数据安全治理之道:安全贯穿业务发展

2022-06-07 05:50:25   来源:商业新知网

近年来,数据价值在各行业领域所发挥的作用与日俱增,构建与之相适应的数据安全保障体系显得尤为关键,即 系统性降低数据安全风险,以合理的安全成本保障数字化转型,适应新的数据应用技术和应用场景 等。在此背景下,仅依靠单一的数据安全技术或单一场景的数据安全能力,已不能满足当前多样化的数据安全需求,也不能满足《数据安全法》《个人信息保护法》中的合规要求。所以,构建数据安全保障体系应从认识论、方法论、综合技术能力、行业特点、最佳实践以及投入成本等多方面进行考量。这种依循平衡数字化业务发展与数据安全综合治理的思路,是 数据安全治理的精髓所在,即“安全贯穿发展” 。

数字时代,如何处理发展和安全的关系

(一)对数据要素的利用必须以安全为前提

数据要素的利用,在于提升数据的可访问性、可解释性和可索引性,同样一份数据,经过不同使用者的处理,能够发挥出不同的数据价值,这是数据要素利用的关键。数据中的信息涉及商业机密、个人隐私和国家安全,所以对数据要素的利用需要以安全为前提。《网络安全法》中强调数据的保密性、完整性、可用性,如今,对数据安全还应考虑在其全生命周期中的安全可控,以及对个人、社会、国家的影响。数据要素利用和数据安全二者之间的关系是辩证的,诸多法规的出台为数据利用划定了红线,但还需要考虑所在行业属性及其自身属性,对数据要素的利用需要健全的数据安全机制,认识数据行业属性、自身属性,监督数据安全规范被有效遵守并严格执行。

(二)数据安全的中长期规划和短期目标的平衡

构建数据安全保障体系的目标是降低数据所面临的风险,而风险贯穿于数据的全生命周期之中。企业开展数字业务,构建数据安全体系,首先要明确自身的行业属性和业务数据的属性。例如,某电力企业即属于能源行业,也属于关键基础设施,产生的数据既有企业数据、又有每个家庭的电力数据,所以该企业的数据安全关系到国家、社会和个人三个层面。开展数据安全治理工作,企业应充分考虑相关法律、行业标准、安全技术等要求,制定适合自身实际情况的中长期数据安全治理目标,并围绕这个目标开展数据安全治理的规划,通过行业经验和自身实践,达到数据利用与数据安全之间的平衡。

其次,数据安全不是一蹴而就的工作,具有长期性。企业一方面要把数据安全和生产安全同等看待、长期经营。数据安全治理本身具有复杂性和长期性,中长期规划需要从组织、制度、技术、运营、优化等多方面加以思考并付诸实践。另一方面,通过实现短期目标,可以解决企业所面临数据安全风险中最为突出的问题。例如,上述的电力企业在进行业务测试时,使用的测试数据是真实数据,数据丢失的风险较大。通过数据的去标识化技术及相应的管理措施,实现测试数据的去标识化,可以降低真实数据的丢失风险。

因此,企业的数据安全治理需要在体系化的中长期规划建设,与迅速启动取得效果之间进行平衡。去标识化、审计、分类分级是当前作为数据安全治理比较好的启动点。

(三)数据安全治理成本与收益的平衡

数据安全治理工作需要考虑成本与收益的平衡,才能取得企业需要的治理效果。

1.数据安全治理工作的各项成本

经济成本。很多企业通过项目实施建立数据安全治理体系,后期还需要对治理体系进行优化、技术迭代等。当前数据安全建设成本大体占整体信息安全建设的 10%-39%,并在逐渐加大,大型客户的投资从几百万到几千万不等。

管理成本。首先,数据安全需要长期的管理和运营,需要建设专门的组织结构推动数据安全建设,并将数据安全的管理要求贯彻到日常的数据处理和维护工作中,以及业务开展和企业风控管理中。影响管理成本的因素,主要分为外部和内部两方面。外部因素包括企业经营的法律、监管环境,不仅要考虑国内环境,还要根据业务的情况,对国外的相关环境加以考量。此外还包括数据安全市场环境,即数据安全发展趋势、产业结构、能够协调的资源配置等,以及技术革新对企业经营环境的影响。内部因素包括企业制定数据安全管理的组织架构及决策链,是否能够及时、全面的发现企业数据安全所面临的风险,从而做出正确的决策。其次,企业制定的数据安全管理制度、规范、操作标准等,是否能够有效落实。第三,企业内部环境变化,相关数据安全措施,是否能够适时调整。

