我来总结一下数据安全治理面临挑战与需求。
在顶层规划方面,伴随法律法规的颁布和各种政策文件的发布,国家数据安全的战略日趋明确, 一是在数据安全供给侧,数据安全治理相关的隐私计算等核心关键技术要持续提升以逐步满足商用 化需求,数据确权、数据公平交易、数字信任体系等技术也需完善,促进产学研深度融合,培育数 据安全领军企业和数字化安全人才队伍,是落地国家整体战略规划的重要任务。二是数据安全治理 关系业务开展、法规要求、技术建设、持续运营等多个维度,需要进行顶层规划,全面布局。
但是,面对各个环节的数据安全风险,组织当前缺乏落实国家数据安全顶层战略的方针,亦尚 未形成一套规范的、行之有效的数据安全管理机制,导致在响应相关法律法规要求还存在很大的挑战。 一是大部分企业不具备研究制定数据全生命周期安全治理的愿景、目标、领域、指导原则、责任模 型和保护能力等水平,无法为数据安全建设提供统一指引。二是数据安全治理是需要综合考虑业务 当前与未来发展需要,为保障数据安全所开展的一项系统工程,在为确保内部对数据安全治理的方 针达成共识、合理配置数据安全工作任务与资源、如何评估投入产出比等方面,尚缺少有效的支持 方法和评价依据。三是数据的动态性要求组织及时根据政策合规与制度规范提升需求,滚动修订数 据安全的制度、流程、标准,保障数据安全的规划、实施、运行、监督的全程管控,持续提升数据 安全能力,在管理和技术措施尚不完善的现状下,闭环管理落地困难。
在组织协同方面,组织内部的数据与业务紧密联系,数据安全需随数据活动场景变化随需而变数据处理活动涉及多个部门,内部组织和协调难度较大。主体多元、利益多元,组织内数据安全与发展、秩序与突破,诸多价值目标在这一问题上交织碰撞,如何满足内部和外部各方利益关系,实现数据开发利用和安全合规的平衡需求的满足度,成为保障数据的共享和开放的需求。从法律层面上讲,当前数据权属相关的法律法规和实施细则尚未颁布,在这样的前提下作为数据使用者如何向外部组织或者个人的数据所有者落实数据管理义务,是组织函需解决的需求。从实际落地层面上讲,作为数据所有者,通过交换、共享、委托等处理活动对外提供的数据流出了自己可控的安全域,对于此类数据的防范属于自身技术防护的“盲区”。作为数据使用者,在使用数据中,如何落实外部组织或个人的数据所有者提出的数据安全管理义务,并提供合规性检测证明,以及网络安全事件发生后的安全取证、责任鉴定等对数据流转过程中的数据监管需求强烈。
由于数据作为特殊资产,其所有权和使用权分离的特性,导致在数据共享交换层面面临着无法满足其安全共享和开发的困境。在数据通过共享、交换等过程离开组织之后,数据的跟踪与溯源问题变得愈加困难。如何统筹各相关部门的治理授权和责任,落实数据从产生、使用到流转全生命周期中各环节责任主体,强化分行业和跨行业协同治理,完善分类、分级的安全管理要求以及追责机制等配套制度成为行业面临的共同挑战。
在关注热点方面,对个人信息资源的合理利用和保护,是构建数字经济社会,繁荣数据要素市 场的必由之路。各级组织在个人信息合理利用和开发过程中需要遵守众多的法律法规和标准,如《个 人信息保护法》《欧盟通用数据保护条例(GDPR)》等,因此需要尽可能收集与之相关的各类法律 法规和监管要求,确保他们在个人信息的合理利用过程中符合所有适用的法规和标准,同时,建立 确保其拥有、使用和共享的个人信息得到保护、可追溯和可控制的技术手段、管理制度和运营机制, 以符合监管要求,避免面临高额罚款和声誉损失。
但个人信息保护与合理利用间也存在较大矛盾和冲突,如何对个人信息的保护和利用做出合理 规范还存在合规性、监管、个人隐私保护和个人信息治理等多方面的挑战。由于个人信息的规模和 复杂性使得其安全治理变得非常困难,一方面组织的个人信息可能不准确或者存在噪音,这可能导 致分析结果出现偏差或错误,进而影响个人权益;另外一方面,组织出于商业目的等,可能将数据 交由第三方进行研究或分析,导致数据被滥用或不当使用,出现“大数据杀熟”或“算法歧视问题”, 或者为了吸引用户粘性,制造“信息茧房”,束缚用户可接触的信息范围。
