导语:
监管与审计的焦点仍在“是否最小化采集、是否按目的使用、是否可追溯”。本文给出工程闭环:目的限定、脱敏流水线、出境门禁与透明证据包,并附脚手架与检查表。
1. 目标与衡量
- 目的限定:资产有允许用途,超范围访问自动拒绝。
- 最小化:字段分级采集与脱敏,保留期最短化,例外有期限。
- 审计:访问/导出/共享有结构化证据,索引可检索。
2. 资产与目的
- 台账:
data_asset_id/owner/sensitivity/purpose/scope/retention/export_policy。 - 策略引擎:入口网关/数据服务调用策略,决策
allow/deny/mask/audit。 - 例外审批:审批ID+到期时间,过期自动失效并提醒。
3. 脱敏流水线
- 分级规则:P0(直接身份,强脱敏/不可见)、P1(敏感属性,泛化/掩码)、P2(一般)。
- 场景一致:API/导出/日志同口径脱敏,避免“日志泄漏”。
- 规则版本化:
masking.json/retention.yaml入库,CI 校验完整性与冲突。
4. 出境/共享门禁
- 申请:资产ID、目的、范围、字段、接收方、保留期、删除计划;自动校验目的/范围/敏感字段。
- 生成:仅走网关/导出服务,自动脱敏;生成导出证明(哈希/策略/操作者)。
- 交付:加密传输,接收方签收;到期自动撤回/删除。
- 审计:审批、导出证明、接收方确认入透明包。
5. 透明包与审计
- 结构:
boundary.yaml、masking.json、retention.yaml、approvals/、access_logs/、exports/、change_log.md。 - 索引:日志入索引/数据仓,支持按资产/目的/审批ID检索。
- 可回放:保留策略版本与决策,支持审计复盘。
6. 落地脚手架与看板
- 仓库模板:台账+脱敏+保留+出境策略,内置 CI 校验。
- 中间件示例:API/导出工具调用策略引擎,写入审计。
- 看板:拒绝率、脱敏应用率、例外使用率、到期提醒处理率、出境记录。
7. Evidence Pack 模板
- 资产ID、目的、访问者、范围、决策结果
- 脱敏说明、审批ID(如有)
- 出境/导出证明(哈希、接收方、保留期)
- 变更记录:策略版本、回滚方式
8. 风险与对策
- “例外无期限” → 审批必须有到期时间与提醒。
- “日志未脱敏” → 日志口径与 API/导出保持一致,纳入策略。
- “规则只写文档” → 策略必须代码化并有 CI 校验。
结语:
把目的限定、脱敏流水线、出境门禁与透明包做成默认工程能力,数据最小化才能在高频迭代中真正落地。
9. 快速核查
- 台账/策略文件通过 CI;例外审批具备到期提醒。
- 策略中间件可拦截拒绝/脱敏/审计写入;出境导出走固定通道。
- 透明包与审计索引可检索(资产/目的/审批ID)。
10. 报表与改进
- 周报:拒绝率、脱敏应用率、例外使用率、到期提醒处理率、出境记录。
- 改进项:例外原因、规则缺口、工具改进计划与负责人/期限。
- 审计演练:每月抽取出境/例外案例,验证透明包与审计可回放。
