隐私安全｜隐私安全已从国家法律法规转向商业企业应用，如何理解以及落地建设，相信大家正在经历隐私安全的困扰

 网络空间的隐私安全主要是指网络隐私权不受侵犯，网络隐私权是指自然人在网上享有的，与公共利益无关的个人活动领域与个人信息秘密依法受到保护，不被他人非法侵扰，知悉收集，利用和公开的一种人格权，也包括第三人，不得随意转载，下载，传播所知晓他人的隐私，恶意诽谤他人等。

    个人网络隐私信息主要涉及电子邮件，个人日志，用户注册信息IM聊天信息记录，网站浏览痕迹等和个人相关等方面，容易被黑客盗取。网站服务提供者利用用户注册渠道非法收集，存储个人信息以及软件系统内部含追踪性插件，对个人信息进行记录保存。由于网络信息传播的快捷性难以控制特征，个人网络隐私信息一旦被泄露出去，可能会被非法复制，收集，利用等，甚至影响受害者正常的生活或精神状态。

    隐私安全的目标是为用户创建安全的环境，在有限和受控的与他人共享信息的条件下，更好的保护和控制起隐私的机密性。

    简而言之，隐私安全就是个人或组织（企事业单位等）在数字化世界中维护其敏感信息和个人数据的机密性和完整性，以防止未经授权的访问、泄露、滥用或修改。

    随着数字化时代的到来，个人数据的收集和处理已经成为日常生活和商业活动的一部分。然而，数据泄漏和滥用的风险也在增加。我们将讨论个人隐私权和数据安全如何关系到个人、组织和社会的权益。

    对于数据隐私，我们可以从数据的机密性，访问控制可控程度（技术的安全管理方面）；数据完整性，数据是否做到防篡改以及数据的完整和 可信度问题；以及数据保留和删除，数据是否在确认情况下呗清理以及安全管理是否负责国内外相关法律法规等。

    对于网络空间隐私安全的威胁主要来自两个方面，一个是信息系统本身的安全隐患，一个是人为造成的安全威胁。

    1)、从系统本身带来的威胁，目前的信息系统大都采用国外的技术或产品，缺乏自主产权，存在未知的安全隐患。从基本的系统安全漏洞，这点基本不可避免。在恶意组织知晓或未被公开的漏洞利用，可对企业或者是个人信信息数据造成非常大的影响。另外一个从系统层面考虑的数据跨境的安全问题我们会单独一个章节进行介绍。

    2)、从人为造成的威胁，这里主要是因为系统是人工开发的，在开发的同时，为了保证业务安全，效率就会降低，导致内部或者是外部人员可能会绕过相关的安全机制进行操作，对隐私信息等会造成直接泄露。

    当然，从外部组织或个人来看，可以利用各种入侵基础或者是系统的漏洞来进行入侵，窃取隐私数据，从内部人员来看的话，通过一些高危权限的操作或者是权限的滥用，误用都有可能会导致隐私数据的泄露。S经济损失或者是个人社会的影响。

    我们对于代码漏洞这个都比较熟悉，每年都会报出不同的0day漏洞，当然，这里我们设计的或者是影响的范围面相当广泛，有业务系统，有我们平时日常使用的便民平台，互联网平台等等，行星的事件和例子，我们在这里不做过多阐述。

    针对隐私安全的实施，我们主要从几个维度进行考虑和建设，这里还是重复一句话，本文主要是普及以及建议一些通用的做法，新技术的应用或事想着“黄金”套餐，一蹴而就的建设不做推荐 ，也没有。

A. 技术方案

    1.数据加密：这一部分将探讨数据加密技术的重要性，包括源数据加密、端到端加密、数据传输加密以及如何加密存储的数据以确保其机密性。

    2.安全软件更新：我们将讨论保持软件和系统的安全性的重要性，以及如何定期更新软件以修复已知漏洞。建立扫描机制（产品或事服务）以及漏洞管理机制。如有必要建设内部的可信软件发布管理平台。

    3.访问控：对于隐私数据、敏感数据、重要数据等出入口设置访问控制，如针对具体的系统数据库授权机制、防火墙机制；数据中心的边界、公司网络边界、专网边界等设置严格的访问控制策略，配合网络检测机制、UEBA类行为发现技术或EDR技术等（这里不限于具体的产品，主要看保护的对象）；

    4.备份保全技术：这里应用相对比较广泛，从泛安全的角度是必备的应用技术，在此基础上可考虑更多的数据应用、连续性等问题，目前这个技术应该比较成熟了。

    5.匿名化技术：这里我们用日常的案例，如车票星号的处理，手机号码星号的处理等，web中很多匿名访问以及回复等都是这种技术的应用。数据匿名操作方式有很多，典型的包括：图片、星号、泛化（模糊）、置换、扰动等，在技术实施方面可根据场景选择，此项技术已经有很多实际落地应用。

    6.数据限制发布技术：目前人们日常所依赖的程序和应用，在我们 安装的时候就提示有很多的隐私需要进行关联，每年的3.15也都会看到很多被通报的应用 ，比如小孩使用产品、万能wifi密码等，所以通过限制发布或隐私发布关联的核查也是一种技术方案。

B. 法规合规

    1.隐私政策和知情同意：这一部分将强调建立明确的隐私政策和获得数据主体的知情同意，以明确说明数据的收集、使用和共享方式。这里提到多个软件之间的冲突问题，如IM的工具本身就是隐私的一种 表现，在企业没有内部通许工具的情况，对IM内容进行监控本身就是涉及到个人隐私，随着当前个人数据隐私等的重要程度，我们也需要在多维度考量方面进行积极调整和应对。

    2.数据主体权利：我们将探讨尊重数据主体的权利，包括他们的访问、更正、删除和反对其个人数据的处理。

C. 教育和培训

    1.员工隐私意识：在这一部分，我们将强调员工在维护隐私安全方面的角色，并讨论如何提高员工的隐私意识。

    2.数据安全最佳实践：我们将介绍数据安全的最佳实践，以帮助组织和个人采取适当的措施来保护数据。

    以上这部分主要包括技术措施、法规合规要求以及教育和培训，以确保数据得到妥善保护和管理。实施隐私安全是关键，因为它涉及将理论原则转化为实际操作，以确保数据的机密性和完整性。

    总的来说，隐私安全将继续是一个不断演变的领域，需要在技术、法规和文化方面取得平衡，以确保个人数据的隐私得到妥善保护，同时允许合法的数据处理和创新。随着时间的推移，人们将更加注重隐私权，并寻求更有效的保护措施，以应对不断变化的威胁和挑战。

以上整理源于《网络空间安全问题分析与体系研究》以及互联网

【注：以上作者学习摘录总结，仅作为参考】

-------------------------------------------------------------

来源：安全壹壹肆 【搜索微信公众号关注】

声明：文章中部分展示图例来源于网络，版权并不属于作者

加入【安全114社区】请添加安全114小匠微信回复“安全114”

扫码免费加入星球，更近接触安全，了解安全厂商、安全市场实时动态......