人力成本。数据安全建设需要配置专业的技术人员,如果企业数据包含个人信息,按照规定还应配置个人信息保护的专门职位。当前,数据安全领域非常需要“跨界”人才,例如同时具备法律、数据安全技术的混合型人才。

2.数据安全治理的收益

数据安全合规。防止法律诉讼和监管处罚。数据安全治理体系是否已经建设、完善,在面临诉讼和处罚时都是自证的重要依据。例如在数据出境中,必须要识别出境数据的类型、数量,以及评估接收方的数据保护能力等。

降低企业商业风险。开展数据相关业务时,会有大量的重要数据和个人信息被收集、存储、处理、交互,客户信息、个人资料的泄露不仅面临监管的处罚,还会面临企业商业信誉的损失。同时,数据安全的合规甚至会影响企业业务经营的合法性。通过数据安全治理,体系化地对数据安全风险进行规避,能够确保企业开展业务时数据安全风险可控,保障持续化经营。

协助企业数据资产有效利用。数据安全治理是为了“数据使用自由而安全”,需要对数据和生命周期有清晰的认识和技术管控,能为数据资产的利用起到推动作用。但对企业内部数据资源的挖掘利用,以及数据对外的共享与协同利用,需要在合法合规以及有效技术手段下。

数字时代,数据安全治理的主要内容

数据安全治理的核心内容是“ 降低数据风险,促进数据有序利用 ”。安华金和通过不断和实践,将数据安全治理工作通过管理体系、技术体系和运营体系进行落地。在管理体系中,需要梳理各类合规要求,并结合企业实际制定一套数据安全制度。在技术体系中,通过一系列数据安全技术的综合运用,对上述制度进行技术化实现,并在不同场景中有不同的侧重。在长期运营过程中,需将管理者的思路落实,而且能根据企业内外部的环境变化,不断调整优化管理制度和技术运用,做到对合规变化和风险变化的及时应对。

(一)中国本土企业的数据安全合规

图 企业数据安全治理工作

简单来讲,企业需要了解自身所属行业面临的合规要求,制定数据安全目标,分析数据使用的各个重点场景,通过“管理+技术”的手段来降低数据安全风险。并能够通过数据安全各类评估,证明企业履行了数据安全保护义务。

按照国家相关法律、法规、标准等对数据安全的要求,可以将国内的数据安全行业大致分为两类,即面向企业(ToB)与面向用户(ToC)。ToB 行业往往只有企业数据,例如能源、海洋、国土等行业;ToC 行业除了企业数据外,还会有大量的个人信息,例如金融、电信、医疗、教育等行业。

ToB 行业以《数据安全法》及各行业规范为基准,除保障数据的完整性、可用性、保密性外,还要通过各种措施降低数据风险,避免因数据安全事件的发生对国家、社会造成负面影响。

ToC 行业以《数据安全法》《个人信息保护法》及各行业规范为基准,除 ToB 行业的数据安全要求外,更加重视对个人敏感信息的采集和利用,同时加大对个人信息主体人格权、生命财产、公平权等的针对性保护。

但是,不管是哪个行业,合规对于大型企业来说都是具有挑战性的工作,这也是本文的观点,即数据安全治理工作不是一蹴而就,而是需要有体系、有规划、有目标、有步骤地逐渐实施。

(二)出海企业、跨国公司的数据安全合规

跨国公司往往面临着两种以上数据安全相关法律体系的制约和要求,简单做法是分而治之,各国分公司都遵循当地的数据安全法律行事。但这样的做法也会带来弊端,企业在管理、经营、决策等方面的成本更高。例如,两国间的数据交互受到不同法律的监管,很容易因两种法律要求的不一致,导致企业管理成本增加等问题。

