心理测评数据属于敏感个人信息,这个判断在《个人信息保护法》的框架下基本没有争议。它能关联到具体的自然人,一旦泄露或被非法使用,容易导致个人受到歧视、人格尊严受损,这恰好落在敏感个人信息的认定口径上。把它和普通的姓名、手机号放进同一个安全档位对待,本身就是一种风险敞口。
判断了性质,接下来的问题是存储加密的下限到底在哪。最低要做到的第一件事,是传输和落盘都不留明文。答卷从浏览器提交到服务端要走 TLS,落到数据库、缓存、日志、备份里时,涉及答题内容、因子分、风险结论的字段要加密存储,而不是明文躺在表里等着被一次拖库全部读走。不少泄露事故的放大点,不在主库,而在被忽略的备份文件和排查问题时随手打的日志。
这里还要分清两种加密的深浅。整盘或数据库透明加密挡的是磁盘被物理拿走的情况,但数据一旦被正常查询取出,或落进备份、导出文件,仍是明文;只有把敏感字段单独加密,密文才会一路带到备份和下游环节。对心理数据这种敏感级别,仅靠磁盘级加密并不够,涉及答题内容和风险结论的关键字段应做到字段级加密,让即便拿到备份也读不出具体作答。
第二件事,是把加密密钥和被加密的数据分开放。密钥若和密文存在同一台库、同一个配置文件里,加密就形同虚设。密钥应交给独立的密钥管理服务保管,并支持定期轮换;轮换时旧数据能平滑迁移到新密钥,而不是一换就得全库停机重算。
第三件事,是区分存着和看得到。加密解决的是数据静止时的安全,但真正天天在发生的,是有人在后台把报告点开、导出、打印。字段加密之外,还要有最小权限和脱敏展示:普通角色看到的是必要信息,完整的原始条目只对少数经过授权的人开放。加密和权限是两层,缺了任何一层,另一层都撑不住。
还要补一句,加密不是一次性工程。算法会老化、密钥会到期、员工的岗位和权限会变动,任何一处长期没人维护,之前做的加密都可能被一点点架空。把这些当成需要持续跟进的日常,而不是上线时打个勾就算完,才是这条下限真正的落点。
橙星云在存储侧对敏感字段做加密落库,密钥交由独立服务管理,并把导出和高敏查看单独纳入权限控制,正是沿着这三条下限往上做。对采购方来说,验证时不必只听一句我们加密了,可以具体追问:加密到字段还是只到磁盘、密钥放在哪、谁能解密导出。这三个问题的答案,比任何一句银行级安全都更能说明系统的真实水位。
