数据泄露事件频发，数据库敏感字段如何治理？

本文根据商永星老师在〖deeplus直播：大规模数据库运维的化繁为简之术〗线上分享演讲内容整理而成。（文末有回放的方式，不要错过）
作者介绍
商永星，vivo互联网高级数据库研发工程师。
1.背景
1.1 数据安全风险
近年来，有关数据泄露相关的新闻事件屡见不鲜，不断地引发大众的讨论和担忧。各家企业都或多或少在承受相关的数据安全风险，这种可能性会给企业运行带来额外的风险，包括大众的质疑以及政府的处罚等。
Facebook超5亿用户个人数据遭到泄露；
Elector Software投票应用泄露超650万以色列选民个人数据；
T-Mobile数据失窃，超过1亿用户的个人信息被泄露售卖；
亚马逊因违反GDPR被重罚7.46亿欧元……
从现有的事件统计来看， 数据库未得到正确配置和黑客攻击相对来说是比较主要的诱因；在这种严峻的个人信息保护形势背景下，各国都在强化健全相关的法律合规机制。
1.2 数据安全法律与合规的完善
1.2.1 现行法律与合规
国内：个人信息保护法、数据安全法、网络安全法
海外：GDPR（EU，一般数据保护条例）, PDPB（India，个人数据保护法），DBNL（US，数据泄漏通知法）
1.2.2 工业和信息化部关于互联网行业市场秩序专项整治行动
2021年7月工信部组织的专项整治行动中，威胁数据安全的问题，主要体现在：
用户数据收集
用户数据传输
用户数据存储
未按法律法规要求建立数据安全管理制度和采取必要的安全技术措施，将会遭到包括曝光、约谈、下架、停止网络接入、行政处罚等在内的处罚。
1.3 敏感数据治理现状和难点
对于工信部的整改要求，我们梳理了目前的现状以及可能遭遇的风险：
整改时间紧张
时间方面紧张，留给内部处置的时间只有两个半月，而整改本身涉及范围和难度都很大；
涉及项目模块广
包括互联网团队的所有部门，相关应用模块超过300个；
规定本身可能变化、更新
整改的规定或者说要求可能会随实际情况发生变化、更新，需要及时对变化的要求进行转化、同步。
问题实际上就是聚焦在这几个部分，什么是敏感数据，怎么发现它并进行脱敏，以及整体需要怎么去适配。基于这些难点，我们的最终目标就是借此次整治机会，建立一个长期有效的数据安全管理制度和体系。