信息化觀察網(wǎng)

在以智能化為核心的第四次工業(yè)革命的浪潮中，如果說“算法”是數(shù)字經(jīng)濟時代的社會治理和數(shù)字化商業(yè)轉(zhuǎn)型的核心引擎，那么“數(shù)據(jù)”，就是驅(qū)動引擎的燃料。數(shù)據(jù)作為21世紀(jì)的石油，其重要性不言而喻。而數(shù)據(jù)安全，也是數(shù)字風(fēng)險治理中最重要、最復(fù)雜、最具挑戰(zhàn)性的工作。

從個人、企業(yè)到國家，都面臨數(shù)據(jù)不安全帶來的風(fēng)險，圍繞大數(shù)據(jù)的創(chuàng)新和安全，各種政策、法律、標(biāo)準(zhǔn)、產(chǎn)品和學(xué)術(shù)研究表現(xiàn)出空前的熱情。然而，紛至沓來的討論卻也使人們陷入了混亂——面對發(fā)展與安全的平衡，數(shù)據(jù)治理有無準(zhǔn)據(jù)？

數(shù)據(jù)不安全

從本質(zhì)上看，數(shù)據(jù)來源于每個獨立個體的特有標(biāo)識與行為，海量且多樣的數(shù)據(jù)，最終才得以沉淀為現(xiàn)代信息科技繁榮的土壤。然而，不論是個人、企業(yè)，還是政府都多少面臨著或大或小的數(shù)據(jù)風(fēng)險。數(shù)據(jù)不安全幾乎是現(xiàn)代人在數(shù)字時代的共識。

一方面，數(shù)據(jù)流轉(zhuǎn)復(fù)雜化使得數(shù)據(jù)泄露風(fēng)險增大。盡管實施和推進信息系統(tǒng)整合共享等一系列的舉措，能夠使得海量數(shù)據(jù)資源進一步共享和匯聚，但數(shù)據(jù)在流動、共享和交換中，系統(tǒng)和數(shù)據(jù)安全的責(zé)權(quán)邊界也變得模糊，主體責(zé)任劃分不清，權(quán)限控制不足，發(fā)生安全事件將難以追蹤溯源。怎樣防止數(shù)據(jù)在使用、流通過程中不被非法復(fù)制、傳播和篡改又為數(shù)據(jù)治理帶來新的挑戰(zhàn)。

另一方面，傳統(tǒng)數(shù)據(jù)防護體系側(cè)重于單點防護，而大數(shù)據(jù)環(huán)境下的網(wǎng)絡(luò)攻擊手段及攻擊程序大量增多，導(dǎo)致出現(xiàn)了許多傳統(tǒng)安全防護體系無法應(yīng)對的問題，數(shù)據(jù)安全所面臨的風(fēng)險在不斷增加。

大數(shù)據(jù)、人工智能等技術(shù)的發(fā)展催生出新型攻擊手段，攻擊范圍廣、命中率高、潛伏周期長，針對大數(shù)據(jù)環(huán)境下的高級可持續(xù)攻擊（APT）通常隱蔽性高、感知困難，使得傳統(tǒng)的安全檢測、防御技術(shù)難以應(yīng)對，無法有效抵御外界的入侵攻擊。

其中，相對于個人信息，個人數(shù)據(jù)是更為宏觀的概念。從轉(zhuǎn)化路徑上看，個人數(shù)據(jù)是較個人信息更靠前的存放形態(tài)?？梢哉f，個人數(shù)據(jù)是與已識別或可識別的自然人有關(guān)的任何信息。當(dāng)前，中國已成為世界領(lǐng)先的互聯(lián)網(wǎng)經(jīng)濟體。但在驅(qū)動經(jīng)濟發(fā)展的同時，個人數(shù)據(jù)的安全問題日益凸顯。

根據(jù)神策數(shù)據(jù)調(diào)查，近96%的公眾明確表示他們重視自身的數(shù)據(jù)安全，79.5%的人認(rèn)為，在互聯(lián)網(wǎng)經(jīng)濟高度成熟的今天，他們很難擁有個人數(shù)據(jù)安全。黑客入侵是導(dǎo)致大規(guī)模個人數(shù)據(jù)安全受到威脅的主要原因，2004-2019年間的29起重大個人數(shù)據(jù)泄漏事故中，58%以上是因黑客入侵造成數(shù)據(jù)收集/使用方對數(shù)據(jù)安全的忽視，這已經(jīng)成為了個人數(shù)據(jù)泄漏的一大原因。

