数据安全“紧箍咒”开始起作用,或成企业经营过程中必经之题

日期:07-05
数据安全暗网比特币

原标题:【等深线】数据安全“紧箍咒”

来源:中国经营报《等深线》

记者/屈丽丽编辑/郝成

“很多企业在收集数据时不遗余力,但谈到数据安全治理时往往两手一摊,无能为力。”天空卫士董事、合伙人、高级技术总监杨明非告诉《等深线》记者。

事实上,不仅是技术公司,提供数据安全合规的法律服务业务也开始骤热。北京安理律师事务所高级合伙人王新锐律师告诉记者:“从2015年之后,我们接触过几百家有数据安全服务需求的公司,很多科技、互联网等领域的头部企业都来进行过咨询。”

一方面是企业对数据安全关注度的提升,另一方面则是对数据安全治理落地觉得无从下手。“缺乏专业人才支撑的企业都感觉起步非常困难。”杨明非说。

然而,毋庸置疑的是,伴随大数据时代的来临,自动驾驶、人工智能、人脸识别的不断升级,尤其是在企业进行数字化转型的浪潮之下,数据已经成为重要的生产要素,数据创新、数据驱动业务发展的模式正成为主流,企业普遍处于数据饥渴的状态,大量收集存储数据。但另一方面,全球数据黑产的成熟运作正极大地威胁到企业的数据安全,如何防止数据泄漏,是企业无法回避的问题。

这也让涉及到个人信息保护的数据安全正成为企业一个全链条的工作系统,从数据的收集到分析、存储、传输、查询、利用和删除整个全生命周期的各个环节中,如何保证数据不被滥用正变得敏感而重要。

“以前消防对大部分有经营场所的企业是必过的项目,数据安全以后也可能会做成企业IT领域或整个经营过程中必过的题目。”杨明非表示。

显然,从问题的无法避免到企业的“无从下手”,突显了当前数据安全治理的现状。“数据安全保护的困难主要是全社会的安全意识还没有达到应有的高度;对数据治理还没有科学的认知;个人信息保护和隐私保护的有效个人维权能力不足;数据安全的生态环境还没有形成;数据安全的相关标准缺乏;数据安全监管的技术手段不足。”中国政法大学互联网金融法律研究院院长李爱君教授表示。

数据黑产:暗网、比特币拉升风险

“从立法的时间来看,《数据安全法》这部法律在历次立法中通过的速度是非常快的,从一审稿到三审稿最终通过,历时不到一年时间。”王新锐告诉记者。

在王新锐看来,超常规的立法速度背后,一定是国内外出现了新型风险。而新型风险就包括了和快速发展的数字经济同时增长的数据黑灰产。

的确,公开信息显示,2018年9月7日,《数据安全法》列入十三届全国人大常委会立法规划,同时处于第一类项目,即条件比较成熟、任期内拟提请审议的法律草案。

从2020年6月28日,到 2021年6月10日,《数据安全法》历经三次审议获得通过,并将自2021年9月1日起施行。

而快速立法的背后,似乎隐藏着一个稍为复杂的故事。

近10年来,全球很多科技巨头公司,尤其是金融机构都遭遇了严重的信息泄露事件。就在今年4月7日,拥有超7亿名注册用户的职场社交平台LinkedIn遭遇了大规模的数据泄露事件,5亿名LinkedIn用户的数据包在黑客论坛上出售,泄露的数据中包括用户的名字、电子邮件地址、电话号码、工作场所信息等。

时隔仅仅一个月,新加坡大华银行对一起涉及1166名中国客户的信息泄漏事件在官网公开致歉。

加州大学伯克利分校计算机系教授宋晓冬指出:“数据泄露持续困扰企业:本世纪以来大型数据泄露事件造成的损失多在数千万美元到数亿美元之间,比如2014年Yahoo的数据泄露更是造成了高达30亿美元的损失。企业为保护个人隐私需要支付的合规费用也高达数百亿美元。”

