数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。
CONTENT
「非结构化数据分类分级」
「ISO认证中介机构」
「网信部门加密要求」
「GDPR数据泄露通知DPA」
「大模型备案要求」
「爬取客户微信昵称合规性」
非结构化数据分类分级
-问:在做分类分级的时候,非结构化数据你们是怎么处理的呀?还有那种数据存在saas系统的又怎么处理的呀?感觉分类都难搞,在各种各样的系统里,存着各种各样的数据。
-答1:好像有一些技术公司可以做,但是非结构化数据分类成本很高。
-答2:非结构化的数据整理起来费人工。上工具扫出来后,还是得人工去分的,只能优先解决敏感数据。归根到底数据分类分级还是技术的活,纯法务或者合规,给了分类指引➕启动数据盘点项目后,实质作用不大。目前普通行业,数据分类分级监管查的不多。如果不是企业内部要求高,存在数据分类分级制度➕数据权限控制➕敏感数据去标识加密,就很妥了。
总结:非重点行业先缓缓。
ISO认证中介机构
-问:请问一下ISO项目是找安全公司做还是四大做呀?
-答1:更多会找认证机构,如:BSI、DNV、TUV,还有一堆国内的,外资会找四大,会贵一些。
-答2:我们找四大辅导,找BSI认证。
-答3:不得不说真有钱,真重视,真好。四大估计没个小50万下不来吧,野鸡认证公司 2万块就做了。
-答4:认证公司也挺多的,能辅导的机构也很多,看是要一套制度表单就行,还是真的想看看要不要落地。
-答5:纯认证,现在国内跟国外机构差价不大了。前期咨询的话,费用就看具体需求了。四大啥的相对贵不少,用人成本在那里。
-答6:分两部分 ,辅导公司和认证机构 辅导公司这块哪怕自身有能力过认证们也建议找,毕竟可以风险转移。四大也好,普通的公司也好,差距不会很大。关键是企业自身想要在体系建设初期达成什么样的目的,如果想要落地,还是清醒点比较好,根本实现不了。但是可以在建设中带入 部分落地的意图。在划分范围时 先关注 主体定位到底是什么,最差的情况就是把运营和产研本身不同公司的定位混在一起。认证机构。看心情去签 这部分费用不会相差太大。
-追问:这个认证现在认可度高吗?跟SOC比起来如何?
-答7:ISO和SOC2用处感觉不一样吧。
-答8:认可度很高,一些大甲方,合同里一年一度的检查条款,可以用过了iso替代。他们能接受过了iso就不需要检查。
总结:丰俭由人。
网信部门加密要求
-问:节前上海网信通报了一批热门app,这两天地方金监就发文提醒了,app被通报还要报告监管。(交行信用卡就被通报了)
-答1:上海网信对数据传输的加密方式也有要求,https不够。不管是tls几都不够。然而查遍标准规范法律法规也没有很明确表明https是不够的,不知道算不算安全加码。具体的加密方式没有明示,只能说不能用md5,base64加https的组合作为传输加密的方式。
-答2:HTTPS要看,S可能不安全,等保里有。
-答3:传输分2块,1. 协议通道加密;2. 传输的内容本身加密。https协议、tls 1.0 高危,1.1 中危,1.2 合规,再要求更高就可以diss了。内容本身加密,md5 彩虹表过小,不被认作有效的安全手段,base64转码方式,不算为加密。
-答4:内容加密算法不可以用md5这种简单的方式(虽然md5也不算加密),总之原则是不能抓包到可以被识别出是什么信息的程度。尤其是银行卡号、身份信息这种容易被识别的。
-答5:金融有特殊要求吧,一般传输内容加密业务跳起来了。
-答6:pci 强要求 tls1.2,要做到全链路加密 也不是不可以 ,就是成本非常高。
-答7:这个貌似跟传输加密没啥关系。传输过程再怎么加密,最后到对端的数据基本都是可读可用的,不然就是传了一堆脏数据。这种明文场景是在端侧,不是在传输过程中。
-答9:前端加密SDK,加密后,以加密形式入库,使用时,在应用端解密。成本非常高。整个一套密钥管理要弄起来。前端要改造。
-答10:其实成本不高,其实登录密码加密传输大家都做了。只不过现在要针对弱一级的敏感字段传输加密。像银联这种支付平台接口全加密的。登录时候是这样,但是注册,修改密码还是得用非对称加密算法的。
-答11:密码哈希+随机盐方式不需要解密使用成本不高。
总结:合规要花钱,企业要盈利,差不多就行。
GDPR数据泄露报告DPA
-问:请教GDPR Art.33个人数据泄露时报告义务的问题。Art.33要求有泄露的可能性就要报告,还是要确认泄露事实发生呢?例如员工把公司存储的个人数据拷走打算泄露,但又浪子回头并删除了拷走的数据。这是Controller是否要报告DPA?
-答1:可以参考一下Guidelines on Personal data breach notification under Regulation 2016/679。

总结:先报,可以再修正。
大模型备案要求
-问:请教个问题,现在大模型的算法备案和上线备案是分开的两套备案流程吗?有群友近期实操过么?
-答2:2套,上线备案替代了之前双新。
-答3:前天刚确认过,两套,算法备案走备案系统,这个拿到备案号后填App上架的要求,但只有这个,就算是应用程序给你上了,还是会被下架,再去网信办线下做一个备案(之前的双新评估,现在也叫大模型备案)
-答4:必须拿到算法备案号才能上架么,实际上已经上线的可能通过了上线备案,但是还没过算法备案吧。
-答5:应用程序上架要备案号呀。
-追问:嗯嗯,那双新评估转为上线备案,现在实际上就是地方网信办来做了是吧?
-答6:省网信,最终材料还要递交中央网信。
-答7:算法备案的时间可太长了。
-答8:第一批算法备案早过了啊,第二批不一定能给你上了。
-追问:各位大佬知道上线备案和算法备案一般分别需要多久吗?
-答9:不要问,通过的花了大半年,双新做到备案表。
-答10:说一句可能有点残酷的实话…如果这个问题企业和律师都不能知道答案的话。第二批大概率通过的名单里不会有自己…因为排队的太多了,时间很赶。
总结:门票难抢。
爬取客户微信昵称的合规性
-问:我有个问题想问下 企业微信企业购买的服务 添加的客户好友 登陆账号后 企业可以采取爬虫方式爬取企微用户微信昵称吗?
-答2:好奇,企微在这方面会有反爬虫措施吗,比如robots协议那些。
-答3:不知道会不违反这条。
-答4:针对某些读内存的作弊工具,比如cheatengine,另外 这一条应该也是很早拿来针对珊瑚虫之类的工具吧。cheat engine作弊器的原理就是通过读取内存数值然后强行修改该数值达到本地获取某些资源什么的(比如一键9999金币啥的。案例我倒是没特别关注过 但十几年前腾讯打击彩虹QQ插件的时候我猜是用类似的理由。
总结:严格说可能有问题,建议业务部门要做自己做,别问。
大模型备案要求
作者:何琛来源:数据何规

数据合规是一个比较新的领域,很多问题都难以通过公开渠道检索到答案。此时,实务人士间的思想碰撞、交流就显得尤为珍贵。