以某跨国公司为例,其在欧盟和中国境内均存有数据业务,需要采集和使用个人信息,因而受到欧盟《通用数据保护条例》与中国《数据安全法》《个人信息保护法》的监管。在此背景下,开展合规管理时,应综合考虑不同法律体系的相同点和不同点,通过一套公司制度满足两地法律要求,以降低管理成本。例如在数据出境的场景中,欧盟对数据离境的要求是企业适用约束性企业规则(BCRs)或使用数据出境标准合同(SCC),数据才可出境,我国数据出境要使用网信办的标准合同并备案审核,企业应根据两地法律监管体系对数据出境要求的差异,有针对性地设计符合两地法律体系的数据出境企业规则。

(三)数据安全治理技术综合运用的成效

全面降低企业的数据安全风险,需要多种数据安全技术综合运用。以安华金和的实践经验来看,通过数据安全平台可实现对多种数据安全技术的综合使用、统一管理及调度,能够实现个人信息删除权、“可携带权”等一系列难度较高的要求。同时,分类分级后的标签数据能够与数据安全策略进行匹配和联动,从而实现对数据和数据流动的监控。因此,多种数据安全技术的综合使用,是大中型企业降低数据安全风险的有效手段。

数据安全治理落地的一些典型挑战

(一)数据分类分级的智能化、自动化

当前,很多企业已通过专业咨询机构完成对数据的分类分级,形成了数据分类分级清单和一些数据安全管理制度。但是,其数据分类分级清单和管理制度大多停留在纸面上,技术上无法直接运用。

面对庞大的数据量,分类分级要以“自动化”为主,“人工”为辅。在安华金和的技术演进中,分类分级工具使用了数据内容识别、关键字分析、机器学习、智能关联、行业知识库等一系列技术,极大提升了自动分类分级的效率和准确率。

数据资产和数据分类分级清单保存在自动化工具中,不但可以导出清单,还可以通过工具提供的 API,将分类分级工具和其他数据安全技术对接,使其他的数据安全技术能够直接识别分类分级后的标签数据。同时,数据安全专家能够将数据安全管理制度、行业规定、国家法律等的不同要求,拆解形成技术化的语言,结合数据标签,匹配业务需求和场景,制定安全策略,完成数据分类分级与合规制度的技术落地。

(二)数据的分级分域存储

数据的分级分域存储需要在数据分类分级的基础上进行,根据安全需求和业务需求制定。但是,数据分级分域存储对大多数企业来说,目前难度较高。绝大多数企业在应用设计时,数据结构是以业务需求为第一位的。如果要求数据分级分域存储,那么在应用设计之初,就要以数据安全和数据分类分级为基准,构建新的数据结构。

以金融机构为例,个人敏感信息在金融系统中大量存在,分布在各个库表中。如果某新业务要求数据分级分域存储,就需要在应用架构设计时,数据结构优先考虑数据分类分级,将《金融数据安全 数据安全分级指南》中规定的金融个人敏感信息在逻辑上存储到单独的库表中。

(三)个人删除权与可携带权的运用

在《个人信息保护法》及很多行业规范中,都提到针对个人信息删除的问题。与欧盟的《通用数据保护条例》中规定的删除权不同,我国对个人信息删除的规定在技术上相对容易实现,即要求企业做到已删除的个人信息为“不可检索、不可访问”的状态。从安华金和的实践来看,履行删除权可在数据安全技术综合使用的条件下实现。履行个人信息的可携带权,与实现删除权的技术类似,也可在数据安全技术综合使用下实现。

(四)个人信息安全影响评估

《个人信息保护法》要求个人信息处理者定期进行个人信息安全影响评估,《信息安全技术个人信息安全影响评估指南》也对评估方法进行了相应阐述。从技术角度来看,个人信息安全影响的评估难度较大,主要有以下原因。

1.准确定位个人信息评估的主体

准确定位个人信息评估的主体,是有效开展个人信息安全影响评估的基础。例如在医疗行业,普通病患者、慢性病患者、特殊病患者三类人群,他们的个人信息从技术角度看是一样的。但当数据发生泄露后,对个人财产、人格权等影响程度明显不同,特殊病患者的个人信息泄露后,对个人的影响最大。因此,在对个人信息进行分类分级时,就要考虑个人信息安全影响评估的主体特征,结合实际情况采取适合的措施,针对性地进行数据保护。

