本博客地址：https://security.blog.csdn.net/article/details/122908132

一、引子

数据安全生命周期管理，是从数据的安全收集或生成开始，覆盖数据的安全使用、安全传输、安全存储、安全披露、安全流转与跟踪，直到安全销毁为止的全过程安全保障机制。

对于数据的隐私生命周期，一般分为以下几个阶段：

● 告知数据主体（隐私声明或通知）
● 数据主体选择和同意
● 数据收集或生成
● 数据传输
● 数据存储与留存期管理
● 数据使用
● 数据流转与出境
● 数据披露
● 数据销毁

二、告知数据主体

对于告知数据主体来说，从数据收集开始，就应明确所收集数据的用途、使用的业务和产品范围、保护措施等，避免收集不必要的用户数据。为了保障数据主体的知情权，以及符合法律法规的透明性要求，需要将我们的隐私政策告知数据主体。

以最常见的网站在线服务为例，通常需要在网站的每个页面的固定位置放置一个名为隐私政策的超链接。

三、数据主体选择和同意

处理个人数据，至少需要具备六个法律依据中的一个，这六个依据是用户同意、合同义务、法定义务、数据主体或他人的核心利益、公共利益、数据控制者及第三方的合法利益。

这六个法律依据中：

● 合同义务、法定义务、数据主体或他人的核心利益、公共利益这四个依据使用的场景非常有限，不具有普适性。
● 合法利益争议最大、投诉最多，需要尽量避开。

因此，实践中最常用、最重要的一个法律依据是用户同意。

在可能对数据主体造成较大影响时，尤其需要征得数据主体的有效同意或明示同意。所谓有效同意，就是默认不能替用户勾选同意，需要用户主动勾选同意选项。

另外，不同类型的业务应使用不同的隐私政策，而不应使用一揽子式的隐私政策。隐私政策里面提到的一些可能影响数据主体利益的活动，比如个性化广告推送，应设置开关选项，且默认不能打开。

为了有效管理数据主体的同意，后台需要记录每个数据主体对每个隐私政策版本的同意记录，当隐私政策版本更新时，需要数据主体重新同意。

四、数据的安全收集或生成

数据采集是指从系统外部采集数据并输入到系统内部的过程，数据采集整合了信号、传感器、激励器等数据采集设备和一系列应用软件，目前，数据采集广泛应用于互联网及分布式领域，如摄像头、麦克风都是数据采集工具。

数据采集前需要先征求用户同意，用户同意后，应按照隐私政策告知的范围，最小化收集。对接收的数据，应确定其数据分级和分类。数据分级和分类决定了应该采取什么样的措施来保护它。

为防止个人信息泄露，数据在收集后应采取适当的预处理，或降低隐私敏感性的措施，再上传到服务器，而没有必要传输原始的敏感信息。

企业采集数据可以分为三种情况：

● 企业自行收集：采集前需取得用户同意和授权。
● 企业许可他人收集：用户授权+平台授权+用户授权的三重许可原则（A用户同意B企业，C企业获取B企业授权，此时C企业应再获取A用户授权）。
● 否定未经许可的收集行为的合法性。

在收集个人数据时，企业应做到：

● 不仅要做到法律合规，还应做到操作合规；
● 收集个人数据时，只从用户那里获得必需的数据；
● 明确的告知用户公司收集、使用和披露其个人数据的目的；
● 收到第三方共享的数据时，应确保第三方获得了当事人的同意；
● 在销售周期的早期阶段不要过度收集个人数据；
● 不得基于纯粹的推断或假设而收集个人数据。

五、数据的安全传输

传输信息应使用HTTPS或其他加密通道。在外网传输，首选HTTPS加密传输机制，推荐采用统一的接入网关，统一管理证书私钥，统一启用HTTPS。在内网传输，可考虑RPC加密传输、HTTPS等机制，加密传输敏感数据。

