数据安全--13--数据安全生命周期管理

一、引子

数据安全生命周期管理，是从数据的安全收集或生成开始，覆盖数据的安全使用、安全传输、安全存储、安全披露、安全流转与跟踪，直到安全销毁为止的全过程安全保障机制。

对于数据的隐私生命周期，一般分为以下几个阶段：

● 告知数据主体（隐私声明或通知）
● 数据主体选择和同意
● 数据收集或生成
● 数据传输
● 数据存储与留存期管理
● 数据使用
● 数据流转与出境
● 数据披露
● 数据销毁

二、告知数据主体

对于告知数据主体来说，从数据收集开始，就应明确所收集数据的用途、使用的业务和产品范围、保护措施等，避免收集不必要的用户数据。为了保障数据主体的知情权，以及符合法律法规的透明性要求，需要将我们的隐私政策告知数据主体。

以最常见的网站在线服务为例，通常需要在网站的每个页面的固定位置放置一个名为隐私政策的超链接。

三、数据主体选择和同意

处理个人数据，至少需要具备六个法律依据中的一个，这六个依据是用户同意、合同义务、法定义务、数据主体或他人的核心利益、公共利益、数据控制者及第三方的合法利益。

这六个法律依据中：

● 合同义务、法定义务、数据主体或他人的核心利益、公共利益这四个依据使用的场景非常有限，不具有普适性。
● 合法利益争议最大、投诉最多，需要尽量避开。

因此，实践中最常用、最重要的一个法律依据是用户同意。

在可能对数据主体造成较大影响时，尤其需要征得数据主体的有效同意或明示同意。所谓有效同意，就是默认不能替用户勾选同意，需要用户主动勾选同意选项。

另外，不同类型的业务应使用不同的隐私政策，而不应使用一揽子式的隐私政策。隐私政策里面提到的一些可能影响数据主体利益的活动，比如个性化广告推送，应设置开关选项，且默认不能打开。

为了有效管理数据主体的同意，后台需要记录每个数据主体对每个隐私政策版本的同意记录，当隐私政策版本更新时，需要数据主体重新同意。

四、数据的安全收集或生成

用户同意后，应按照隐私政策告知的范围，最小化收集。对接收的数据，应确定其数据分级和分类。数据分级和分类决定了应该采取什么样的措施来保护它。

为防止个人信息泄露，数据在收集后应采取适当的预处理，或降低隐私敏感性的措施，再上传到服务器，而没有必要传输原始的敏感信息。

五、数据的安全传输

传输信息应使用HTTPS或其他加密通道。在外网传输，首选HTTPS加密传输机制，推荐采用统一的接入网关，统一管理证书私钥，统一启用HTTPS。在内网传输，可考虑RPC加密传输、HTTPS等机制，加密传输敏感数据。

六、数据的安全存储与留存期管理

一般对以下数据采取加密存储措施：

● 口令、密钥，包括数据库、配置文件中的口令和密钥。
● 敏感的个人隐私数据。
● 敏感的UGC数据（用户生成内容）。

至于业务数据，则需要权衡，特别是涉及检索、排序、求和计算等场景。

在留存期方面，主要涉及两类数据。

● 第一类是数据主体的身份类数据，通常是收集一次后，如无更正需求，则存储较长的时间，直至产品下线或用户销户，删除相应的数据。
● 第二类是在注册后的活动过程中生成的，比如支付/消费记录、运动记录等，应按设定的留存期，到期自动删除或删除对应的加密密钥。

七、数据的安全使用

在数据使用、留存、存储的过程中，需要采取必要的安全控制措施，来保障个人数据的安全，这部分通常包括：

● 访问数据需要基于身份执行授权、访问控制、审计机制。
● 授权，比如除了用户自己，授权其好友查看其朋友圈信息。
● 访问控制，比如防止数据库直接对外开放或存在弱口令。
● 留存期管理，对于支付/消费记录、运动记录等，应按设定的留存期，到期自动删除或删除对应的加密密钥。
● 数据的展示，有的数据是不能展示的，比如口令、用于身份认证的生物特征等，有些数据是需要脱敏展示的，比如姓名、手机号码、地址、银行卡号等。
● 数据对外披露，数据在披露前，应当采取严格的脱敏、去标识话等措施、披露给数据处理者之前应当先进行尽职调查及签署DPA。

八、数据流转与出境

对于数据的安全流转，建议不提供原始数据，而是封装为数据服务，插入可唯一定位到具体业务的追踪字段，提供脱敏的数据查询接口，为其他业务建立相应的账号并为其授权、限定查询频率、记录查询日志等。如果不得不提供原始数据时，可考虑插入一些可唯一定位到对方业务的假数据，用于数据批量泄露时定位泄露责任方。

以数据接口向其他业务提供数据的方式，需要其他业务需求方承诺或签署保密协议，禁止缓存、禁止删除追踪字段，并在对方业务上线时检查执行情况。

如果是国内收集或生成的数据，默认应在境内存储。如果要向境外转移，需要经过严格的评估，并咨询企业法务部门的意见。

如果是手机APP等直接涉及个人数据出境的场景，至少应征得用户的明示同意。明示同意包括在隐私声明中主动明确地告知、用户主动勾选同意。

九、数据销毁

在实践中，真正做到安全意义上的销毁或不可用难度还是相当高的，一般情况下，当用户提出删除请求时，可通过删除对应记录的密钥的方式，让备份中的原始加密数据不再可用。

而针对退役下来的硬盘，一般需要通过低级格式化、消磁、物理折弯销毁等手段做销毁处理。