发明内容
本申请提供了数据合规管控处理方法、装置及电子设备,能够提升实现效率,实现同一套合规管控规则在不同管控需求中的复用。
本申请提供了如下方案:
一种数据合规管控处理方法,包括:
向第一用户提供用于创建合规管控规则的操作界面,所述操作界面中包括用于对所支持的多种数据管控能力进行选择的操作选项,以便通过选择所需要的至少一种数据管控能力的方式创建合规管控规则;
接收到所述第一用户为已创建的合规管控规则绑定数据管控范围信息的请求后,提供可选的数据管控范围信息,以用于在目标合规管控规则与目标数据管控范围之间建立绑定关系;
根据所述绑定关系确定合规管控需求信息,根据所述合规管控需求生成合规管控任务并分配给第二用户执行,以便通过执行所述合规管控任务,在所述目标数据管控范围内执行对应的目标合规管控规则。
其中,所述数据管控能力包括:针对数据生命周期内多个阶段上可能产生的管控需求提供的能力;所述多个阶段包括:数据生成、数据存储、数据传输、数据使用、数据访问控制、数据销毁、对储存在用户终端设备上的数据的管理。
其中,所述提供可选的数据管控范围信息,包括:
提供多种可选的数据维度,以便通过选择目标数据维度以及属性值,确定所述目标数据管控范围;所述多种可选的数据维度包括:站点,国家,应用,数据打标定义维度。
其中,所述数据打标定义维度下的属性值包括多个数据打标定义标识,所述数据打标定义标识关联有数据类别标签,数据映射规则以及对应的数据库实现方式,所述数据映射规则用于将所述数据打标定义标识映射到目标打标维度下的目标数据,所述目标打标维度包括数据库、数据表、数据列或数据行。
其中,还包括:
提供用于对已有的数据打标定义进行查询的操作选项;
通过所述操作选项接收到所述第一用户的查询请求后,提供对应的数据打标定义的详情信息。
其中,还包括:
提供用于创建新的数据打标定义的操作选项;
通过所述操作选项接收到所述第一用户的创建请求后,提供可选的数据类别标签,以及对应的打标维度信息。
其中,还包括:
生成所述合规管控任务后,创建异常监测任务,以用于对所述目标合规管控规则执行情况进行异常监测。
其中,所述异常监测任务具体用于,对所述目标数据管控范围内的存量数据和/或增量数据的目标合规管控规则执行情况进行异常监测。
其中,如果所述目标合规管控规则中包括与数据存储和/或数据传输相关的合规管控规则,则在执行所述合规管控任务时,包括对目标数据存储链路和/或数据传输链路的管控;
所述监测任务具体用于,对所述目标数据存储链路和/或数据传输链路中产生的全部数据的目标合规管控规则执行情况进行异常监测,所述全部数据包括目标数据管控范围内产生的数据,以及目标数据管控范围外产生的同类数据。
其中,还包括:
如果监测到异常情况,则向所述合规管控任务对应的第二用户提供报警信息,以便进行异常处理。
其中,还包括:
向所述第一用户提供异常监测结果,所述异常监测结果包括所述异常监测任务的标识,对应的目标数据管控范围,以及监测状态,其中,如果所述监测状态为异常,则所述监测结果还包括异常发生时间信息。
一种数据合规管控处理装置,包括:
操作界面提供单元,用于向第一用户提供用于创建合规管控规则的操作界面,所述操作界面中包括用于对所支持的多种数据管控能力进行选择的操作选项,以便通过选择所需要的至少一种数据管控能力的方式创建合规管控规则;
管控范围信息提供单元,用于接收到所述第一用户为已创建的合规管控规则绑定数据管控范围信息的请求后,提供可选的数据管控范围信息,以用于在目标合规管控规则与目标数据管控范围之间建立绑定关系;
合规管控任务生成单元,用于根据所述绑定关系确定合规管控需求信息,根据所述合规管控需求生成合规管控任务并分配给第二用户执行,以便通过执行所述合规管控任务,在所述目标数据管控范围内执行对应的目标合规管控规则。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述任一项所述的方法的步骤。
一种电子设备,包括:
一个或多个处理器;以及
