诈骗电话送达通道的运营商,是否对虚拟运营商的管理做到实名制?如何监管虚拟运营商的运作?对于欺诈电话有没有反欺诈机制和消费者提醒?电信掌握着消费者精准的个人身份与地点、通讯信息,是高价值的数据金矿也是罪犯垂涎之地。

 

类似的笔者去过的一个智能制卡机构,看到各地社保局委托制作个人社保卡,在数据的传送、实体卡的运输、装箱单的要求方面,居然嫌麻烦,要求制卡商明文打印姓名、身份证号、社保卡号、电话等信息作为装箱单,这些拥有大量个人敏感信息的国家机关因为没有商业公司供应链的强制要求,反而是信息安全管理的短板。

 

本案例骗子能精准运用场景诈骗,说明获取了完整的个人身份数据和实时行为数据,这些数据的获取与利用是产业化运作的结果,数据黑产依靠互联网、大数据技术,数据交易非法获取个人数据,最后使用虚拟运营商的服务伪装骗取受害人。

 

提倡:

  • 拥有大量个人数据的组织:
  • 实施信息安全管理及个人数据保护标准;
  • 明确信息安全责任人,也可设立首席隐私官;
  • 建立内控制度防范操作风险;
  • 建立内审制度,发现泄露风险及时纠正;
  • 建立个人数据泄露的报告、处理、赔偿机制;
  • 自建或依靠第三方的能力建立动态的风险监控与防范机制。

 

3法律标准
 

从法规标准层面看,目前我国《网络安全法》草案从国家安全的角度提到个人数据网络运营者应当采取技术措施和其他必要措施,确保公民个人信息安全,没有从个人权利的角度提出对网络运营商的追责与赔偿;《信息安全技术公共及商用服务信息系统个人信息保护指南》明确了个人敏感与一般信息,也规范了数据生命周期的操作要求,但不是强制标准,宣传推广与接受度受限;金融电信等有行业规范要求保护个人信息,随着云、大、物、移等技术的发展,各类APP的安装,越来越多的个人信息在不知道的情况下被收集被利用;在呼唤个人信息保护法的国家基本大法出台的同时,我们看到更务实的做法是借鉴国际标准,融合行业要求,推动个人信息保护的最佳实践认知。

 

建议推广与培训国际、国内标准作为个人数据保护的起点。

 

目前在个人隐私数据保护方面可以参考国际标准细化操作规范与指南:

 

  • ISO29100:2011数据证据的表示、收集、获取、保留

 

 

与隐私保护相关的技术与应用类标准还有:

  • 19608:制定安全隐私功能要求的指南
  • 29191-2012:部分您名、非链接鉴别的要求
  • 27040:存储安全删除

 

与行业应用相关的标准有:

  • 27799:健康信息安全管理
  • 27015:金融服务的信息安全管理
  • 27019:能源行业的信息安全管理
  • 27011:电信运营商的信息安全管理

 

与数据取证相关的标准有:

  • ISO27037:数字证据的识别、收集、获取与保全
  • ISO27042:数字证据的的分析与解释指南
  • ISO27043:事件调查原则和过程指南
  • ISO30121:数字取证风险框架治理

 

社会环境中数据黑产盛行,中国互联网协会《中国网民权益保护调查报告2016》显示,近一年时间,国内6.88亿网民因垃圾短信、诈骗信息、个人信息泄露等造成的经济损失估算达915亿元。

 

对于黑产的盛行,倡议全民监督,发现数据泄露就举报,结合平台工具利用大数据治理数据黑产,形成众治的力量;行业或协会组织采用各种新型手段场景化、移动、实时、及时促进全民防诈骗防风险的意识。

 

4执法监督
 

从执法监督来看,目前国内没有专门的机构负责监控个人数据的使用状况,据蔡雄山在“网络空间治理创新”沙龙上介绍,欧盟每个成员国都设立了专门的数据保护局监督个人数据保护的执行情况,审批数据的流动,拥有检查和处罚的权利;以美国为代表的是基于行业自律,通过产业协会、互联网协会,认证机构等进行个人数据保护的认证,是行业与市场认可的机制。鉴于现有的国际标准,欧盟与美国供应链及信息流通的要求,及国内的现有的行业规范、第三方认证资源。

 

建议推动第三方的个人信息保护认证监督工作,发挥中立、市场的力量监督标准、规范、法规的执行。

 

5技术工具
 

从技术工具来看,所谓道高一尺魔高一丈,大数据蕴藏着价值,也为隐蔽攻击提供了条件。

 

建议产业政策应鼓励和支持大数据安全技术研究的企业,从攻、防、取证、审计开发应用新技术,以大数据治理数据泄露;应鼓励和支持理论与标准化研究人员归纳整理最佳实践,及时出台管理与技术标准,提升行业、社会的数据治理水平。

 

媒体的觉醒,唤起民众的意识,更应唤起法规标准的跟进,每个角色都应尽职尽责保护一个安全的数据天空。


时间: 2024-09-20 10:49:05

由“徐玉玉”事件引发的数据治理体系化思考的相关文章

项目管理手记:DRP项目中的数据治理

由于我本人的http://www.aliyun.com/zixun/aggregation/7016.html">项目经验在DRP项目中会比较多一些,而且所谈及的问题也是在DRP项目中碰到的,当然,也许我说的这个问题不只只是在DRP项目中,包括像ERP.PDM.KM等项目中都会碰上,但我还是会结合DRP项目中的实际问题来说.同时,由于本人所在的角度是甲方的角度,因此,DRP项目的周期对于甲方来说不只只是项目调研.实施.培训,还会包括整个DRP系统的应用.部署.维护直到系统结束使用的DRP系

网络安全法如何避免“徐玉玉悲剧”的发生?

