竞远安全林殿魁：企业个人信息保护需知法律、懂技术、重管理

2021年11月1日，《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）正式施行，为我国个人信息保护提供了更具系统性、针对性和可操作性的法律遵循。三年来，各类数据处理者采取了哪些措施强化个人信息保护，面对人工智能等技术带来的新挑战，有哪些应对举措？

南都大数据研究院推出“《个人信息保护法》落地三周年”系列报道，从案例调查、应用实测、企业对话等方面，探讨近年个人信息保护领域的新变化与新实践，展望未来技术发展方向与挑战。

对话篇第4期，南都采访广州竞远安全技术股份有限公司董事长林殿魁，听网络安全企业对个人信息保护形势的分析研判。

在数字经济快速发展的背景下，个人信息等数据的应用场景和处理主体日益多样化，数据安全的外延不断扩展，个人信息保护面临着前所未有的挑战。近年备受关注的人工智能技术既是加强数据安全防护的重要工具，也成为安全风险的一大来源。

面对层出不穷的数据安全威胁，企业应该如何做好个人信息安全防护工作？作为数字化企业在网络世界的安全防线构筑者，网络安全企业有何看法？广州竞远安全技术股份有限公司董事长林殿魁日前接受了南都大数据研究院专访。

重视员工内部管理 落实“最小范围”原则

南都：当前网络环境下，个人信息安全面临哪些风险？

林殿魁：结合我们在网络安全领域多年积累的经验来看，首先，内部管理疏漏可能导致个人信息在未经授权的情况下被访问或泄露，例如员工安全意识不足、权限管理不当等。其次，外部威胁日益复杂、技术水平越来越高，高级持续性威胁（APT）、零日漏洞和勒索软件等新型攻击手段层出不穷，其中不少都是围绕窃取关键数据、敏感个人信息等发起攻击。

南都：您对企业开展数据安全、个人信息保护工作有哪些建议？

林殿魁：企业在个人信息保护方面应该做好四方面的工作。

第一要开展全面的风险评估。通过定期的安全评估、渗透测试、模拟攻击，提前发现系统漏洞和潜在风险，及时做相应整改和漏洞堵塞。

第二是强化内部控制。实际案例中，很多情况是员工的数据访问权限设置不当，导致一些员工获得了非工作必需的数据。《个人信息保护法》中很重要的一项原则是“最小范围”，即只提供实现处理目的的最小范围数据。另外，企业应当建立日志审计、异常行为监测等机制，及时发现并处置内部异常情况。

第三是员工个人信息保护意识和技能的提升。很多个人信息泄露源于员工在这方面意识的淡薄，如果通过培训提升他们的个人信息保护意识和专业技能，可以构建防范内部风险的第一道防线。

最后是供应链的安全管理。现在绝大部分企业都会有很多第三方合作伙伴和供应商，一些个人信息可能会通过供应商泄露。我们认为应该对供应商的安全管理建立严格的审查机制、准入机制和要求规范，确保个人信息安全防线的安全可靠。

以AI制衡AI是行业大方向

南都：人工智能等新兴技术一方面满足了人们对于美好生活的需求，另一方面也给数据安全带来前所未有的挑战。近年业内不少同行尝试以AI制衡AI，您如何看待这条技术路线？

林殿魁：这个是目前行业的大方向。因为目前很多网络数据安全的攻击威胁，也运用了AI技术。作为网络安全的服务机构，我们也必须将防御手段与AI相结合，实现服务的智能化、自动化，才能够去应对AI的新威胁。竞远安全也在基于AI大模型研发网络安全的相关应用。

南都：今年以来，我们看到国内相关部门适当放宽了数据跨境流动条件，即将施行的《网络数据安全管理条例》也较征求意见稿做了较大调整，减轻了平台合规负担。您如何看待这一变化？

林殿魁：发展和安全是一体两翼，二者相辅相成。在现阶段，为了促进我国数据产业发展，建议相关部门应当有一定的宽容性、容忍度。但是在发展的过程中，我们也要及时发现和处置个人信息保护过程出现的问题，包括国家安全的问题，及时采取相关措施，这样才能促进产业的健康发展。

知法律懂技术重管理 三者缺一不可

南都：随着技术的不断革新，个人信息保护领域可能出现哪些变化？

林殿魁：根据我们对网络安全行业的研究，个人信息保护领域可能呈现四大趋势。

一是隐私保护技术的深化应用。随着数据资产的交易流通越来越广泛，诸如隐私计算、联邦学习、差分隐私这些技术也将得到广泛利用，帮助企业在数据共享和协作的过程中保护个人信息。

二是零信任安全模型普及。因为传统的安全边界正在被打破，零信任的安全架构将会成为主流。所谓零信任，就是针对每个访问请求，它都需要进行严格验证，从而降低潜在的风险。

三是数据合规的全球化。随着国际业务的拓展，企业需要同时满足不同国家和地区的个人信息保护法规，既包括我国的《个人信息保护法》，也包括GDPR、CCPA等欧美国家和地区的法律法规。例如一些希望在国外上市的中国企业，国外的监管机构对企业有数据披露的要求，但我国对数据跨境也有相关规定，企业需要同时满足多方面的合规要求。

第四是人工智能伦理与合规。因为AI技术的应用，引发对算法公平性、透明性和可解释性的更高要求，企业需要在技术与伦理层面做好平衡。

南都：对未来的这些变化趋势，企业应该如何做相应准备？

林殿魁：首先是技术的储备和投入。企业应该加大对新型隐私保护技术和安全架构的研究和投入，保持技术的领先优势。其次要建立完善的合规体系，培养熟悉国内外法规的专业团队，确保业务拓展的合规性。第三是人才培养和团队建设，企业要注重培养既懂技术又懂法律的复合型人才，提升整体的专业水平。第四是企业文化建设，数字经济领域的企业，应该把个人信息保护的理念融入到企业文化当中，提升全员的责任意识，使之成为一个自觉的行动。

个人信息保护不仅仅是技术问题，也有业务、法律、合规等问题。我们认为，企业安全方案一定要有多部门、全链条的参与，既满足业务发展需要，又符合合规的要求。

南都：请分享一句您认为最重要的、关于个人信息保护的建议或观点？

林殿魁：对个人信息处理者来说，“知法”是非常重要的一点，当下很多案例是个人信息处理者不知法，触碰到法律边界，给自己带来风险。其次是技术和管理要相结合，不能只注重技术防护而忽视内部管理。“知法”以及技术和管理相结合是我认为个人信息处理者应该重视的方面。

出品：南都大数据研究院 数据安全治理与发展课题组

采写：研究员 李伟锋 实习生 纪依

设计：林泳希 欧阳静 张博