2021年11月1日，《中華人民共和國個人信息保護(hù)法》（以下簡稱《個人信息保護(hù)法》）正式施行，為我國個人信息保護(hù)提供了更具系統(tǒng)性、針對性和可操作性的法律遵循。三年來，各類數(shù)據(jù)處理者采取了哪些措施強(qiáng)化個人信息保護(hù)，面對人工智能等技術(shù)帶來的新挑戰(zhàn)，有哪些應(yīng)對舉措？

　　南都大數(shù)據(jù)研究院推出“《個人信息保護(hù)法》落地三周年”系列報(bào)道，從案例調(diào)查、應(yīng)用實(shí)測、企業(yè)對話等方面，探討近年個人信息保護(hù)領(lǐng)域的新變化與新實(shí)踐，展望未來技術(shù)發(fā)展方向與挑戰(zhàn)。

　　對線期，南都采訪廣州競遠(yuǎn)安全技術(shù)股份有限公司董事長林殿魁，聽網(wǎng)絡(luò)安全企業(yè)對個人信息保護(hù)形勢的分析研判。

　　九游體育 九游體育官網(wǎng)入口

　　在數(shù)字經(jīng)濟(jì)快速發(fā)展的背景下，個人信息等數(shù)據(jù)的應(yīng)用場景和處理主體日益多樣化，數(shù)據(jù)安全的外延不斷擴(kuò)展，個人信息保護(hù)面臨著前所未有的挑戰(zhàn)。近年備受關(guān)注的人工智能技術(shù)既是加強(qiáng)數(shù)據(jù)安全防護(hù)的重要工具，也成為安全風(fēng)險的一大來源。

　　面對層出不窮的數(shù)據(jù)安全威脅，企業(yè)應(yīng)該如何做好個人信息安全防護(hù)工作？作為數(shù)字化企業(yè)在網(wǎng)絡(luò)世界的安全防線構(gòu)筑者，網(wǎng)絡(luò)安全企業(yè)有何看法？廣州競遠(yuǎn)安全技術(shù)股份有限公司董事長林殿魁日前接受了南都大數(shù)據(jù)研究院專訪。

　　林殿魁：結(jié)合我們在網(wǎng)絡(luò)安全領(lǐng)域多年積累的經(jīng)驗(yàn)來看，首先，內(nèi)部管理疏漏可能導(dǎo)致個人信息在未經(jīng)授權(quán)的情況下被訪問或泄露，例如員工安全意識不足、權(quán)限管理不當(dāng)?shù)?。其次，外部威脅日益復(fù)雜、技術(shù)水平越來越高，高級持續(xù)性威脅（APT）、零日漏洞和勒索軟件等新型攻擊手段層出不窮，其中不少都是圍繞竊取關(guān)鍵數(shù)據(jù)、敏感個人信息等發(fā)起攻擊。

　　第一要開展全面的風(fēng)險評估。通過定期的安全評估、滲透測試、模擬攻擊，提前發(fā)現(xiàn)系統(tǒng)漏洞和潛在風(fēng)險，及時做相應(yīng)整改和漏洞堵塞。

　　第二是強(qiáng)化內(nèi)部控制。實(shí)際案例中，很多情況是員工的數(shù)據(jù)訪問權(quán)限設(shè)置不當(dāng)，導(dǎo)致一些員工獲得了非工作必需的數(shù)據(jù)?！秱€人信息保護(hù)法》中很重要的一項(xiàng)原則是“最小范圍”，即只提供實(shí)現(xiàn)處理目的的最小范圍數(shù)據(jù)。另外，企業(yè)應(yīng)當(dāng)建立日志審計(jì)、異常行為監(jiān)測等機(jī)制，及時發(fā)現(xiàn)并處置內(nèi)部異常情況。

　　第三是員工個人信息保護(hù)意識和技能的提升。很多個人信息泄露源于員工在這方面意識的淡薄，如果通過培訓(xùn)提升他們的個人信息保護(hù)意識和專業(yè)技能，可以構(gòu)建防范內(nèi)部風(fēng)險的第一道防線。

　　最后是供應(yīng)鏈的安全管理?，F(xiàn)在絕大部分企業(yè)都會有很多第三方合作伙伴和供應(yīng)商，一些個人信息可能會通過供應(yīng)商泄露。我們認(rèn)為應(yīng)該對供應(yīng)商的安全管理建立嚴(yán)格的審查機(jī)制、準(zhǔn)入機(jī)制和要求規(guī)范，確保個人信息安全防線的安全可靠。

　　南都：人工智能等新興技術(shù)一方面滿足了人們對于美好生活的需求，另一方面也給數(shù)據(jù)安全帶來前所未有的挑戰(zhàn)。近年業(yè)內(nèi)不少同行嘗試以AI制衡AI，您如何看待這條技術(shù)路線？

