freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

数据时代“透明人”,安全应将何去何从 | FreeBuf作者群话题讨论
2021-04-25 13:28:28

人脸数据收集、简历信息贩卖,数据安全和用户隐私是自“315”晚会以来人们热议的话题。有的企业被重罚,有的企业被要求整改,企业和个人(用户)之间在数据安全这块的关系似乎也微妙起来。本期话题围绕“数据安全”这一老生常谈的话题展开讨论,但是在新的安全形势下,相信大家会有不一样的思考。

以下是本期话题的参考维度:

1、过度收集用户信息会伤害用户且有被罚风险,而过度限制数据收集又会限制企业发展,你如何看待企业数据收集“度”的问题?
2、技术手段助力数据安全。你了解哪些技术手段以保护用户隐私,比如差分隐私、联邦学习等?

如果你有新的思考维度和观点,欢迎在本文评论区留言互动,我们将送出FreeBuf周报定制礼品~

精彩观点

你如何看待企业数据收集“度”的问题?

@mcvoodoo

这个问题是合规问题,企业对数据的需求是无止境的。在监管要求下,最低合规即可

大家换位思考下,站在企业立场上。就知道为啥是这个现状了

一说个人隐私,大家就激愤不已。高层领导们客观多了

@snail2333

对于企业的过度收集,还是得靠国家政策相关把控

没有国家的政策要求。企业不会做费力不讨好的事情。所以,还得靠国家有力监管。就像等保一样,对数据安全,隐私保护做相应的检查和合规,规范企业的数据安全

@Torjan

按需收集:就是你需要为客户提供什么必要且合理的服务所需要的,这个也是由用户来决定是否授权,并且授权多久,授权给谁(是否可以转移授权)等

关键是谁能收集,谁能用,怎么用,用多久的问题

@潇然

收集可以,但是需要数据主体(用户)同意,并记录操作,且收集的数据为满足需要的最小化部分,不能收集与处理目的不相关的。现在很多企业或者说应用,个人相关数据乱收一气,特别是安卓上面的app,一安装需要各种权限。而且有些还不告诉你,偷偷收集。

@史宇航

企业收集数据的度主要会有司法机构来判断。通过具体案件的裁判来确定何种收集、处理是合法合规的。当然行政部门也会出台各种指引性的文件供实践参考。

目前个人信息方面仍然是以“告知-同意”为合法性基础。但具体如何落实告知与同意是一个非常复杂的问题,针对不同场景,不同人群(未成年人与长者)都会有不同的标准。

@Ollopa

限制收集和企业发展,我个人觉得是被炒作的,限制收集并不是不让收集。限制收集主要是几个方面:(1)用户知情(2)匿名数据并不会侵犯隐私(3)数据的共享限制。

当前企业大部分的合法正当需求场景,可以通过收集匿名化的数据,继续完成大数据分析。而其他更多需个人敏感信息的场景,可能只是伪需求,这些其实和产品设计是一样的,是不是真的有必要使用人脸,如果不是必要,但有好处,是不是可以让用户知晓好处之后,让他自己选择?最后对于消费者来说,最不可控的就是自己的数据被共享或者贩卖给其他第三方,这个除了企业自律以外,目前难有监管方式。

@SssCoo1

数据收集度的问题本身也黑白不够分明。比较好的措施和方式,数据合理开放及使用,数据授权方及数据接收方均有效知晓,最小授权(很多伙伴们也提到的:部分业务应用、APP、手机权限开放均会事先提示,其实还是在做应用层、表示层)。

你了解哪些技术手段以保护用户隐私?

@mcvoodoo

技术角度的话,目前实战问题多多。换句话说,企业为啥要用这么重的技术来保护用户隐私?