2.影响个人信息安全评估的技术

对个人信息的处理过程中,对主体影响最大的方面包括数据收集、处理、共享等。无论评估涉及哪个方面,都需要多种技术运用与人工相结合的方式进行评估。例如在数据的自动化决策中,评估人员需要判断数据是否能标识某一类主体,这就需要结合数据脱敏、存储端数据识别、应用端数据识别等多种技术。

(五)数据交易的合规性

近年来,数据的流通与交易已被行业和市场认可。截至 2021 年,全国的数据交易平台已有 17家,但多数平台的数据成交量有限。一方面,如果将数据交易置于数据全生命周期来看,交易只是其中的一个环节,还有很多环节需要不断夯实。另一方面,诸如重要数据、个人信息在交易的时候,还面临着法律层面的监管。例如个人信息需要个人同意后才可交易,否则需要匿名化处理,但是,匿名化后的数据价值会在一些场景中打折扣。

隐私计算是近年来很热的一个话题,在不暴露真实数据的情况下,可以直接交换数据结果。笔者认为,目前隐私计算市场的热度高于其真实水平,很多数据交易平台虽然使用了隐私计算技术,却没有找到具体使用场景。数据的提供方不知道如何将自己的数据归类、展示,使用方也无法从纷繁复杂的数据中,快速找到自己模型需要的样例,这或许是隐私计算技术发展较慢的原因。

结语

综上,数据安全治理要辅助数字经济发展, 数据安全要贯穿在数字经济的发展过程中,为数字经济夯实前行道路 。如果一味强调安全导致过度防范,也会影响经济发展。而将数据安全弃之不顾,采用“先发展、再治理”的思路,等到问题出现必将付出惨痛代价。“不冒进、不躺平”,有规划地逐步建设发展,使得数据安全治理与数字经济的发展相辅相成,才是正确的数据安全治理之道。

(本文刊登于《中国信息安全》杂志2022年第4期

作者:北京安华金和科技有限公司 孟昊龙)

关键词: 数据安全 个人信息

上一篇:
下一篇:
精彩阅读

数据安全治理之道:安全贯穿业务发展

热点

数据安全治理要辅助数字经济发展,数据安全要贯穿在数字经济的发展过程中,为数字经济夯实前行道路。

以太坊最快将在8、9月份合并:大利好?质押砸盘?Layer2怎么办?

热点

未来一段时间,合并应该是对于ETH来说最大的利好。

吴恩达:机器学习的六个核心算法

热点

原始形式的算法仍然广泛有用——特别是因为作为一种无监督算法,它不需要收集昂贵的标记数据。

PTC数字化转型顾问高谊:数字孪生概念的物联网实践

热点

数字孪生正在迅速地被证明是数字化转型的关键战略加速器,可以释放工业互联网和增强现实所创造的数据价值。

阿里云研究院院长肖利华:数智化敏捷组织——重构升级与进化

热点

智能决策,包括智能化业务决策、业务流程智能优化、组织结构动态调整等。

验收!用友BIP助力中能汽轮破解“边设计边生产”难题

热点

近日,杭州中能汽轮动力有限公司(以下简称中能汽轮)数智化项目验收会成功举行。

谁在押注Web3?

热点

涌入的参与者,都在赌一个美好的明天,他们现在不怕泡沫,而是怕自己入场慢了。

硬核阅读|XR时代需要什么样的操作系统?