全国人大常委会7日表决通过网络安全法.三审稿特别增加了惩治网络诈骗的有关规定. 今年以来,徐玉玉案等一系列电信网络诈骗案引发社会广泛关注.网络安全法如何从立法层面上回应公众关切,遏制网络诈骗的蔓延?"新华视点"记者采访了权威专家. 焦点1:如何规范个人信息收集行为?保护用户权益并确立边界 [法律规定]网络安全法第四十条规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度. 第四十一条规定,网络运营者收集.使用个人信息,应当遵循合法.正当.必要的原则,公开收集.使用

公安部公布“徐玉玉被骗案”细节:网站漏洞被利用,考生信息五毛一条

   雷锋网(公众号:雷锋网)按:本文来自"公安部刑侦局",原文标题为<"徐玉玉被骗案"被告人供述案件细节>,宅客频道做了不改变原意的删减. 6月27日上午,徐玉玉被电信诈骗案在山东省临沂市中级人民法院一审公开开庭审理.陈文辉等7名被告人被指控的罪名是诈骗罪和侵犯公民个人信息罪.在今天的庭审中被告人陈文辉的辩护人邀请临沂市公安局刑侦支队法医作为鉴定人出庭作证,公诉机关则邀请了华中科技大学同济医学院和中国政法大学证据科学研究院两位教授作为专业人士出庭作证.

ASP.NET服务器控件开发(3)--事件和回传数据的处理

前两篇介绍了服务器控件的基本显示,属性的设定,继承Webcontrol开发控件等内容,这篇介绍下定制服务器控件的事件的处理和回传数据的处理. 当ASP.NET页面处理回传到服务器端的表单时,两种信息会传递给页面中的控件: 回传事件,如Button一类控件触发的回传,会引发服务器端事件: 回传数据:是Web表单中包含的数据,该数据是在Web表单提交到服务器端时传递给如TextBox一类的控件. 处理回传数据 PostBack(回传):ASP.NET控件提交表单到服务器端,将信息从浏览器传递到服务器

“女硕士网络征婚受骗生子”事件引发的思考

http://www.aliyun.com/zixun/aggregation/17676.html">婚恋网站实名制何去何从?"女硕士网络征婚受骗生子"事件引发的思考 新华网北京12月16日电(记者涂铭.孟菁)近日,北京某媒体刊发题为<征婚女硕士受骗生孩告百合网>的报道,引发社会各界对婚恋网站"实名制"的热议. 事件前因后果如何?百合网是否存在信息审核不严的问题?"实名制"能否有效防范婚恋诈骗?记者先后采访的当事人分

C# DoubleClick与MouseDoubleClick区别,双击事件引发顺序_C#教程

DoubleClick 事件 在双击控件时发生.处理时不包含任何事件数据. MouseDoubleClick 事件 当用鼠标双击控件时发生.通过事件所包含的MouseEventArgs 对象,可以获取鼠标数据. 从逻辑上来说,由于比MouseDoubleClick 描述更抽象,DoubleClick 事件是控件的更高级别的事件, 事件引发的顺序: MouseDown 事件. Click 事件. MouseClick 事件. MouseUp 事件. MouseDown 事件. DoubleClic

c-手持器开发中,事件引发的函数中怎样使用父函数中的变量

问题描述 手持器开发中,事件引发的函数中怎样使用父函数中的变量 求高手解决一个问题.我用GNU for ARM编译器编写手持器程序,C语言.在一个函数function1()中有一个变量a:函数中触发事件OnClick=function2:事件触发函数为 int function2(HWND Obj,PMsg Msg): 怎样才能使得变量a在function2函数中也能用,我不想用全局变量,而function2又不能有其他参数. 求大神帮忙解决.

web前端-怎么用js来获取网页元素,请求响应事件和返回数据大小

问题描述 怎么用js来获取网页元素,请求响应事件和返回数据大小 如图那样..不要使用后台,直接用jq来抓取,可不可行??领导说不能用后台语言来实现..本来用C#做好了的,现在又要重新做过 解决方案 js不是有函数什么的,利用js语法应该可以的

顺丰菜鸟“互怼”事件落幕 大数据就是那块“奶酪”?

欢快的六一儿童节,对于顺丰与菜鸟而言,日后恐要增添一个不那么欢乐的回忆.6月1日,一场双方关闭数据接入的"互撕"战正式开演,尔后随着京东.腾讯云.美团.苏宁.国通等一众企业的纷纷"站队",逐渐将战役精彩度推向高潮.只是还未等"吃瓜群众"搬好马扎,双方便在国家邮政局的干预下"握手言和"--闹剧匆匆落幕,只是我们不禁疑惑,导致双方相爱相杀的那块"奶酪"到底是什么?未来是否还会发生"顺丰菜鸟"