炼石网络：以加密和去标识化为核心的个人信息保护技术探索（34页）.pdf

1、0以加密和去标识化为核心的个人信息保护技术探索炼石网络创始人、CEO 白小勇2021年11月101 个人信息亟待严格保护02 个人信息保护技术体系探索2 瑞智华胜 涉嫌非法窃取用户信息30亿条部署SD程序，从运营商服务器抓取网络用户数据数字经济发展伴生了数据风险 Facebook 4.19亿用户的电话信息被泄露数据库缺失加密保护 圆通 10亿条用户信息数据被出售黑客通过凭据注入攻击收集 某运营商被外包人员 80万用户数据被删除误操作导致数据丢失 速贷之家 贩卖个人信息被罚320万元未取得受害人同意，向下游公司传输数据、非法盈利 某股份制银行 泄露脱口秀演员信息被罚450万元银行未经授权，私自将

2、其个人账户流水提供他人 邯郸丛台区政府 泄露129位特困人员隐私敏感个人信息保护意识缺失，公开数据未加密处理收集存储使用加工传输提供公开*上述案例来源于最高法院判决文书网站或权威网络2亿条中国公民数据在暗网被公开售卖2021年2020年2021年2020年2021年2019年2元可买70张明星素颜健康码照片被售卖数据集约20GB日产北美公司源代码泄露脸书被罚款50亿美元股价暴跌农业银行被处罚420万银保监会1号罚单5.38亿条数据，0.177 比特币新浪微博数据泄露3数据安全往往处于“次要地位”安全投入比例不足从预算上安全建设滞后于业务建设从进度上现在的信息化系统安全威胁严峻从结果上数据安全预

3、算4原因1：经济学外部效应 数据泄露给他人造成损害，对企业影响反而不大 解决办法是通过立法，让“防数据泄露”成为公共安全产品，类似环保经济学外部效应5原因2：个人决策的因素prospect theory,2002年的诺贝尔经济学奖,Kahneman人在面临获利时，不愿冒风险，希望稳定的拿到收益人在面临损失时，人人成了冒险家，愿意赌一把损失的痛苦比获得所带来的喜悦更敏感6“四法四例四规”明确要求保护重要数据和个人信息网络安全法第二十一条 国家实行网络安全等级保护制度。其安全保护义务第4条明确采取数据分类、重要数据备份和加密等措施。个人信息保护法第五十一条第三款：采取相应的加密、去标识化等安全技术

4、措施；第六十六条：情节严重的，由省级以上履行个人信息保护职责的部门责令改正，没收违法所得，并处五千万元以下或者上一年度营业额百分之五以下罚款数据安全法第二十七条开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。密码法二十七条 法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护。关键信息基础设施运营者，应当自行或者委托商用密码检测机构开展商用密码应

5、用安全性评估。关键信息基础设施安全保护条例信创商用密码管理条例（修订草案征求意见稿）提出非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统，其运营者应当使用商用密码进行保护。商用密码管理条例（修订草案征求意见稿）数据安全管理条例关键信息基础设施安全保护条例（国令第745号）规定履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度。关键信息基础设施中的密码使用和管理，应当遵守相关法律、行政法规。2021年5月27日，数据安全管理条例纳入国务院2021年度立法工作计划。密评等保2.0+HVV着力在构建自主可控信息技术体系中推进密码优先发展国家密

6、码管理部门根据网络的安全保护等级、涉密网络的密级和保护等级，确定密码的配备、使用、管理和应用安全性评估要求，制定网络安全等级保护密码标准规范。网络安全等级保护条例（征求意见稿）数评？关保？等保2.0建设，结合HVV攻防演练【待发布】对关键信息基础设施的增强保护政务、等保、关基等领域，落实“密码三同步”【待发布】针对重要数据与个人信息的安全合规评测？7个人信息保护法总结构1.目的2.宗旨3.适用范围4.关键定义6.目的、必要7.公开、透明8.准确、完整9.责任到人10.禁止行为11.环境构建12.国际合作第二章 个人信息处理规则个人信息保护法第一节 一般规定第一章 总则第六章 履行个人信息保护职