在行业特性方面,数据安全治理的行业属性十分突出,是因为数据要素是在特定行业背景下产 生的,反映了该行业相关的信息和现象。举例来说,教育行业的数据要素包括学生的学籍、学校的 教务和实验记录等,这些数据要素反映了从学生入学到就业、学校教学和科研等特定需求和工作流程。 同样,金融行业的数据要素包括交易记录、股票价格、汇率数据等,这些数据要素反映了金融行业 的市场情况和交易活动。在不同行业间由于业务运转模式不同、数据特性和数据价值差异,导致其 面临的网络安全威胁和行业监管差异化也非常大。因此,了解数据要素的行业属性对于正确理解和 实施数据安全治理具有重要意义。在特定行业中,行业特定的场景也需要特定的技术和工具来处理 和分析。
由于不同行业之间的信息化发展水平的不同,以及针对数据重要性的定义和认知差异较大,导 致在数据安全治理中,无法使用通用的手段进行治理。针对数据运营者,面临着如何定义数据要素 的行业属性并选择合适的技术和工具进行数据安全治理的挑战。而数据安全产品和数据安全服务企 业方面,则面临着大量差异化行业的场景产生的复杂的数据形态,以及数据多来源、多协议、异构化、 多模态、高并发的现象,研究和开发适合行业属性的数据治理工具的难度极大。其次,数据治理由 单系统单领域走向跨系统全领域,开展行业级或区域级的数据安全治理工作中,跨层级、跨地域、 跨系统、跨部门、跨业务成为显著特征,对数据治理方法和平台研制都带来了新的挑战。
本白皮书在编制数据安全治理主册的同时,面向政务、金融、医疗、电信、电力、教育、工业 七个行业,同步推出行业数据安全治理实践篇,以为不同行业的用户在开展数据安全治理过程中提 供参考和借鉴。
在基础支撑方面,实行数据分类分级是保障数据安全的前提,也是实施数据风险评估、数据安 全策略制定、数据权限控制等数据安全治理过程中极为重要的一环。在实际进行数据分类分级的过 程中,需要结合业务流程进行考虑,不同的部门或单位采用不同的数据分类标准,不同类型的数据 可能存在交叉或重叠,并且数据分类分级是一个持续的过程,基于数据伴随业务处理活动的持续新 增与变化,分类分级也需随之动态变更。然而目前缺乏分类分级的标准化工具,几乎所有情况下都 需要人工对数据进行手动分类分级,导致效率及准确度低下。实现数据分类分级的自动化、精准化 需要借助分类分级标准的统一及在此基础上研制自动化的工具来逐步解决。
在治理评价方面,需要在促进数字经济发展与数据安全保护之间把握好动态平衡,持续探索构 建原则性与灵活性相结合的新型监管体系。需要进一步完善数据安全测评标准体系,建立和完善数 字技术应用审查机制,开展算法规制、标准制定、安全评估、伦理论证等工作。一方面,避免因监 管的越位导致阻碍创新,影响数据资源的开发利用和数据依法有序的自由流动,另一方面,避免监 管机构出现“监管迷茫”和“能力缺失”,在现实中演化为弱监管和慢监管甚至不敢和不会监管, 造成监管的失位。
目前,针对组织的数据安全监管工作大多通过访谈评估、人工检查等形式开展,不可避免的面 临着效率低下、难以量化和标准化的问题。针对敏感数据识别、异常行为监测、敏感数据泄露、非 法越权访问、数据跨境传输、数据非法外联等核心检查内容,目前采用的漏洞扫描、流量探测、API 接口分析等技术,也无法全面支撑自检查评估与第三方检查评估的监管实际工作需要,需要持续研 究突破自然语言处理、数据血缘分析、算法合规性检测等技术在合规项解读、自动化检测、全链路 流转监测等涉及监管的应用能力,提升数据安全检查、评估的自动化水平,实现以评促建,有效提 升组织的数据安全治理水平。
数据安全治理覆盖管理、技术、运营、评估等多个方面,是一项需要多方联动的复合型、系统型 工作。组织数据安全治理能力建设,围绕数据的产生、加工、使用、流通、销毁等环节,进行总体布局、 全面规划,需要构建贯穿各层面的数据安全治理组织架构,全面梳理业务场景并设计体系化的安全制 度流程,配合应用自动化工具、平台,实现数据安全治理“一盘棋”。同时,组织可通过搭建专业的 人才梯队与培训机制,为数据安全管理工作持续积蓄力量。数据安全治理不仅限于解决当前的数据安 全困境,还致力于数据安全长远发展,是一项长期工程。通过不断优化制度流程落地效果、提升技术 与产品应用水平、强化人员安全意识与能力、明确未来数据安全治理发展方向等,实现数据安全治理 的全生命周期闭环。数据安全治理工作的复杂性导致现阶段存在多方面的挑战无法满足。