与所述一个或多个处理器关联的存储器,所述存储器用于存储程序指令,所述程序指令在被所述一个或多个处理器读取执行时,执行前述任一项所述的方法的步骤。
根据本申请提供的具体实施例,本申请公开了以下技术效果:
通过本申请实施例,可以为法务工作人员等第一用户提供用于进行合规管控规则配置、合规管控规则与数据管控范围的绑定等操作界面,这样,第一用户可以通过这种操作界面提交具体的合规管控需求。在提交需求的过程中,可以先进行合规管控规则的创建,再进行规则与具体数据管控范围的绑定(也即,使得具体的合规管控规则在一定的范围内生效,包括指定的站点,站点下的某个或某些具体国家,站点中的应用,具体的数据库、表、行、列,等等),因此,同一合规管控规则可与多个合规管控需求下的不同数据管控范围信息进行绑定,以此实现相同解决方案在多种类似管控需求之间的复用。具体在进行合规管控规则的创建界面中,可以根据系统支持的数据管控能力信息,提供对应的选项,使得第一用户可以通过选择所需的多种数据管控能力的方式,来创建具体的合规管控规则,避免出现第一用户不知道如何进行规则描述,或者,描述的规则无法在技术上落地实现的情况发生。另外,系统可以直接根据具体的合规管控需求生成对应的合规管控任务,并分配给第二用户去执行。在此过程中,不需要法务工作人员与技术人员通过口头或者邮件等方式进行沟通,而是可以直接通过系统的任务流转,完成需求的转达以及落地执行,因此,可以提升效率。
在优选的实施方式中,还可以实现对具体合规管控落地情况的监测,也即具体第二用户对合规管控任务的执行,不再是一个一次性的动作,而是可以对任务的执行情况进行持续性的监管,如果发生异常,例如,还可以向对应的责任人发出报警,以便及时采取措施,防止产生更严重的后果。
当然,实施本申请的任一产品并不一定需要同时达到以上所述的所有优点。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本申请保护的范围。
在本申请实施例中,为了便于进行法务合规管控处理,可以提供法务合规管控配置及管理系统,也即,从具体合规管控需求的提出到技术上的落地执行的过程,可以实现产品化。该系统的用户可以包括两类,其中一类是跨境电子商务系统中的法务工作人员,负责具体合规管控需求的提出,另一类则可以是跨境电子商务系统中的技术工作人员,负责对具体合规管控动作的落地执行。
通过该系统,可以为法务工作人员提供用于进行合规管控规则配置、合规管控规则与数据管控范围的绑定等操作界面,这样,法务工作人员可以通过这种操作界面提交具体的合规管控需求。相应的,系统可以生成对应的合规管控任务,并分配给技术人员去执行。在此过程中,不需要法务工作人员与技术人员通过口头或者邮件等方式进行沟通,而是可以直接通过系统的任务流转,完成需求的转达以及落地执行,因此,可以提升效率。另外,由于在提交需求的过程中,可以先进行合规管控规则的创建,再进行规则与具体数据管控范围的绑定(也即,使得具体的合规管控规则在一定的范围内生效,包括指定的站点,站点下的某个或某些具体国家,站点中的应用,具体的数据库、表、行、列,等等),因此,同一合规管控规则可与多个合规管控需求下的不同数据管控范围信息进行绑定,以此实现相同解决方案在多种类似管控需求之间的复用。
另外,通过这种方式,还可以实现对具体管控落地情况的监测,也即具体技术工作人员对合规管控任务的执行,不再是一个一次性的动作,而是可以对任务的执行情况进行持续性的监管,如果发生异常,例如,该管控的数据没能按照规则进行管控等,还可以向对应的技术人员发出报警,以便技术工作人员及时采取措施,防止产生更严重的后果。
