近年来,数据价值在各行业领域所发挥的作用与日俱增,构建与之相适应的数据安全保障体系显得尤为关键,即 系统性降低数据安全风险,以合理的安全成本保障数字化转型,适应新的数据应用技术和应用场景 等。在此背景下,仅依靠单一的数据安全技术或单一场景的数据安全能力,已不能满足当前多样化的数据安全需求,也不能满足《数据安全法》《个人信息保护法》中的合规要求。所以,构建数据安全保障体系应从认识论、方法论、综合技术能力、行业特点、最佳实践以及投入成本等多方面进行考量。这种依循平衡数字化业务发展与数据安全综合治理的思路,是 数据安全治理的精髓所在,即“安全贯穿发展” 。
数字时代,如何处理发展和安全的关系
(一)对数据要素的利用必须以安全为前提
数据要素的利用,在于提升数据的可访问性、可解释性和可索引性,同样一份数据,经过不同使用者的处理,能够发挥出不同的数据价值,这是数据要素利用的关键。数据中的信息涉及商业机密、个人隐私和国家安全,所以对数据要素的利用需要以安全为前提。《网络安全法》中强调数据的保密性、完整性、可用性,如今,对数据安全还应考虑在其全生命周期中的安全可控,以及对个人、社会、国家的影响。数据要素利用和数据安全二者之间的关系是辩证的,诸多法规的出台为数据利用划定了红线,但还需要考虑所在行业属性及其自身属性,对数据要素的利用需要健全的数据安全机制,认识数据行业属性、自身属性,监督数据安全规范被有效遵守并严格执行。
(二)数据安全的中长期规划和短期目标的平衡
构建数据安全保障体系的目标是降低数据所面临的风险,而风险贯穿于数据的全生命周期之中。企业开展数字业务,构建数据安全体系,首先要明确自身的行业属性和业务数据的属性。例如,某电力企业即属于能源行业,也属于关键基础设施,产生的数据既有企业数据、又有每个家庭的电力数据,所以该企业的数据安全关系到国家、社会和个人三个层面。开展数据安全治理工作,企业应充分考虑相关法律、行业标准、安全技术等要求,制定适合自身实际情况的中长期数据安全治理目标,并围绕这个目标开展数据安全治理的规划,通过行业经验和自身实践,达到数据利用与数据安全之间的平衡。
其次,数据安全不是一蹴而就的工作,具有长期性。企业一方面要把数据安全和生产安全同等看待、长期经营。数据安全治理本身具有复杂性和长期性,中长期规划需要从组织、制度、技术、运营、优化等多方面加以思考并付诸实践。另一方面,通过实现短期目标,可以解决企业所面临数据安全风险中最为突出的问题。例如,上述的电力企业在进行业务测试时,使用的测试数据是真实数据,数据丢失的风险较大。通过数据的去标识化技术及相应的管理措施,实现测试数据的去标识化,可以降低真实数据的丢失风险。
因此,企业的数据安全治理需要在体系化的中长期规划建设,与迅速启动取得效果之间进行平衡。去标识化、审计、分类分级是当前作为数据安全治理比较好的启动点。
(三)数据安全治理成本与收益的平衡
数据安全治理工作需要考虑成本与收益的平衡,才能取得企业需要的治理效果。
1.数据安全治理工作的各项成本
经济成本。很多企业通过项目实施建立数据安全治理体系,后期还需要对治理体系进行优化、技术迭代等。当前数据安全建设成本大体占整体信息安全建设的 10%-39%,并在逐渐加大,大型客户的投资从几百万到几千万不等。
管理成本。首先,数据安全需要长期的管理和运营,需要建设专门的组织结构推动数据安全建设,并将数据安全的管理要求贯彻到日常的数据处理和维护工作中,以及业务开展和企业风控管理中。影响管理成本的因素,主要分为外部和内部两方面。外部因素包括企业经营的法律、监管环境,不仅要考虑国内环境,还要根据业务的情况,对国外的相关环境加以考量。此外还包括数据安全市场环境,即数据安全发展趋势、产业结构、能够协调的资源配置等,以及技术革新对企业经营环境的影响。内部因素包括企业制定数据安全管理的组织架构及决策链,是否能够及时、全面的发现企业数据安全所面临的风险,从而做出正确的决策。其次,企业制定的数据安全管理制度、规范、操作标准等,是否能够有效落实。第三,企业内部环境变化,相关数据安全措施,是否能够适时调整。
人力成本。数据安全建设需要配置专业的技术人员,如果企业数据包含个人信息,按照规定还应配置个人信息保护的专门职位。当前,数据安全领域非常需要“跨界”人才,例如同时具备法律、数据安全技术的混合型人才。
2.数据安全治理的收益