六、数据的安全存储与留存期管理

一般对以下数据采取加密存储措施：

● 口令、密钥，包括数据库、配置文件中的口令和密钥。
● 敏感的个人隐私数据。
● 敏感的UGC数据（用户生成内容）。

至于业务数据，则需要权衡，特别是涉及检索、排序、求和计算等场景。

在留存期方面，主要涉及两类数据。

● 第一类是数据主体的身份类数据，通常是收集一次后，如无更正需求，则存储较长的时间，直至产品下线或用户销户，删除相应的数据。
● 第二类是在注册后的活动过程中生成的，比如支付/消费记录、运动记录等，应按设定的留存期，到期自动删除或删除对应的加密密钥。

七、数据的安全使用

在数据使用、留存、存储的过程中，需要采取必要的安全控制措施，来保障个人数据的安全，这部分通常包括：

● 访问数据需要基于身份执行授权、访问控制、审计机制。
● 授权，比如除了用户自己，授权其好友查看其朋友圈信息。
● 访问控制，比如防止数据库直接对外开放或存在弱口令。
● 留存期管理，对于支付/消费记录、运动记录等，应按设定的留存期，到期自动删除或删除对应的加密密钥。
● 数据的展示，有的数据是不能展示的，比如口令、用于身份认证的生物特征等，有些数据是需要脱敏展示的，比如姓名、手机号码、地址、银行卡号等。
● 数据对外披露，数据在披露前，应当采取严格的脱敏、去标识话等措施、披露给数据处理者之前应当先进行尽职调查及签署DPA。

八、数据流转

要最大程度的发挥数据的价值，根本在于促进其流动，无论何种主体以何种方式开展数据治理，其核心都是要推动数据自由、安全的流动，以最大程度的挖掘和释放数据的价值。阻碍数据顺畅流动的主要掣肘因素有两个：

● 数据产权问题，国内层面称为数据产权问题，国际层面称为数据主权问题；
● 数据安全问题，目前社会主要聚焦于个人数据，即个人信息保护。

数据流转的方式主要包括数据开放、数据交换和数据交易等，这里科普下数据交易。

● 《贵阳大数据交易所702公约》大数据交易中，交易不涉及原始数据中携带的个人隐私等信息，其交易对象是经过数据清洗、分析后的衍生数据，因此不存在用户人格利益受损的问题。
● 《贵阳大数据观山湖公约》数据确权主要是确定数据的权利人，即谁拥有数据的所有权、占有权、使用权、收益权。

数据安全流转的总体目标是：在数据开放共享过程中保障数据的完整性、保密性和可用性，防止数据丢失、被篡改、假冒、泄露和窃取。

实现这个目标具体实现可以分为管理制度、数据安全标准体系、数据安全技术三大块。

管理制度：

● 数据提供注册制度：数据提供方所提供的数据应明确清晰，便于数据泄露后溯源；
● 数据授权许可制度：数据提供方应做好对第三方的背调和评估，并保证数据传输的加密和脱敏；
● 数据登记使用制度：数据提供方应做好对传输出去数据的登记，便于管理；
● 数据安全保密管理制度：明确数据交换需遵循的原则及交换过程中的数据安全管理要求；

数据安全标准体系：

● 基础类标准：为数据开放共享安全标准体系提供包括角色、模型、框架等基础概念；
● 平台技术类标准：针对数据开放共享所依托的平台制定平台和技术类标准；
● 数据安全类标准：主要包括数据的安全管理与技术标准，覆盖数据生命周期的数据安全；
● 服务类安全标准：针对数据开放、交换、交易等应用场景，提出共享服务安全类标准。

数据安全技术：

● 安全监测、数据脱敏、访问控制、追根溯源等，实现数据安全的可监测、可管控、可追溯

对于数据的安全流转，建议不提供原始数据，而是封装为数据服务，插入可唯一定位到具体业务的追踪字段，提供脱敏的数据查询接口，为其他业务建立相应的账号并为其授权、限定查询频率、记录查询日志等。如果不得不提供原始数据时，可考虑插入一些可唯一定位到对方业务的假数据，用于数据批量泄露时定位泄露责任方。