从系统架构角度而言,如图1所示,本申请实施例中提供了法务合规管控配置及管理系统,该系统可以包括合规管控规则创建及管理模块,合规管控规则与数据管控范围绑定模块,合规管控任务生成模块,另外,在优选的方式下,还可以包括异常监测模块。可以由法务人员进行合规管控规则的创建及管理,以及合规管控规则与数据管控范围的绑定,以此生成具体的合规管控需求。之后,系统可以生成对应的合规管控任务,分配给具体的技术工作人员去执行。执行的过程,具体就可以包括对数据的加密处理,对数据存储链路的配置,对数据传输链路的配置,等等。同时,可以由异常监测模块对具体合规管控任务的执行情况进行监测,判断具体的合规管控任务是否执行,判断数据存储链路,数据传输链路中是否仍然出现需要管控的数据,等等。具体的监测结果可以提供给法务人员,如果发生异常,还可以及时向技术工作人员提供报警信息,以使得异常情况得到及时处理。
下面对本申请实施例提供的具体实现方案进行详细介绍。
具体的,本申请首先提供了一种数据合规管控处理方法,参见图2,该方法具体可以包括:
S201:向第一用户提供用于创建合规管控规则的操作界面,所述操作界面中包括用于对所支持的多种数据管控能力进行选择的操作选项,以便通过选择所需要的至少一种数据管控能力的方式创建合规管控规则。
首先,具体的合规管控配置及管理系统可以为法务工作人员(当然,在具体实现时,也可以由其他人员对合规管控规则进行配置,因此,在本申请实施例中,可以统称为第一用户,相应的,将技术工作人员称为第二用户)提供用于创建合规管控规则的操作界面,使其能够根据具体的合规管控需求,对所需创建的规则进行配置。例如,某站点需要新上线一个应用,涉及到跨境数据传输,此时,第一用户就会产生配置合规管控规则的诉求,包括,应用中产生的数据存在哪里,哪些数据不能传输到某个国家,是否存在某些数据不能出境,数据保存时是否需要加密或者进行匿名化处理,等等。在产生具体的诉求之后,就可以通过本申请实施例提供的系统,进行具体合规管控规则的创建,当然,如果之前针对其他的合规管控需求创建过类似的合规管控规则,也可以直接复用到当前的场景中。
其中,在创建具体的合规管控规则时,通常可能涉及到数据生命周期中多个阶段的规则创建,例如,包括具体进行数据存储时的规则,数据传输时的规则,等等。具体实现时,由于具体合规管控规则的执行,需要系统中提供相应的技术能力,例如,如果要求某个国家A的数据不能传输到国家B,则需要系统中能够提供在机房之间进行传输控制的能力,等等。因此,在本申请实施例中,可以预先对系统中支持的数据管控能力进行命名、分类,这样,在第一用户需要进行合规管控规则的创建时,实际上就可以从各种数据管控能力中选择出实际管控需求中需要的部分数据管控能力。这样,可以方便第一用户进行规则创建,同时也可以避免出现第一用户任意进行规则的创建,而系统却无法支持的情况出现。换言之,第一用户在需要创建合规管控规则时,可以从系统支持的多种数据管控能力中选择出一组数据管控能力,这一组数据管控能力就可以组成一份合规管控规则,另外,还可以对该合规管控规则进行命名,以便于后续进行查询、编辑、以及使用。
其中,具体支持的合规管控能力可以包括多种,主要可以围绕数据整个生命周期的多个阶段中可能产生的数据管控需求来提供。其中,所述多个阶段可以包括:数据生成、数据存储、数据传输、数据使用、数据访问控制、数据销毁、对Cookies(储存在用户终端设备上的数据)的管理,等等。例如,前述例子中,假设国家A境内产生的数据不能传输到国家B,则系统可以提供跨境机房之间的传输控制能力;又如,某国家C要求所有境内交易的数据不能出境,此时,可以提供数据存储方面的管控能力,包括将具体的机房部署在该国家境内,并且数据落在境内,以实现数据隔离。又如,关于Cookies数据(例如,用户登录网站之后,可以在终端设备本地产后Cookies数据,包括用户点击过什么内容,浏览过什么内容,交易过什么,都可以记录,这些数据可以应用于具体的推荐等应用,包括多种页面的“千人千面”等),但是,国家D可能在Cookies的使用等方面有要求,例如,可能规定有部分Cookies数据可用,部分Cookies数据不可用,此时,也可以实现对Cookies数据进行管控的能力。此外,针对一些联系方式等数据,有些国家可能需要进行匿名化或者加密等处理,此时,也可以提供数据匿名化、加密等相关的能力,等等。