热点

而在Android本身基于2D触控屏幕设计,从系统侧看来,一个应用就是一个全屏的框,只能通过框内的点击、滑动进行交互。

九乐观点|整体系统地认识网络安全与发展

热点

整体系统地认识网络安全与发展。

财富

一夜跌去740亿美元 特斯拉裁员警报拉响

资讯

在不少美国企业开始卷入裁员潮后,特斯拉也拉响了史上最大裁员的警报。未雨绸缪,CEO马斯克警告说,特斯拉一定要关注成本和现金流,未来的

英特尔将投资4亿欧元打造zettascale超级计算中心

资讯

据 Tom& 39;s Hardware 报道,本周,英特尔和巴塞罗那超级计算中心(BSC)表示,他们将投资 4 亿欧元(约 28 56 亿元人民币)建立一个实

因芯片短缺,标致雪铁龙与菲亚特克莱斯勒合并完成

资讯

据国外媒体报道,芯片短缺问题影响了由菲亚特克莱斯勒(FCA)和标致雪铁龙集团(PSA)合并而成的汽车制造商Stellantis的汽车产量。外媒报道称,

印度社交媒体公司获近3亿美元融资估值高达50亿美元

资讯

据国外媒体报道,消息人士透露,印度社交媒体公司ShareChat的母公司Mohalla Tech已经在一轮新的融资中筹集到了近3亿美元的资金,公司估值

微软开发“恢复应用程序”新功能:点击一下就恢复已被删除的程序

资讯

对于很多用户来说,想要恢复误操作删除的软件都是一件有些麻烦的事情,即便是在微软商店的软件,想要重新下载也需要在库中进行翻找。但目前

麻省理工学院新研究:用AI控制自主车辆的速度

资讯

没有人喜欢在红灯前等待。但有信号灯的十字路口对司机来说不仅仅是个小麻烦,并且车辆在等待信号灯变化时会存在浪费燃料以及排放温室气体的

可转债下修转股价是特大利好 如今却喜忧参半?

资讯

多只可转债迎下修转股价,本应的利好在如今却喜忧参半,因原本投机炒作很高的可转债却离强制赎回又近了很多。按道理来说,上市公司下修转股

国轩高科宣布三元半固态电池装车应用

资讯

日前国内的动力电池公司国轩高科宣布三元半固态电池已经装车应用,电池包容量可达160KWh,能量密度260Wh kg,电动车将实现1000公里续航,百

台积电在美面临巨大挑战 斥资120亿美元扩建芯片工厂

资讯

《日经亚洲评论》报道称,台积电正在美国亚利桑那州新建一座价值 120 亿美元的芯片制造工厂,但当前进展似乎不太顺利。按照现有规划,这

“套购”模式受消费者青睐 苏宁易购打造618套系家电首选平台

资讯

国内消费市场已进入618年中购物季,套购成为了今年618家电行业的消费主题,包括家电零售企业、电商平台、家居卖场、厂商自有渠道等都在打造

以太坊最快将在8、9月份合并:大利好?质押砸盘?Layer2怎么办?

未来一段时间,合并应该是对于ETH来说最大的利好。

吴恩达:机器学习的六个核心算法

原始形式的算法仍然广泛有用——特别是因为作为一种无监督算法,它不需要收集昂贵的标记数据。

PTC数字化转型顾问高谊:数字孪生概念的物联网实践

数字孪生正在迅速地被证明是数字化转型的关键战略加速器,可以释放工业互联网和增强现实所创造的数据价值。

阿里云研究院院长肖利华:数智化敏捷组织——重构升级与进化

智能决策,包括智能化业务决策、业务流程智能优化、组织结构动态调整等。

华盛顿地铁站首次亮相为视障人士扩展旅行路线

5月25日消息,一款旨在帮助视障人士或盲人行人使用公共交通工具的应用程序在华盛顿地铁站首次亮相。该应用程序名为Waymap,旨在为盲人和视

2022年情况又要变了!华硕高管:今年PC恐怕要供过于求

这两年来,由于疫情导致的居家办公及远程教育需求爆发,一直在下跌的PC市场枯木逢春,2021年更是创下了2012年以来的最快增长,然而2022年情

垃圾佬的心头好!西数新款固态盘SN740曝光

对于DIY垃圾佬来说,散片、拆机件、工包……这些名词怕是并不陌生。本周,西数推出了主要供应OEM厂商的新款固态盘SN740。SN740升级到了第五

虚假宣传、误导消费者 倍至冲牙器关联公司被处罚

后来者要想在激烈的市场竞争中立足,如果可以背靠巨头享受大树底下好乘凉的红利,那自然是皆大欢喜,没有这个福气,也大可凭借自己一步一个

吉利几何EX3功夫牛高居榜首,4月投诉量230起

近日,车质网发布了2022年4月车型投诉排行八卦(前30名),其中有不少产品的出现属实让人没想到。具体来看,吉利几何EX3功夫牛高居榜首,4月

“说好了未达到目标全额退款,结果都是骗人的!”

春天不减肥,夏天徒伤悲。一波减肥大军抱着坚定的信念踏上征途,发现身边各式各样的高端减肥训练营正打着健康减肥封闭管理保质保量包吃包住