数据泄露事件频发，数据库敏感字段如何治理？(2)

2.敏感数据字段发现
2.1 定义
首先需要定义或者说确定哪些数据可以认为是敏感数据：
用户的个人信息，在近几年发生的数据泄漏事件中，大众也更关注此类信息的受侵害程度；
对厂商而言，设备以及设备的相关数据，如操作记录，imei等唯一标识也存在敏感风险。
而且，从上述数据衍生而出的，例如：
内容平台发表或存储的数据；
用户行为和特征衍生而出的用户画像；
财务账务数据。

这些都属于会显著引起大众关注的场景。
2.2 数据分级规范
针对这种复杂的敏感数据态势，vivo针对《个人信息保护法》，《数据安全法》中赋予企业的合规责任和义务制定了具体的分级规范；简而言之，就是会按照影响的强度和范围对数据字段进行划分，这个定级是具体到字段级别：
对企业运行的影响；
对用户个人隐私、权益的影响。
其中可能引发负面影响和侵害用户权益、隐私的风险等级以上的数据都需要进行不同程度的脱敏。

我们希望通过对不同的安全级别采用不同的操作策略，来确保数据安全风险可控。
2.3 现状与改进措施
在具备标准的规范级别后，我们需要对现存的和新增的数据进行定级分类，但当前存在以下问题：
对新的字段没有明确级别，往往需要使用后才进行定级分类；
数据字段识别引擎待优化，主要支持用户类型的识别，对非用户数据支持较差；