寫在2024年國際資料保護日之際：如何保護資料安全和隱私？

每年1月28日，是國際資料保護日，或稱為資料隱私保護日。設定目的是鼓勵人們關注資料隱私，以實際行動來保護線上個人資訊保安。增強保護意識，瞭解基本權利，鼓勵企業尊重隱私、保護資料並建立信任，推動資料保護全球公民的責任意識。

這個節日起源於1981年，當時歐洲理事會考慮到個人資料自動化處理的國際化趨勢，為了保護公民的隱私權，透過了《關於自動化資料處理中保護個人的公約》。隨後，2007年歐洲理事會發起了歐洲資料保護日，2009年1月26日，美國也宣佈1月28日為國家資料隱私日。隨著越來越多的國家加入進來，國際資料保護日早已成為一項全球性活動。

然而，2024年的資料保護開局不利，在國際資料保護日的前一週，1月22日，SecurityDiscovery和CyberNews的研究人員發現了一個超大型資料庫，其中洩露的資料高達12 TB，包含了260億條資料記錄，被視為迄今為止最大的洩露資料庫，堪稱“資料洩露之母”。

該洩露的資料庫中包含了來自Twitter、Dropbox、領英、Adobe、Canva、Telegram和微博等平臺的使用者記錄。而且，資料庫中還發現了來自美國家政府機構的記錄。難怪很多人說在數字經濟時代，我們基本都在“裸奔”。

本文結合網上資料及對專家的採訪，梳理了2024資料安全和資料隱私的發展趨勢和挑戰，以及專家對企業和個人保護資料安全和隱私的建議。

與個人相關的有價值的資料有哪些?

通常，與個人相關的以下資料是非常重要且有價值的：

• 個人身份資訊 (PII)。PII是指關於個人的任何資訊，包括可用於區分或追蹤個人身份的任何資訊，如姓名、社會保險號、出生日期和地點、生物識別記錄，以及與個人有關聯或可關聯的任何其他資訊，如醫療、教育、財務和就業資訊。

• 個人健康資訊 (PHI)。PHI包括所有可識別個人身份的健康資訊，包括人口統計資料、醫療診斷和病史、檢驗結果、保險資訊以及其他用於識別患者身份，或提供醫療保健服務或保險的資訊。

• 學生教育記錄。是指學校以任何記錄方式儲存的一系列學生資訊，如學生身份程式碼、社會安全號和照片;成績、考試分數和所學課程;紀律記錄;特殊教育記錄;由學校建立、收集或儲存的醫療和健康記錄;以及出勤資訊、就讀學校和所獲學位的檔案。

• 金融或支付卡資訊。是指持卡人資料，主要是簽帳金融卡和信用卡資訊，由各組織儲存、處理和傳輸。

一年一度的資料隱私日提醒我們注意過去的得失成敗，展望即將到來的挑戰。認識資料安全和隱私的重要性，並尋找一些好的建議。

各國爭相立法保護資料安全和隱私

安全性與隱私權之間的平衡是每一個國家每個企業都要面臨的困難抉擇。1890年12月出刊的《哈佛法學評論》釋出了《隱私權》，人類社會發展中首次出現了隱私權概念。數字經濟時代，資料隱私問題日益突出，亟待法律法規的保護。

各國爭相立法保護資料安全和隱私，使用者資料隱私保護正在被越來越多國家所重視。

2016年4月14日，歐洲議會正式透過了《一般資料保護條例》(GDPR)，它取代了1995年透過的《歐洲資料保護指導》，新的《一般資料保護條例》被稱為史上最嚴個人資料保護條例，於2018年5月25日正式生效。

2018年6月28日，美國《加利福尼亞州消費者隱私保護法案》(CCPA)經州長簽署公佈，並於2020年1月1日起正式實施。

2022年6月1日，泰國《個人資料保護法》(簡稱PDPA)經過兩次推遲後正式生效，成為泰國第一部綜合性資料保護立法。

中國對資料保護也越來越重視，相關法律法規不斷完善。《網路安全法》《資料安全法》《個人資訊保護法》的陸續頒佈和實施，資料隱私也成為法律關注和保護的一個重要領域。例如，在2021年1月1日正式實行的《民法典》對個人資訊保護、資料隱私也有明確規定。

企業如何應對資料安全和隱私保護?

