近日，国际货运 空运价格，由腾讯安全主办的CSO俱乐部沙龙在上海举行了个人隐私数据安全防护专场，汇聚了来自金融、物流、汽车、通讯、能源、航空等行业的安全代表，围绕“个人隐私数据安全防护”话题展开讨论。本次沙龙设有主题分享和分组研讨环节，形成了集政策解读、需求配对、实践分享、成果沉淀即是一体的沙龙模式，为各行各业加强个人隐私数据安全防护能力及合规性提供了理论指导和实践参考。

零信任安全架构作为一个能落地的安全信任治理方案，提供了一套对安全信任进行全生命周期治理的思路。

一是企业自有的数据，主要关乎知识产权保护，目前这一块需要做的工作相对较少。

蒋琼 | 后疫情时代的券商数据安全体系实践

三是对国家安全和公共利益有影响的数据，这类数据被称为重要数据。关于重要数据的安全防护，目前行业仍处在摸索阶段。

根据受影响的主体，监管层面将数据分成了几个大类：

全球天天产生大约2EB的数据，人类最近两年产生的数据总量已经超过了此前所有数据的总和。数据创造的价值持续被挖掘，数据正在成为这个时代最宝贵的资源。

和银行相比，券商自研能力偏弱，需要引进外包职员帮助开发。如何管控外包职员，保证数据资产不被泄露，成了券商企业面临的一大挑战。而零信任安全架构很好地帮助券商解决了这一困难。

个人隐私数据安全防护已经从合规和安全事件驱动的1.0时代迈进了数据价值驱动的2.0时代。

进进2020年，涉及个人隐私数据保护的各方面工作齐头并进，各项法律法规及地方规范性文件密集出台。监管趋严的态势下，企业如何适应新的环境？

由于数据本身的经济价值、数据安全涉及个人隐私保护等，数据安全备受社会关注。今年5月全国人大表决通过的《民法典》中明确了个人信息受法律保护，市场期待已久的《中华人民共和国数据安全法（草案）》、《个人信息保护法（草案）》也先后于7月、10月进进征求意见阶段。

五、编写具体制度。制度是否切合实际，能否全面执行，是企业需要重点思考的题目。

二是个人信息。个人信息的范围非常广，国际物流，只要和个人身份绑定，会对其产生影响的数据，都属于个人信息。企业除了保障个人信息的保密性、完整性、可用性外，还要确保用户的选择权、知情权以及注销和删除的权利。个人信息是当前信息安全防护的重点。

三、梳理数据活动。数据活动的梳理可以帮助企业把握业务数据的状态，了解可能存在的风险以及需要重点关注的安全能力。

基于零信任“永不信任、持续验证”的理念，企业可以接进同一身份认证系统（IAM），以身份为核心，对默认不可信的访问请求进行多因素认证加密，再结合动态访问控制和持续信任评估等核心能力，低本钱实现安全访问控制能力的同一建设。此外，这也避免了员工越权操纵等权限使用不当带来的安全隐患，以及权限分散、跨站点/业务的资源访问难等题目。

二、从资产、访问、风险、权限四个维度对数据资产进行盘点。资产不清，安全管控就无法到位。

六、通过审计与稽核验证安全防护措施的执行情况。

目前，企业实际业务中碰到的个人隐私数据安全题目主要出现在数据提取、大数据平台、APP数据流转等场景，风险内收留包括数据暴露面大、缺少稽核手段、缺少数据行为识别能力和资产状况不清等。

刘海洋 | 大数据时代隐私数据安全防护实践

四、确定防护体系技术路线，目前主要有五种做法：标准单品建设、体系化建设、场景化建设、平台级建设和按数据生命周期建设。

主题分享

一、明确职责。确定个人隐私数据安全防护究竟该由数据部分、应用部分还是安全部分来牵头。

2.0时代，数据安全防护将朝着整体防护、动态风控、协同参与三大方向发展，而资产治理智能化、安全能力组件化和安全分析中心化是达成三大方向的重要途径。

何延哲 | 个人信息保护和数据安全合规政策解读

针对以上现状，腾讯安全提出了“六步走”的个人隐私数据安全防护实践策略：