具体实现时,可以将系统支持的各种能力展示给第一用户,使得第一用户可以按照实际的管控需求,从中选择部分能力,组成具体的合规管控规则。当然,由于具体支持的能力数量可能会比较多,因此,还可以进行分类展示,例如,如图3所示,可以包括数据存储、数据传输、数据使用、cookie管理、其他数据服务等几个大类。每个大类下还可以细分出多个小类,例如,数据存储这一大类下,还可以包括匿名化、假名化、物理/逻辑隔离,数据传输这一大类下,可以包括跨境传输、跨部门传输,等等。另外,具体的小类下也还可以继续细分,可以随着用户对某个小类的点击操作,展开更细分的内容,第一用户可以从中进行选择,等等。例如,如图4-1选择“数据存储”下的“物理/逻辑隔离”之后,可以展示出如图4-2所示的“物理隔离”以及“逻辑隔离”两种更具体的能力;如果选择了“物理隔离”,还可以展示出如图4-3所示的“独立部署”等具体的能力。又如,如图5-1所示,假设第一用户选择了“数据传输”下的“跨境传输”,则可以展示出如图5-2所示的“无特殊要求”、“国家A—国家S”,“国家C—国家S”,等等。
当然,除了选择具体的合规管控能力,还可以在具体的界面中对合规管控规则的名称、适用范围等进行输入,第一用户可以自定义具体合规管控规则的名称,关于适用范围,可以进行选择,包括“通用”、“非通用”等选项。另外,还可以在“备注”选项中输入一些内容,帮助对具体的合规管控规则进行管理记忆,例如,“当前规则适用于某国家隐私场景”,等等。
完成具体合规管控规则的创建后,可以在系统中进行保存,例如,第一用户在完成对具体合规管理能力的选择之后,可以点击图3所示的“保存”选项,此时,证明该条规则已编辑完成,之后,可以对该规则进行保存,同时还可以将该规则置为“已创建”状态。
另外,还可以提供对具体的合规管控规则进行查询功能。例如,具体可以规则名称、创建人、适用范围、状态等进行查询。也即,用户可以对某个规则名称进行查询,或者,对某个创建人创建的规则进行查询,等等,系统可以返回匹配的规则的详细信息。例如,如图6所示,可以包括具体规则的名称、编码、在各项数据管控能力下的选择的内容、创建人、创建时间、状态等信息。另外,在查询结果页面中还可以提供“编辑”等操作选项,使得第一用户可以对已创建的规则进行编辑,包括修改规则名称,或者重新进行能力选择,等等。
S202:接收到所述第一用户为已创建的合规管控规则绑定数据管控范围信息的请求后,提供可选的数据管控范围信息,以用于在目标合规管控规则与目标数据管控范围之间建立绑定关系。
在完成合规管控规则的创建之后,则可以为已创建的合规管控规则绑定数据管控范围信息,也就是说,可以将具体创建的合规管控规则应用到具体的管控场景中。其中,数据管控范围信息,也就是具体管控场景中涉及到的所需管控的范围。具体的,可以为第一用户提供多种可选的数据管控范围信息,以使得第一用户可以据此进行数据管理范围的选择。其中,具体可以提供多种可选的数据维度,以便通过选择目标数据维度以及属性值,确定所述目标数据管控范围。其中,如图7所示,所述多种可选的数据维度可以包括:站点,国家,应用(其中,具体站点中提供的功能模块等,都可以称为应用),数据打标定义等多个维度,等等。第一用户在进行数据管控范围的选择时,可以从上述多种维度进行选择,例如,点击“选择站点”,可以通过下拉框展示出可选的站点,第一用户可以从中选择一个或多个站点。之后,如果还需要对具体的国家、应用、数据打标定义等进行限制,则可以依次点击“选择国家”、“选择应用”、“选项打标”等选项,分别在各维度下进行具体国家、应用、数据打标定义的选择。例如,如果选择了某个站点X、某个国家A、某个应用P、某个数据打标定义Y,则意味着,需要针对国家A的该站点X,应用P中产生的上述Y对应的数据,进行管控。当然,在具体实现时,也可以选择对某站点下的全部数据进行管控,此时,可以仅进行站点选择,国家、应用、数据打标定义等可以不必进行选择,默认为全选。类似的,也可以对某站点下某个国家产生的数据全部进行管控,等等。