有近90%的受訪者表示他們收到過來路不明的短信或電話，甚至有約33%的受訪者有過個人信息被冒用的情況。超過70%的受訪者傾向于認(rèn)為，多數(shù)數(shù)據(jù)收集方并沒有按照相應(yīng)的規(guī)章制度或法律來保護他們的個人數(shù)據(jù)安全。

數(shù)據(jù)就像一柄達摩克利斯之劍。大數(shù)據(jù)時代，人們利用數(shù)據(jù)驅(qū)動了無數(shù)商業(yè)決策，推動了社會經(jīng)濟的發(fā)展。但同時，因數(shù)據(jù)安全引發(fā)的各類問題已令諸多機構(gòu)蒙受損失。近幾年來，數(shù)據(jù)泄露事件愈加頻繁，泄露數(shù)據(jù)量也都異常驚人，使得企業(yè)被迫面臨監(jiān)管壓力、金錢損失、品牌美譽度受損、用戶流失等。

Risk Based Security數(shù)據(jù)顯示，在2019年1-9月中，全球就發(fā)生了超過五千次的數(shù)據(jù)泄露事件，近八十億條數(shù)據(jù)被暴露，2019年的數(shù)據(jù)泄露量同比增長超過百分之三十。其中不乏大廠。比如，F(xiàn)acebook數(shù)據(jù)泄露事件導(dǎo)致市值瞬間蒸發(fā)，還面臨50億萬美元的巨額罰款，數(shù)據(jù)泄露成本巨大。阿里巴巴旗下東南亞電商平臺Lazada也曾遭遇黑客攻擊，大量客戶數(shù)據(jù)被泄露。

除了個人和企業(yè)，數(shù)據(jù)安全保障能力也是國家競爭力的直接體現(xiàn)，數(shù)據(jù)安全是國家安全的重要方面，也是促進數(shù)字經(jīng)濟健康發(fā)展、提升國家治理能力的重要議題。盡管現(xiàn)階段我國政府并未面臨大規(guī)模的數(shù)據(jù)泄露，但政務(wù)數(shù)據(jù)的共享開放不可避免面臨與日增長的挑戰(zhàn)和風(fēng)險。

數(shù)據(jù)治理有無準(zhǔn)據(jù)？

盡管圍繞大數(shù)據(jù)的創(chuàng)新和安全，各種政策、法律、標(biāo)準(zhǔn)、產(chǎn)品和學(xué)術(shù)研究表現(xiàn)出空前的熱情，但紛至沓來的討論也使人們陷入了混亂。面對發(fā)展與安全的平衡，數(shù)據(jù)治理究竟有無準(zhǔn)據(jù)？

事實上，從某種意義上講，要保證數(shù)據(jù)的絕對安全，就要將數(shù)據(jù)全部物理隔絕，變成“死”數(shù)據(jù)，這樣顯然是最“安全”的，既拿不走，也不能破壞。但這樣做卻也損失了數(shù)據(jù)的價值——數(shù)據(jù)只有在流動、分享、加工處理過程中才能創(chuàng)造價值。

數(shù)據(jù)安全治理的核心正是保障數(shù)據(jù)在安全可控的情況下使用并發(fā)揮價值。換言之，數(shù)據(jù)本身無罪，有罪的是數(shù)據(jù)沒有被安全地保護或使用。也就是說，想要實現(xiàn)數(shù)據(jù)安全，關(guān)鍵要看具體實現(xiàn)的方法和管理措施。

首先，以數(shù)據(jù)為中心，是數(shù)據(jù)安全工作的核心技術(shù)思想。這意味著，將數(shù)據(jù)的防竊取、防濫用、防誤用作為主線，在數(shù)據(jù)的生命周期內(nèi)各不同環(huán)節(jié)所涉及的信息系統(tǒng)、運行環(huán)境、業(yè)務(wù)場景和操作人員等作為圍繞數(shù)據(jù)安全保護的支撐。并且，數(shù)據(jù)要素的所有權(quán)、使用權(quán)、監(jiān)管權(quán)，信息保護和數(shù)據(jù)安全等都需要全新治理體系。