数据安全合规。防止法律诉讼和监管处罚。数据安全治理体系是否已经建设、完善,在面临诉讼和处罚时都是自证的重要依据。例如在数据出境中,必须要识别出境数据的类型、数量,以及评估接收方的数据保护能力等。
降低企业商业风险。开展数据相关业务时,会有大量的重要数据和个人信息被收集、存储、处理、交互,客户信息、个人资料的泄露不仅面临监管的处罚,还会面临企业商业信誉的损失。同时,数据安全的合规甚至会影响企业业务经营的合法性。通过数据安全治理,体系化地对数据安全风险进行规避,能够确保企业开展业务时数据安全风险可控,保障持续化经营。
协助企业数据资产有效利用。数据安全治理是为了“数据使用自由而安全”,需要对数据和生命周期有清晰的认识和技术管控,能为数据资产的利用起到推动作用。但对企业内部数据资源的挖掘利用,以及数据对外的共享与协同利用,需要在合法合规以及有效技术手段下。
数字时代,数据安全治理的主要内容
数据安全治理的核心内容是“ 降低数据风险,促进数据有序利用 ”。安华金和通过不断和实践,将数据安全治理工作通过管理体系、技术体系和运营体系进行落地。在管理体系中,需要梳理各类合规要求,并结合企业实际制定一套数据安全制度。在技术体系中,通过一系列数据安全技术的综合运用,对上述制度进行技术化实现,并在不同场景中有不同的侧重。在长期运营过程中,需将管理者的思路落实,而且能根据企业内外部的环境变化,不断调整优化管理制度和技术运用,做到对合规变化和风险变化的及时应对。
(一)中国本土企业的数据安全合规
图 企业数据安全治理工作
简单来讲,企业需要了解自身所属行业面临的合规要求,制定数据安全目标,分析数据使用的各个重点场景,通过“管理+技术”的手段来降低数据安全风险。并能够通过数据安全各类评估,证明企业履行了数据安全保护义务。
按照国家相关法律、法规、标准等对数据安全的要求,可以将国内的数据安全行业大致分为两类,即面向企业(ToB)与面向用户(ToC)。ToB 行业往往只有企业数据,例如能源、海洋、国土等行业;ToC 行业除了企业数据外,还会有大量的个人信息,例如金融、电信、医疗、教育等行业。
ToB 行业以《数据安全法》及各行业规范为基准,除保障数据的完整性、可用性、保密性外,还要通过各种措施降低数据风险,避免因数据安全事件的发生对国家、社会造成负面影响。
ToC 行业以《数据安全法》《个人信息保护法》及各行业规范为基准,除 ToB 行业的数据安全要求外,更加重视对个人敏感信息的采集和利用,同时加大对个人信息主体人格权、生命财产、公平权等的针对性保护。
但是,不管是哪个行业,合规对于大型企业来说都是具有挑战性的工作,这也是本文的观点,即数据安全治理工作不是一蹴而就,而是需要有体系、有规划、有目标、有步骤地逐渐实施。
(二)出海企业、跨国公司的数据安全合规
跨国公司往往面临着两种以上数据安全相关法律体系的制约和要求,简单做法是分而治之,各国分公司都遵循当地的数据安全法律行事。但这样的做法也会带来弊端,企业在管理、经营、决策等方面的成本更高。例如,两国间的数据交互受到不同法律的监管,很容易因两种法律要求的不一致,导致企业管理成本增加等问题。
以某跨国公司为例,其在欧盟和中国境内均存有数据业务,需要采集和使用个人信息,因而受到欧盟《通用数据保护条例》与中国《数据安全法》《个人信息保护法》的监管。在此背景下,开展合规管理时,应综合考虑不同法律体系的相同点和不同点,通过一套公司制度满足两地法律要求,以降低管理成本。例如在数据出境的场景中,欧盟对数据离境的要求是企业适用约束性企业规则(BCRs)或使用数据出境标准合同(SCC),数据才可出境,我国数据出境要使用网信办的标准合同并备案审核,企业应根据两地法律监管体系对数据出境要求的差异,有针对性地设计符合两地法律体系的数据出境企业规则。
(三)数据安全治理技术综合运用的成效
全面降低企业的数据安全风险,需要多种数据安全技术综合运用。以安华金和的实践经验来看,通过数据安全平台可实现对多种数据安全技术的综合使用、统一管理及调度,能够实现个人信息删除权、“可携带权”等一系列难度较高的要求。同时,分类分级后的标签数据能够与数据安全策略进行匹配和联动,从而实现对数据和数据流动的监控。因此,多种数据安全技术的综合使用,是大中型企业降低数据安全风险的有效手段。
数据安全治理落地的一些典型挑战
(一)数据分类分级的智能化、自动化
当前,很多企业已通过专业咨询机构完成对数据的分类分级,形成了数据分类分级清单和一些数据安全管理制度。但是,其数据分类分级清单和管理制度大多停留在纸面上,技术上无法直接运用。