其中,关于数据打标定义,具体可以是为了便于进行数据选择,预先为数据库中的数据进行的打标。也就是说,由于系统中产生的数据众多,不同类型的数据可能需要使用不同的管控规则进行管控,例如,包括订单数据、物流数据,另外还可以包括一些消费者用户的个人数据,这些个人数据通常在保护隐私等方面,与其他数据的要求可能是不同的,等等。而这些数据通常是散落在多个不同的数据库、数据表中,因此,为了便于进行数据管控范围的选择,可以预先进行数据打标定义,具体的,可以创建数据打标定义,并添加对应的标识,具体的数据打标定义标识可以关联有数据类别标签(例如,可以包括应用标、隐私标,等等),另外,还可以关联有数据映射规则以及对应的数据库实现方式,以使得可以将具体的数据打标定义标识映射到目标打标维度下的目标数据,所述目标打标维度包括数据库、数据表、数据列或数据行。
例如,预先创建了某个数据打标定义的标识为“***隐私标”,该打标定义即可关联一个数据映射规则,可以将其映射到某个具体的数据库,还可以映射到数据库中的某个具体数据表,甚至是数据表中的某个数据列、数据行,等等,具体某个数据打标定义映射到何种数据维度,可以根据实际需求进行配置。也就是说,可以通过指定具体的数据库,或者细化到具体数据库中的数据表,甚至细化到数据表中的数据列、数据行等方式,可以圈选出一个数据范围,并为该数据范围给定一个标识,也即本申请实施例所述的数据打标定义的标识,以便于第一用户进行数据管控范围的选择。
通过这种方式,如果在进行管控范围选择时,如果涉及到对具体应用中部分数据进行管控,则可以对这种数据打标定义的标识进行选择,由于系统中保存有具体数据打标定义关联的映射规则,因此,可以映射到具体的数据库中的数据表,甚至数据表中的具体数据列或者数据行。也即,虽然第一用户是对具体的数据打标定义的名称等标识进行选择,但是,系统可以获知具体对应哪个数据库中的哪个数据表,甚至哪个数据列或行,因此,可以实现对部分数据的针对性管控。
其中,关于具体数据打标定义工作,可以由第二用户也即技术工作人员预先完成,为了便于第一用户在选择时,能够理解具体数据打标定义的含义,还可以在系统中提供查询数据打标定义的功能。例如,具体可以通过标类型、打标维度、标名称、标编码(code)、适用范围等进行查询。展示出的信息可以如图8所示,可以包括标类型、标code、标名称、打标维度、适用范围、具体值内容、打标时间、数据库实现等内容。这样,第一用户可以通过这种方式获知具体的打标定义在后端对应的打标数据是什么维度什么内容,进而可以根据查询结果确定出,具体一个打标定义圈定出的范围是否符合具体合规管控范围的需求。另外,具体的查询结果中还可以包括对应的数据库实现方式,例如,某打标定义的打标维度是“列”,也即,细化到了某个数据库中某个数据表中的某个或某几个列,则具体的数据库实现中可以包括**库&**表&**列,**列,**列;另一打标定义的打标维度是“库”,该打标定义是包括了具体数据库中的全部数据,此时,具体的数据库实现中可以包括“***库”,等等。
当然,也可以在系统中提供用于创建新的数据打标定义的操作选项,在通过所述操作选项接收到所述第一用户的创建请求后,可以提供可选的数据类别标签,以及对应的打标维度信息。这样,也可以由第一用户根据实际的需求进行打标定义。
当然,除了选择具体的站点、国家、应用、打标定义等用于确定数据管控范围的信息之外,还可以提供用于选择具体合规管控规则的操作选项,例如,如图7中所示的“规则选择”等操作选项。在点击该选项之后,可以展示出已创建的合规管控规则的名称列表,具体的规则可以是支持多选,也即,可以为同一场景选择多个合规管控规则,等等。在完成选择之后,可以通过点击“保存提交”等选项,完成具体的绑定操作。
具体实现时,还可以提供对绑定结果的查询功能,具体的查询条件可以包括打标定义的名称、应用名称、站点、国家,等等。