以数据接口向其他业务提供数据的方式，需要其他业务需求方承诺或签署保密协议，禁止缓存、禁止删除追踪字段，并在对方业务上线时检查执行情况。

这里除了企业级的数据流转外，还有一点是关于个人存取或纠正企业拥有的个人数据请求的场景，在这个场景下，企业应当注意：

● 认真对待法律法规规定的回应期限；
● 验证请求人的身份，避免向错误的人披露个人数据；
● 具备相应的政策和流程来快速回应请求；
● 如果请求属于豁免情形且公司决定实施豁免，应该在要求的时间期限内给出书面拒绝的通知以及这么做的理由；
● 如果存在技术困难而不能在规定的期限内回应请求，应该制定计划尽快改进这一情况。

九、数据出境

如果是国内收集或生成的数据，默认应在境内存储。如果要向境外转移，需要经过严格的评估，并咨询企业法务部门的意见。

如果是手机APP等直接涉及个人数据出境的场景，至少应征得用户的明示同意。明示同意包括在隐私声明中主动明确地告知、用户主动勾选同意。

企业可以对自身的数据出境进行自评估，对于满足相应条件的数据出境，企业需报告行业监管部门或国家网信部门进行监管机构评估。

数据出境安全风险自评估应先评估数据，判断其出境目的，如果数据出境的目的不具有合法性、正当性和必要性，那么数据不得出境。

其中，合法性是指数据不属于法律法规明令禁止的，或国家网信部门、公安部门、安全部门等有关部门认定不能出境的类型；正当性是指数据出境必须经个人信息主体同意，并且不违反相关主管部门的规定；必要性则是指由于履行合同义务，或由于政府与其他国家和地区、国际组织签署的条约及协议，数据必须出境。

完成对出境目的的评估后，应再对数据出境安全风险进行评估。评估数据出境的安全风险，应综合考虑出境数据的属性、数据出境发生安全事件的可能性及影响程度。

从数据属性来看，个人信息数据应从数据类型、数量、范围、敏感程度和技术处理等角度进行评估；重要数据应从数据类型、数量、范围和技术处理等角度进行评估。从数据出境安全事件的可能来看，应从发送方数据出境的技术和管理能力、数据接收方的安全保护能力、采取的措施，以及数据接收方所在国家和地区的政治法律环境等角度进行评估。出境安全风险等级判定为高或极高的数据，禁止其出境。

对于不满足合法、正当、必要这三大要求或经评估后不满足风险可控要求的数据出境计划，企业可对其进行修正，或采用相关措施降低数据出境风险，并重新开展风险评估。

关于跨国传输数据：

1、最严级别例如印度，采取完全禁止本国数据出境，也就是说，本国的数据必须保存在本国境内的存储设备上，他国跨境公司想要进入本国市场，就必须在本国境内建立数据中心以存储本国公民数据。

2、第二级别例如俄罗斯、澳大利亚等，采取禁止特定数据出境。呈现这种本地化形态的国家只要求特定类型的数据留在境内。

3、第三级别例如欧盟、韩国等，他们规定只要数据满足法律规定的条件，就可以自由出境。这种情况下达到数据出境的条件分为两种，一种是需要进行安全评估后方可跨国传输，另一种是需要征得数据主体同意后方可出境。

十、数据销毁

在实践中，真正做到安全意义上的销毁或不可用难度还是相当高的，一般情况下，当用户提出删除请求时，可通过删除对应记录的密钥的方式，让备份中的原始加密数据不再可用。

而针对退役下来的硬盘，一般需要通过低级格式化、消磁、物理折弯销毁等手段做销毁处理。