這需要在法規(guī)制度方面“劃清紅線”。目前《中華人民共和國數(shù)據(jù)安全法》尚未正式發(fā)布，我國在數(shù)據(jù)共享開放、數(shù)據(jù)交易流通、數(shù)據(jù)安全層面的立法，以及數(shù)據(jù)平臺建設(shè)、數(shù)據(jù)安全管理等相關(guān)制度、標(biāo)準(zhǔn)規(guī)范還需要進一步完善。

其次，數(shù)據(jù)安全離不開“運用數(shù)字技術(shù)進行治理”，即運用數(shù)字與智能技術(shù)優(yōu)化治理技術(shù)體系，進而提升治理能力。比如，大數(shù)據(jù)、人工智能等新一代數(shù)字技術(shù)，都可以為國家治理進行全方位的“數(shù)字賦能”。

事實上，在數(shù)據(jù)生命周期的不同階段，數(shù)據(jù)面臨的安全威脅、可以采用的安全手段也不一樣。在數(shù)據(jù)采集階段，可能存在采集數(shù)據(jù)被攻擊者直接竊取，或者個人生物特征數(shù)據(jù)不必要的存儲面臨泄露危險等；在數(shù)據(jù)存儲階段，可能存在存儲系統(tǒng)被入侵進而導(dǎo)致數(shù)據(jù)被竊取，或者存儲設(shè)備丟失導(dǎo)致數(shù)據(jù)泄露等；在數(shù)據(jù)處理階段，可能存在算法不當(dāng)導(dǎo)致用戶個人信息泄露等。

面對不同階段不同角度的風(fēng)險，對癥下藥，是技術(shù)治理的必要。改進治理技術(shù)、治理手段和治理模式，將有效實現(xiàn)復(fù)雜治理問題的超大范圍協(xié)同、精準(zhǔn)滴灌、雙向觸達和超時空預(yù)判。

最后，數(shù)據(jù)安全的實現(xiàn)不僅要自上而下，更要自下而上。數(shù)據(jù)安全治理的核心目的，是實現(xiàn)安全與發(fā)展的平衡，讓大數(shù)據(jù)時代的發(fā)展能夠健康持續(xù)進行下去。大數(shù)據(jù)時代，從個人到企業(yè)，到政府都已離不開數(shù)據(jù)，數(shù)據(jù)安全問題也不再只針對需要關(guān)注的大企業(yè)和大產(chǎn)品。

建立自下而上的制度，是讓組織自己有提升和證明自身數(shù)據(jù)安全能力成熟度水平的積極性，讓數(shù)據(jù)安全能力成熟度高的組織擁有更大的發(fā)展空間和競爭優(yōu)勢，讓規(guī)范的第三方數(shù)據(jù)安全服務(wù)產(chǎn)業(yè)發(fā)展起來實現(xiàn)專業(yè)的數(shù)據(jù)安全服務(wù)和測評認(rèn)證體系，由此形成良好的數(shù)據(jù)安全治理生態(tài)，提升全社會的數(shù)據(jù)安全水平。

與此同時，用戶對個人數(shù)據(jù)安全相關(guān)的法律法規(guī)了解尚不夠深入。在神策數(shù)據(jù)調(diào)查中，超過29%的消費者對自身了解相關(guān)法律法規(guī)程度的自評為“了解較少”或“不了解”，其中超過6%的公眾在不甚了解相關(guān)法律的情況下可能貿(mào)然做出決定。顯然，公眾仍需持續(xù)提升對相關(guān)法律的認(rèn)知深度，樹立正確的個人數(shù)據(jù)安全觀。

數(shù)字治理是數(shù)字社會治理的前提，“大數(shù)據(jù)時代下的數(shù)據(jù)安全”，不僅僅是“大數(shù)據(jù)安全”。想要保證大數(shù)據(jù)時代下的數(shù)據(jù)安全，就要以數(shù)據(jù)為中心，以技術(shù)為抓手，從自上而下到上下同治，兼顧發(fā)展與安全，效率與穩(wěn)定，真正把握人類歷史上迄今為止最大的一次發(fā)展機會。