Mine營運長兼聯合創始人Kobi Nissan指出，全球幾乎每週都有新法規透過，關於隱私的要求達到了前所未有的高度，因此2024年的主要趨勢之一將是企業如何應對和處理這些新的隱私責任。新的商業現實意味著要定期進行影響評估，處理比以往更多的資料主體請求，以及理清複雜的隱私法規要求。

BSN發展聯盟常務理事、紅棗科技CEO何亦凡認為，作為數字經濟時代重要的生產要素，資料為數字經濟持續健康發展提供了強勁動力。確保資料處於有效保護和合法利用的狀態、促進資料高效流通使用、建立健全資料安全風險評估制度，是未來的大勢所趨。

隨著網際網路與日常生活的融合不斷加深，個人資訊的暴露風險也逐漸增大。如何提高個人資料安全及隱私保護，降低資訊暴露風險，是數字經濟時代所面臨的安全挑戰，也是網際網路下一步發展的根本要求和必然趨勢。

“國家出臺了相關的法律法規，從監管層面為保護個人隱私資料提供了堅實後盾，但是僅依靠法規還不足以完全規避資料洩露風險，還需要利用技術手段構建多重防線，透過技術層面的解決方案防止個人隱私資料被非法收集和利用。”何亦凡說。

Symmetry Systems公司安全和GRC工程高階總監Gopi Ramamoorthy指出，對於企業來說，在決定收集哪些個人資料以及為什麼收集時，可以參考GDPR第4、5和6條，以獲得指導。這三個條款規定了收集資料的方式和目的以及處理原則。其他隱私法規也有類似條款，根據PII資料收集提供指導。“一旦決定了資料收集和目的，就需要仔細規劃足夠的資料安全。”

“確保PII安全始於隱私設計(PbD)。隱私設計的核心原則是最小化原則。企業應根據法規、政策和程式，對PII資料進行明確定義和嚴格的訪問控制。此外，組織還應實施適當的日誌記錄和監控控制。對於資料發現、分類、訪問控制等許多工，可以使用最新的技術來實現有效的安全、自動化和擴充套件。”Ramamoorthy說。

Immersive Labs 網路威脅研究總監Kevin Breen指出，根據《2023年泰雷茲全球資料威脅報告》，人為錯誤是資料洩露的首要原因。“隨著越來越多的敏感資料被推向雲端並儲存在全球資料中心，資料主權和安全性仍然是首席資訊保安官和安全團隊今年面臨的關鍵問題。”Breen解釋說，“人為錯誤是造成雲資料洩露的首要原因，因此，確保安全和DevSecOps團隊繼續跟上不斷變化的威脅形勢，持續衡量組織的網路能力並填補技能差距以更好地應對此類威脅比以往任何時候都更加重要。”

Veritas公司大中華區技術銷售與服務總監吳振崗表示，“國際資料保護日(資料隱私保護日)提醒我們，資料隱私絕不是企業在一天之內就能實現的事情。相反，這是一個需要全天候保持警醒的持續過程。今年，最受關注的焦點是人工智慧(AI)對資料隱私的影響。AI驅動的資料管理有助於改善資料隱私和相關監管的合規性，但不良分子正在利用生成式AI來製造更復雜的攻擊。生成式AI可以提高工作效率，但它需要設定防止敏感資訊意外洩露的防護措施。考慮到這些和其他發展，2024年的資料隱私比以往任何時候都更加重要。”

“AI正在使網路威脅形勢變得更加危險。網路犯罪分子已經在利用AI提高勒索軟體的能力併發起更復雜的攻擊，這極大威脅著資料隱私。如果沒有AI驅動的網路韌性來應對不斷演變的AI驅動的攻擊形勢，要抵禦這些網路威脅只會變得更加困難。”吳振崗說。

Tips：關於個人的資料保護/資料隱私建議

涉及資料隱私時要三思而後行，在讓渡部分隱私與尋求便利之間仔細權衡。以下是一些建議：

• 減少數字足跡。儘量減少在網上的足跡和PII暴露，在向網站、應用程式或社交媒體上傳敏感PII或其他資訊時要謹慎。建議個人在做出與隱私相關的決定時借鑑“零信任”原則。除非絕對必要，否則避免在社交媒體上分享個人身份資料(PII)或家庭住址、旅行、家庭計劃等敏感資訊及相關資訊。如果有必要，請確保網站的合法性和實施的安全性(如通訊協議)。

• 經常搜尋並刪除個人資料。搜尋個人資料，刪除社交媒體上的相關資訊。

• 有選擇性地下載應用程式。檢視應用程式的評級，注意名稱相似的應用程式。

• 檢查並配置隱私安全設定。對於每個應用程式、賬戶或裝置，都要檢查隱私和安全設定，根據自己的舒適度調整隱私設定，這些設定選項很容易在“設定”部分找到，只需片刻就能更改設定。一般來說，建議明智的做法是少分享資料。

• 更改預設密碼。裝置/賬戶的預設密碼可用於未經授權訪問系統和網路。

• 為每個賬戶和裝置建立較長(至少12個字元)、複雜、唯一的密碼。使用密碼管理器儲存每個密碼。現在安全維護幾十個密碼比以往任何時候都要容易。

整體來看，保護資料安全和隱私無法一蹴而就，任重道遠。需要國家、社會、企業組織、個人共同努力，2024年，加油!!!

參考資料：

1、From Data Privacy Day to Data Privacy Week–Take Charge of Your Data in January 2024

2、Data Privacy Day Garden State Cyber Threat Highlight