@snail2333

人脸识别这种技术,我在想,是否可做成国家层面的几大数据库,采用相应算法对人脸等生成数据加密,公司不能随意采集群众人脸数据,但可向相关部门申请数据接口权限,然后和真人对比识别的一种方式。这种方式,企业不会存储用户数据,其次也获取不到数据的真实信息。安全层面,都是有国家管控的几个数据库存储,安全可靠。

@两块

应该提供多种识别认证方式供用户选择,而不是一味的强制使用人脸识别等可能涉及隐私的方式,且应该将各种风险予以告知,应该将选择权交给用户

@潇然

技术手段这块,很多资料都列出来了很多,其实个人觉得,最基本的数据脱敏、匿名、加密、水印、防篡改这些能够真正覆盖到所有业务和场景都已经很可以了。

@Ollopa

说说数据安全的方法,近几年来看,联邦学习,差分隐私都很火,但我觉得回归到安全的基础就可以解决大部分问题:严格的访问权限管控,数据加密脱敏,去标识化,行为审计。这些做好以后,dlp,联邦学习,差分隐私,同态加密等,都是锦上添花的而已。所以不要老整些高大上,先从最基础的做起,就和疫情一样,传统的隔离,检测,才是经久不衰的黄金法则

@mcvoodoo:我同意。基础安全措施做得好,比那些高大上算法有用多了。能把权限管理好,就已经防止很多事情了

@mcvoodoo

我们是做了token化,就是把身份证都变成etrrjfgew这种无意义的随机唯一字符串,在全内网流转的都是这个字符串。即使泄露,也是无意义的。除非打掉了我们的leaf算法中心和换token的中心

@shengl99:基础数据还得有一份吧?

@mcvoodoo:基础数据是加密后存在另外一个库里,主要是减少了明文数据的流转面,就不用挨个系统去搞脱敏啥的
@shengl99:一般团队不敢这么干

@mcvoodoo:是,工程能力要求很高。万一挂了,就是生产链路挂了,且无法降级

@shengl99:万一加密过程出错了,彻底回不来

@潇然:这种一般是每次随机加密生成,还是开始一次,后面一直用?

@mcvoodoo:后面一直用

@潇然:每次都变化,对业务服务能力负担太大了

@shengl99:根据最佳实践,应该是二级加密体系。Data KEY保持不变,Data Key的Key定时轮换,所以每次轮换时不会出现大面积的数据加密和解密场景

@潇然:这种体系从安全层面肯定是比较好的

其他观点:

@成见

不用电子产品就不会信息泄漏。某些app,提示可以用微信登录,结果微信登录之后又要手机验证,我直接手机验证不就完事了,直接套路我两份信息

互联网联盟数据共享,不是什么稀奇事了,你淘宝搜手机,你点开京东马上就给你推荐手机

@shengl99

给客户送奖品,要报销,提取客户清单,还带身份证号的

@lushann

建议颁布 GDPR类似的法规

数据可以给国家,但是不能给企业

@艾登——皮尔斯

工作和生活的手机号,要分开

国内对这个用户隐私保护没那么严格,要是和欧盟一样,直接罚款,罚到倾家荡产

@huoji120

我的手机号已经泄露无数次了,现在很多APP都要你写手机号和身份证才给你用,所谓的国家强制实名 为了反诈骗而生,而现在成为了诈骗的最佳帮手。某些厂商也很乐意打着这个旗号强制你写身份证手机号名字,然后搞不好偷偷定个位 。对于诈骗,只能谨慎,对于社工,健身房、锻炼肌肉、脚本小子贴脸发你地址的时候请露出你的肌肉

互动福利

活动时间:2021年4月27日-4月29日

开奖时间:2021年30日12:00

参与方式:围绕本期话题,在文章下方参与评论互动,FB客服将随机抽取3名带优质观点的小伙伴送出FreeBuf周边定制礼品~

(以上仅为部分周边定制礼品)

此外,FreeBuf会定期开展不同的精彩话题讨论,想了解更多话题和观点,快来扫码添加FB小编加入群聊吧~

回顾往期精彩话题讨论可关注专辑:Let's Talk

扫码入群.png

本文作者:,转载请注明来自FreeBuf.COM

# events # 数据安全 # APP
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0文章数
  • 0评论数
  • 0关注者
文章目录
登录/ 注册后在FreeBuf发布内容哦
收入专辑