S203:根据所述绑定关系确定合规管控需求信息,根据所述合规管控需求生成合规管控任务并分配给第二用户执行,以便通过执行所述合规管控任务,在所述目标数据管控范围内执行对应的目标合规管控规则。
在完成绑定操作之后,系统就可以确定出具体的合规管控需求,进而可以生成合规管控任务并分配给第二用户执行,这样,可以通过执行所述合规管控任务,在所述目标数据管控范围内执行对应的目标合规管控规则。例如,可以根据合规管控需求生成具体的数据存储链路配置、数据传输链路配置等相关的管控任务,并且,可以直接在系统内将合规管控任务分配给第二用户。这里需要说明的是,具体进行任务分配时,还可以与具体的工单系统打通,生成具体的工单,具体的第二用户可以是相关技术部门的管理者等用户,可以由这种管理者安排具体工单的落地执行,包括分配给具体的技术工作人员,等等。
在本申请实施例中,除了可以让第一用户能够通过具体的系统提交具体的合规管控需求,并生成对应的合规管控任务后,向第二用户进行分配之外,还可以创建异常监测任务,以用于对所述目标合规管控规则执行情况进行异常监测。也就是说,在将具体的合规管控任务分配给第二用户之后,可能存在第二用户没有及时执行,或者,具体执行合规管控任务时的技术实现存在偏差等,导致具体的数据可能没有按照具体的规则进行管控。此时,可以通过具体的异常监测任务进行监测,这样,使得具体对合规管控任务的执行不再是一次性的工作,而是可以是一个持续的过程,并且可以及时掌握任务执行情况。
其中,具体在执行一个合规管控任务时,可能会涉及到对一些已经产生的存量数据的管控,还会涉及到一些新产生的增量数据的管控。因此,具体的异常监测任务可以对所述目标数据管控范围内的存量数据和/或增量数据的目标合规管控规则执行情况进行异常监测。
这里需要说明的是,对于数据存储、数据传输等相关的管控规则,在技术实现时,可能会涉及到对数据存储链路、数据传输链路等进行配置,例如,对于某类数据,某条数据存储链路或数据传输链路可能不合规,此时,针对该数据可以截断该链路。具体在进行异常监测时,除了对不合规的链路中是否存在目标数据监测范围内的数据之外,还可以对不合规的链路中是否产生其他的同类数据进行监测。所述的同类数据,具体就可以包括关联有相同数据类别标签的数据,例如,同样都是用户隐私数据,等等。
例如,在实际应用中,还可能存在以下情况:某国家A的法规中规定,该国家A的用户隐私数据不能传输到国家B,于是对国家A到国家B的数据传输链路进行了管控。但是,国家A本土孵化了新的应用,在应用上线时,没有法务人员或者法务人员不知道这个法规,则可能出现没有为该应用配置对应的合规管控规则的情况,此时,从该国家A到国家B的数据传输链路中,就可能会出现用户隐私数据。此时,虽然该新孵化的应用可能不在之前配置的数据管控范围内,但是,也可以对这种异常情况进行监测,以便及时发现后采取对应的处理措施。
其中,具体实现时,如果监测到异常情况,则可以向所述合规管控任务对应的第二用户提供报警信息,以便进行异常处理。也就是说,在本申请实施例中,由于具体可以通过本申请实施例提供的系统进行合规管控任务的创建以及分配,因此,可以获知具体的合规管控任务对应的技术负责人,这样,如果发现某任务的执行过程中出现异常,则可以及时通知到对应的责任人。
此外,还可以向所述第一用户提供异常监测结果,例如,如图9所示,所述异常监测结果包括所述异常监测任务的标识,对应的目标数据管控范围(关联的站点,应用等),以及监测状态(包括正常或异常),其中,如果所述监测状态为异常,则所述监测结果还可以包括异常发生时间等信息信息。其中,在“操作”列,可以提供查看详情的操作选项,点击“查看”后,可以展示出具体异常情况的详情。还可以包括创建工单(tickets)的操作选项,点击该选项之后,还可以快捷创建工单,指定给对应的处理人进行处理。另外,也可以支持对异常监测结果的查询,具体的查询条件可以包括监测任务标识,应用名称,站点,异常发生时间等。
