从GDPR谈个人隐私保护——美创亮相贵阳数博会

5月26日——5月29日，2018年中国国际大数据产业博览会（简称“数博会”）在贵阳举行，由国家发展改革委高技术司指导、国家信息中心主办、杭州美创科技有限公司等协办的第五期网络安全创新发展高端论坛于5月28日在贵阳生态国际会议中心召开，国家信息中心副主任马忠玉、贵州省大数据产业发展中心主任何灏出席会议并致辞。

致辞嘉宾

本次会议议题为“大数据安全与隐私信息保护”，围绕大数据安全与隐私信息保护，审计署信息办原主任周德铭、国家信息中心办公室副主任吕欣、贵州省大数据发展管理局数据资源管理与安全处处长张雷、大数据协同安全技术国家工程实验室副主任左英男、国家信息中心国信卫士网络空间安全研究院技术发展研究室副主任邓子健等分别就政务信息共享数据安全、网络空间数据安全、大数据时代的身份安全、贵州政府数据共享交换安全实践等做了主题报告。

沈武林发表演讲

美创科技北京分公司总经理沈武林在会上发表了题为“从GDPR谈个人隐私数据安全”的演讲。欧盟一般数据条例从5月25日开始正式实施。由于全球数据泄露逐年增加，乱世出重典，GDPR有非常重的处罚条例。同时，欧盟企业也希望法规的实施能够促使数据市场更快更好的发展，使相关业务有法可依。他指出GDPR立法主要提到了以下个人数据保护的核心问题：

第一，数据分布的问题。在接触过的客户中，有70%-80%不知道自己的数据在哪里，更没有详细的数据地图。而数据地图，我们认为是做个人数据保护的前提，也是非常关键的内容。

第二，数据应用检测。目前不管是个人还是企业，往往会关注个人的敏感数据的保护，但今时今日，大量不敏感的信息通过数据组合，就会得到大量有价值的信息，所以不敏感信息同样具有重要价值。怎么能够看到这些数据有没有被非法使用？一定要知道有哪些人、哪些业务、哪些应用用了你的数据，用了数据哪个部分？哪个特征？最终他使用这些数据是为了获得什么？做到这点的时候，我们才能看到这个数据有没有被滥用，个人数据有没有被泄露。

第三，数据流动监测。目前国内，对于数据的流向，数据流到哪里？数据流向目标市场是否安全？数据流出之后是否可追溯？目前这个领域基本都是空白，没有人对流出后的数据进行任何的追溯、审计或者相应保护。

第四，真实数据最小化原则。我们都是搞信息安全，都知道，我们提了很多年的权限最小化原则，我们给每个人的权限应该是他用于工作的最小权限，以此来保障权限不被滥用。数据应用的时候也应该提倡这样的原则，真实数据最小化的原则。现在数据应用有一个非常简单的办法，充分利用数据脱敏数据，只保留需要使用的数据，将其他数据脱敏，从而保证真实数据的最小化。

第五，全生命周期的审计和评估。这里的审计和评估，是从评估到改善，到再评估，再改善，反复循环的过程。目前国内对于数据进行评估的业务还属于空白。国际上许多企业已纷纷开展此项业务。相信在GDPR公布以后，随着国际上对于数据评估的关注热潮，会带动国内相关业务的发展。

会议现场

出席此次会议的有国家信息中心信息与网络安全部主任杨绍亮、贵州省大数据产业发展中心副主任吴志刚、海南省党政信息中心副主任梁柱成等。来自政务机关、网络安全领域国家工程实验室、工程研究中心和相关专业机构、企事业单位及相关媒体代表150余人参加了本次论坛。