面对庞大的数据量,分类分级要以“自动化”为主,“人工”为辅。在安华金和的技术演进中,分类分级工具使用了数据内容识别、关键字分析、机器学习、智能关联、行业知识库等一系列技术,极大提升了自动分类分级的效率和准确率。
数据资产和数据分类分级清单保存在自动化工具中,不但可以导出清单,还可以通过工具提供的 API,将分类分级工具和其他数据安全技术对接,使其他的数据安全技术能够直接识别分类分级后的标签数据。同时,数据安全专家能够将数据安全管理制度、行业规定、国家法律等的不同要求,拆解形成技术化的语言,结合数据标签,匹配业务需求和场景,制定安全策略,完成数据分类分级与合规制度的技术落地。
(二)数据的分级分域存储
数据的分级分域存储需要在数据分类分级的基础上进行,根据安全需求和业务需求制定。但是,数据分级分域存储对大多数企业来说,目前难度较高。绝大多数企业在应用设计时,数据结构是以业务需求为第一位的。如果要求数据分级分域存储,那么在应用设计之初,就要以数据安全和数据分类分级为基准,构建新的数据结构。
以金融机构为例,个人敏感信息在金融系统中大量存在,分布在各个库表中。如果某新业务要求数据分级分域存储,就需要在应用架构设计时,数据结构优先考虑数据分类分级,将《金融数据安全 数据安全分级指南》中规定的金融个人敏感信息在逻辑上存储到单独的库表中。
(三)个人删除权与可携带权的运用
在《个人信息保护法》及很多行业规范中,都提到针对个人信息删除的问题。与欧盟的《通用数据保护条例》中规定的删除权不同,我国对个人信息删除的规定在技术上相对容易实现,即要求企业做到已删除的个人信息为“不可检索、不可访问”的状态。从安华金和的实践来看,履行删除权可在数据安全技术综合使用的条件下实现。履行个人信息的可携带权,与实现删除权的技术类似,也可在数据安全技术综合使用下实现。
(四)个人信息安全影响评估
《个人信息保护法》要求个人信息处理者定期进行个人信息安全影响评估,《信息安全技术个人信息安全影响评估指南》也对评估方法进行了相应阐述。从技术角度来看,个人信息安全影响的评估难度较大,主要有以下原因。
1.准确定位个人信息评估的主体
准确定位个人信息评估的主体,是有效开展个人信息安全影响评估的基础。例如在医疗行业,普通病患者、慢性病患者、特殊病患者三类人群,他们的个人信息从技术角度看是一样的。但当数据发生泄露后,对个人财产、人格权等影响程度明显不同,特殊病患者的个人信息泄露后,对个人的影响最大。因此,在对个人信息进行分类分级时,就要考虑个人信息安全影响评估的主体特征,结合实际情况采取适合的措施,针对性地进行数据保护。
2.影响个人信息安全评估的技术
对个人信息的处理过程中,对主体影响最大的方面包括数据收集、处理、共享等。无论评估涉及哪个方面,都需要多种技术运用与人工相结合的方式进行评估。例如在数据的自动化决策中,评估人员需要判断数据是否能标识某一类主体,这就需要结合数据脱敏、存储端数据识别、应用端数据识别等多种技术。
(五)数据交易的合规性
近年来,数据的流通与交易已被行业和市场认可。截至 2021 年,全国的数据交易平台已有 17家,但多数平台的数据成交量有限。一方面,如果将数据交易置于数据全生命周期来看,交易只是其中的一个环节,还有很多环节需要不断夯实。另一方面,诸如重要数据、个人信息在交易的时候,还面临着法律层面的监管。例如个人信息需要个人同意后才可交易,否则需要匿名化处理,但是,匿名化后的数据价值会在一些场景中打折扣。
隐私计算是近年来很热的一个话题,在不暴露真实数据的情况下,可以直接交换数据结果。笔者认为,目前隐私计算市场的热度高于其真实水平,很多数据交易平台虽然使用了隐私计算技术,却没有找到具体使用场景。数据的提供方不知道如何将自己的数据归类、展示,使用方也无法从纷繁复杂的数据中,快速找到自己模型需要的样例,这或许是隐私计算技术发展较慢的原因。
结语
综上,数据安全治理要辅助数字经济发展, 数据安全要贯穿在数字经济的发展过程中,为数字经济夯实前行道路 。如果一味强调安全导致过度防范,也会影响经济发展。而将数据安全弃之不顾,采用“先发展、再治理”的思路,等到问题出现必将付出惨痛代价。“不冒进、不躺平”,有规划地逐步建设发展,使得数据安全治理与数字经济的发展相辅相成,才是正确的数据安全治理之道。
(本文刊登于《中国信息安全》杂志2022年第4期
作者:北京安华金和科技有限公司 孟昊龙)