总之,通过本申请实施例,可以为法务工作人员等第一用户提供用于进行合规管控规则配置、合规管控规则与数据管控范围的绑定等操作界面,这样,第一用户可以通过这种操作界面提交具体的合规管控需求。在提交需求的过程中,可以先进行合规管控规则的创建,再进行规则与具体数据管控范围的绑定(也即,使得具体的合规管控规则在一定的范围内生效,包括指定的站点,站点下的某个或某些具体国家,站点中的应用,具体的数据库、表、行、列,等等),因此,同一合规管控规则可与多个合规管控需求下的不同数据管控范围信息进行绑定,以此实现相同解决方案在多种类似管控需求之间的复用。具体在进行合规管控规则的创建界面中,可以根据系统支持的数据管控能力信息,提供对应的选项,使得第一用户可以通过选择所需的多种数据管控能力的方式,来创建具体的合规管控规则,避免出现第一用户不知道如何进行规则描述,或者,描述的规则无法在技术上落地实现的情况发生。另外,系统可以直接根据具体的合规管控需求生成对应的合规管控任务,并分配给第二用户去执行。在此过程中,不需要法务工作人员与技术人员通过口头或者邮件等方式进行沟通,而是可以直接通过系统的任务流转,完成需求的转达以及落地执行,因此,可以提升效率。
在优选的实施方式中,还可以实现对具体合规管控落地情况的监测,也即具体第二用户对合规管控任务的执行,不再是一个一次性的动作,而是可以对任务的执行情况进行持续性的监管,如果发生异常,例如,还可以向对应的责任人发出报警,以便及时采取措施,防止产生更严重的后果。
需要说明的是,本申请实施例中可能会涉及到对用户数据的使用,在实际应用中,可以在符合所在国的适用法律法规要求的情况下(例如,用户明确同意,对用户切实通知,等),在适用法律法规允许的范围内在本文描述的方案中使用用户特定的个人数据。
与前述方法实施例相对应,本申请实施例还提供了一种数据合规管控处理装置,参见图10,该装置可以包括:
操作界面提供单元1001,用于向第一用户提供用于创建合规管控规则的操作界面,所述操作界面中包括用于对所支持的多种数据管控能力进行选择的操作选项,以便通过选择所需要的至少一种数据管控能力的方式创建合规管控规则;
管控范围信息提供单元1002,用于接收到所述第一用户为已创建的合规管控规则绑定数据管控范围信息的请求后,提供可选的数据管控范围信息,以用于在目标合规管控规则与目标数据管控范围之间建立绑定关系;
合规管控任务生成单元1003,用于根据所述绑定关系确定合规管控需求信息,根据所述合规管控需求生成合规管控任务并分配给第二用户执行,以便通过执行所述合规管控任务,在所述目标数据管控范围内执行对应的目标合规管控规则。
其中,所述数据管控能力包括:针对数据生命周期内多个阶段上可能产生的管控需求提供的能力;所述多个阶段包括:数据生成、数据存储、数据传输、数据使用、数据访问控制、数据销毁、对储存在用户终端设备上的数据的管理。
其中,所述管控范围信息提供单元具体可以用于:
提供多种可选的数据维度,以便通过选择目标数据维度以及属性值,确定所述目标数据管控范围;所述多种可选的数据维度包括:站点,国家,应用,数据打标定义维度。
其中,所述数据打标定义维度下的属性值包括多个数据打标定义标识,所述数据打标定义标识关联有数据类别标签,数据映射规则以及对应的数据库实现方式,所述数据映射规则用于将所述数据打标定义标识映射到目标打标维度下的目标数据,所述目标打标维度包括数据库、数据表、数据列或数据行。
具体实现时,该装置还可以包括:
查询选项提供单元,用于提供用于对已有的数据打标定义进行查询的操作选项;
详情提供单元,用于通过所述操作选项接收到所述第一用户的查询请求后,提供对应的数据打标定义的详情信息。
另外,该装置还可以包括:
创建选项提供单元,用于提供用于创建新的数据打标定义的操作选项;
可选标签提供单元,用于通过所述操作选项接收到所述第一用户的创建请求后,提供可选的数据类别标签,以及对应的打标维度信息。
再者,该装置还可以包括:
异常监测任务生成单元,用于生成所述合规管控任务后,创建异常监测任务,以用于对所述目标合规管控规则执行情况进行异常监测。