一方面是防不胜防的数据泄露,另一方面是数据黑产的全产业链的成熟运作。

王新锐告诉记者:“近年来国际上一个重要的趋势是数据黑产的形成,尤其是在比特币等虚拟货币便捷的支付方式之下,敲诈勒索的‘全球化方案’得以普及,不再会遭遇外汇管制的问题,转账也很难再被锁定账户,因为比特币是匿名的,不能被追踪。由此,数据泄露、敲诈勒索与虚拟货币的兴起成为了一件共通的事情。”

王新锐指出:“同时,在国际上,涉及数据安全的黑客和网络犯罪正形成一个全链条的运作体系,在高度专业化的分工之下,有人做开发工具,有人做敲诈工作,有人接收虚拟货币。这也让大量的数据收集工作增加了迷惑性。”

不仅如此,不能通过百度等搜索引擎访问到的网络——“暗网”的出现,为下游的数据交易提供了相对隐蔽的场所。暗网游走于企业的视野之外,却往往备份了大量的企业数据。

王新锐告诉记者:“这是一个在全球高速发展的产业,任何国家都无法回避。此前美国出现了大的燃油运营商被勒索比特币(价值数百万美元)的事件,即便FBI出手,也只是追回了其中一部分,企业仍然受到200多万美元的损失,既然这么大的基础设施会受到攻击,我们完全可以相信,我们的基础设施,包括我们的中小企业同样有受到攻击的可能性。”

在王新锐看来:“不管是金融机构还是科技公司,在讨论《数据安全法》和数据合规治理问题时,不仅要知其然,还要知其所以然。要知道数据安全是大趋势下的必然选择。因为很多时候《数据安全法》是国家安全法的一部分,如果作为一家企业,没有一定的数据安全防护的能力,但同时又收集处理了大量的数据(比如个人信息或行业敏感信息等),这种情况下你就是天然的靶子,你的风险就不仅是企业自己被勒索、业务进行不下去,或者破产的情况,而是会给国家、社会和个人造成损失。”

然而,一个不容忽视的问题是,很多国内企业在数据合规能力建设起来之前就已经掌握了大量的数据(其涉及的用户人数甚至比很多国家全国的人口都多),这恰恰是风险所在。

“有些企业意识不到问题的重要性和影响的深远,有时会以自己是一家小公司进行辩解,说自己很小,还不具备投入的能力。但《数据安全法》的出台,规定了企业在数据安全上的义务,如果不具备相应的能力,那么就会受到处罚,要么限制你处理数据,要么就退出一个行业。”王新锐告诉记者。

数据收集:从“饥渴”到“克制”

王新锐认为:“《数据安全法》回应了国内企业在数字化转型浪潮中存在的问题。当前,传统企业要数字化,互联网企业在数字化进程中要使用数据做更多工作,同时自动驾驶、人工智能产业需要数据驱动和数据创新,这让数据尤其是敏感数据的收集、存储、使用、管理越来越暴露出风险。”

在王新锐看来,这是一个时代的重大命题。“在10年前,很多公司存储数据是个问题,比如监控视频存下来要买硬盘,以前的硬盘都是几百兆,长期存会很贵,而且海量视频如何处理也没有手段。但到了云计算时代,大数据手段的出现,让企业从原来没有能力存储数据,一下变成了数据饥渴,很多企业对待数据的态度是先存下来再说,对数据只进不出,只收不删。”

王新锐表示:“有时我们会开玩笑说,‘上古时代’的法律特点是规定了最短存储期限,很多企业说我存不下来,我不想买硬盘。现在存储已不再是问题,无论是存多少时间,在网上增加多少T的空间都很容易实现,很多企业开始进入全样本存储,全样本分析的大数据时代,这是与此前基于抽样的小范围数据进行分析的区别。所以,一提到数据收集企业就两眼冒光,尽量往前冲,借助数字化手段把各个渠道的数据都收进来,但一提到数据保护就是各种困难。”

值得注意的是,从已经出台的《网络安全法》,到《数据安全法》,再到酝酿中的个人信息保护法,其中一个共通的原则就是对数据的使用收集要克制,在克制的前提下,企业要明确哪些数据是必须要收集的,如果不能收集,企业就要有相应的制度规范。