　　林殿魁：這個是目前行業(yè)的大方向。因?yàn)槟壳昂芏嗑W(wǎng)絡(luò)數(shù)據(jù)安全的攻擊威脅，也運(yùn)用了AI技術(shù)。作為網(wǎng)絡(luò)安全的服務(wù)機(jī)構(gòu)，我們也必須將防御手段與AI相結(jié)合，實(shí)現(xiàn)服務(wù)的智能化、自動化，才能夠去應(yīng)對AI的新威脅。競遠(yuǎn)安全也在基于AI大模型研發(fā)網(wǎng)絡(luò)安全的相關(guān)應(yīng)用。

　　南都：今年以來，我們看到國內(nèi)相關(guān)部門適當(dāng)放寬了數(shù)據(jù)跨境流動條件，即將施行的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》也較征求意見稿做了較大調(diào)整，減輕了平臺合規(guī)負(fù)擔(dān)。您如何看待這一變化？

　　林殿魁：發(fā)展和安全是一體兩翼，二者相輔相成。在現(xiàn)階段，為了促進(jìn)我國數(shù)據(jù)產(chǎn)業(yè)發(fā)展，建議相關(guān)部門應(yīng)當(dāng)有一定的寬容性、容忍度。但是在發(fā)展的過程中，我們也要及時發(fā)現(xiàn)和處置個人信息保護(hù)過程出現(xiàn)的問題，包括國家安全的問題，及時采取相關(guān)措施，這樣才能促進(jìn)產(chǎn)業(yè)的健康發(fā)展。

　　林殿魁：根據(jù)我們對網(wǎng)絡(luò)安全行業(yè)的研究，個人信息保護(hù)領(lǐng)域可能呈現(xiàn)四大趨勢。

　　一是隱私保護(hù)技術(shù)的深化應(yīng)用。隨著數(shù)據(jù)資產(chǎn)的交易流通越來越廣泛，諸如隱私計(jì)算、聯(lián)邦學(xué)習(xí)、差分隱私這些技術(shù)也將得到廣泛利用，幫助企業(yè)在數(shù)據(jù)共享和協(xié)作的過程中保護(hù)個人信息。

　　二是零信任安全模型普及。因?yàn)閭鹘y(tǒng)的安全邊界正在被打破，零信任的安全架構(gòu)將會成為主流。所謂零信任，就是針對每個訪問請求，它都需要進(jìn)行嚴(yán)格驗(yàn)證，從而降低潛在的風(fēng)險。

　　三是數(shù)據(jù)合規(guī)的全球化。隨著國際業(yè)務(wù)的拓展，企業(yè)需要同時滿足不同國家和地區(qū)的個人信息保護(hù)法規(guī)，既包括我國的《個人信息保護(hù)法》，也包括GDPR、CCPA等歐美國家和地區(qū)的法律法規(guī)。例如一些希望在國外上市的中國企業(yè)，國外的監(jiān)管機(jī)構(gòu)對企業(yè)有數(shù)據(jù)披露的要求，但我國對數(shù)據(jù)跨境也有相關(guān)規(guī)定，企業(yè)需要同時滿足多方面的合規(guī)要求。

　　第四是人工智能倫理與合規(guī)。因?yàn)锳I技術(shù)的應(yīng)用，引發(fā)對算法公平性、透明性和可解釋性的更高要求，企業(yè)需要在技術(shù)與倫理層面做好平衡。

　　林殿魁：首先是技術(shù)的儲備和投入。企業(yè)應(yīng)該加大對新型隱私保護(hù)技術(shù)和安全架構(gòu)的研究和投入，保持技術(shù)的領(lǐng)先優(yōu)勢。其次要建立完善的合規(guī)體系，培養(yǎng)熟悉國內(nèi)外法規(guī)的專業(yè)團(tuán)隊(duì)，確保業(yè)務(wù)拓展的合規(guī)性。第三是人才培養(yǎng)和團(tuán)隊(duì)建設(shè)，企業(yè)要注重培養(yǎng)既懂技術(shù)又懂法律的復(fù)合型人才，提升整體的專業(yè)水平。第四是企業(yè)文化建設(shè)，數(shù)字經(jīng)濟(jì)領(lǐng)域的企業(yè)，應(yīng)該把個人信息保護(hù)的理念融入到企業(yè)文化當(dāng)中，提升全員的責(zé)任意識，使之成為一個自覺的行動。

　　個人信息保護(hù)不僅僅是技術(shù)問題，也有業(yè)務(wù)、法律、合規(guī)等問題。我們認(rèn)為，企業(yè)安全方案一定要有多部門、全鏈條的參與，既滿足業(yè)務(wù)發(fā)展需要，又符合合規(guī)的要求。

　　林殿魁：對個人信息處理者來說，“知法”是非常重要的一點(diǎn)，當(dāng)下很多案例是個人信息處理者不知法，觸碰到法律邊界，給自己帶來風(fēng)險。其次是技術(shù)和管理要相結(jié)合，不能只注重技術(shù)防護(hù)而忽視內(nèi)部管理?！爸ā币约凹夹g(shù)和管理相結(jié)合是我認(rèn)為個人信息處理者應(yīng)該重視的方面。