具体的,所述异常监测任务具体用于,对所述目标数据管控范围内的存量数据和/或增量数据的目标合规管控规则执行情况进行异常监测。
其中,如果所述目标合规管控规则中包括与数据存储和/或数据传输相关的合规管控规则,则在执行所述合规管控任务时,包括对目标数据存储链路和/或数据传输链路的管控;
所述监测任务具体用于,对所述目标数据存储链路和/或数据传输链路中产生的全部数据的目标合规管控规则执行情况进行异常监测,所述全部数据包括目标数据管控范围内产生的数据,以及目标数据管控范围外产生的同类数据。
另外,该装置还可以包括:
异常处理单元,用于如果监测到异常情况,则向所述合规管控任务对应的第二用户提供报警信息,以便进行异常处理。
再者,该装置还可以包括:
监测结果提供单元,用于向所述第一用户提供异常监测结果,所述异常监测结果包括所述异常监测任务的标识,对应的目标数据管控范围,以及监测状态,其中,如果所述监测状态为异常,则所述监测结果还包括异常发生时间信息。
另外,本申请实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述方法实施例中任一项所述的方法的步骤。
以及一种电子设备,包括:
一个或多个处理器;以及
与所述一个或多个处理器关联的存储器,所述存储器用于存储程序指令,所述程序指令在被所述一个或多个处理器读取执行时,执行前述方法实施例中任一项所述的方法的步骤。
其中,图11示例性的展示出了电子设备的架构,具体可以包括处理器1110,视频显示适配器1111,磁盘驱动器1112,输入/输出接口1113,网络接口1114,以及存储器1120。上述处理器1110、视频显示适配器1111、磁盘驱动器1112、输入/输出接口1113、网络接口1114,与存储器1120之间可以通过通信总线1130进行通信连接。
其中,处理器1110可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本申请所提供的技术方案。
存储器1120可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1120可以存储用于控制电子设备1100运行的操作系统1121,用于控制电子设备1100的低级别操作的基本输入输出系统(BIOS)。另外,还可以存储网页浏览器1123,数据存储管理系统1124,以及数据合规管控处理系统1125等等。上述数据合规管控处理系统1125就可以是本申请实施例中具体实现前述各步骤操作的应用程序。总之,在通过软件或者固件来实现本申请所提供的技术方案时,相关的程序代码保存在存储器1120中,并由处理器1110来调用执行。
输入/输出接口1113用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
网络接口1114用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1130包括一通路,在设备的各个组件(例如处理器1110、视频显示适配器1111、磁盘驱动器1112、输入/输出接口1113、网络接口1114,与存储器1120)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1110、视频显示适配器1111、磁盘驱动器1112、输入/输出接口1113、网络接口1114,存储器1120,总线1130等,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本申请方案所必需的组件,而不必包含图中所示的全部组件。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上对本申请所提供的数据合规管控处理方法、装置及电子设备,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对本申请的限制。