同时,如果收集的数据存在风险,企业就需要采取措施来降低信息的颗粒度,或者采取合规的方式,比如进行匿名化、去标识化,或者做一些数据分区的隔离。

“当几乎所有企业进入到一个对数据永远渴求,永远吃不饱的状态时,法律的出台是告诉企业,收集数据要更加克制,企业收集和处理数据的能力要与数据的渴望同步增长。”王新锐表示。

换句话说,这是国家要求企业提高的能力,也是义务。合规领域的国际专家胡国辉就指出:“很多企业认为自己已经建立了风控制度,为什么还要做安全合规呢,这是因为风控本身是权利义务的平衡体,而合规则是单方面的义务。”

李爱君告诉记者:“《数据安全法》对互联网企业处理数据行为、收集使用数据的行为和数据跨境行为都做出了相应的规定,企业应该遵循这些规定,否则将面临相应的法律责任。”

李爱君指出:“举例来说,《数据安全法》第27条规定了开展数据处理活动应当建立相应的管理制度和采取必要措施,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。互联网企业处理数据就应符合此条规定。如违反该规定就应面临承担《数据安全法》第45条的法律责任。”

而在数据收集方面,《数据安全法》第32条规定:“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。”互联网企业收集数据应符合此条规定,否则将面临法律风险。

“同样,互联网企业如属于关键基础设施应符合《数据安全法》第31条。否则应承担46条的法律责任。”李爱君告诉记者。

同时,李爱君指出,《数据安全法》第21条提出了重要数据具体目录和重要数据的保护。此规定对目前个人信息的保护延伸到重要数据(非个人数据)的安全。

李爱君表示:“同时,当非个人数据的挖掘和资产化成为数字经济发展的主要生产要素,成为增加经济产值的数据生产要素,那么,通过法律对社会的非个人信息数据的应用开发给予重视就显得格外重要。”

对于企业如何承担如此多的合规义务,王新锐解释说:“你(企业)既然处理了这么多数据,国家要求你提高这方面的能力,这是一个非常自然的事情。同样,如果你没有这方面的能力,在数据收集中就要保持克制。”

对此,王新锐提醒说:“《数据安全法》和正在酝酿推出的《个人信息保护法》,对违法行为的最高处罚是很重的,一个是 5000万元,加上5%的企业营收,一个是1000万元,这样高的处罚金额在法律中是不常见的。”

企业痛点:从“静态”到“动态”的保护

王新锐认为:“《数据安全法》下的数据保护是在企业进行数字化转型的大背景下,在数据流动和使用状态中的数据保护,不同于以前防火墙式的静态保护,数据安全治理更倾向于动态保护,这也是企业的痛点和难点所在。”

杨明非也告诉记者:“《数据安全法》要求企业应当在网络安全等级保护制度(以下简称‘等保’)的基础上,履行数据安全保护义务。这意味着等保是数据安全的基础,企业要先满足等保,再发展数据安全的措施。”

来看一下等保与数据安全治理的差别:

等保在我国是一个实施有10多年的制度,全称是信息安全等级保护制度,它要求每个单位针对自身掌握的信息系统,一旦出现问题对社会所造成的影响范围制定不同的等级,同时每个不同的等级制定出相应的保护措施,根据影响等级来评估保护的措施是否到位。在《网络安全法》里,可以看到等保的相应要求,这是一个强制性的规定。比如它会要求企业对互联网的每一个访问记录做详细的日志,细化到单位里的谁向互联网发送了信息,并且保留要求的时间范围的日志,以此作为将来追溯的依据。

等保针对所有的行业,比如银行、医院、教育、政府机构、关键基础设施等等,只要达到一定的社会影响,就必须去保护系统的安全。

不过,与数据安全相比,等保就相当于一栋刚修好进行交付的大楼,这栋大楼里的门窗锁就是它的“等保措施”,而在此之后,大楼可能会装监控、摄像头、X光机或者类似机场的安检设备,这才是数据安全。

“防盗门是直接把人拒之门外的,但安检则是检查合格后可以进去,所以,数据安全是更高层面的安全措施,它不会阻碍数据的流动。”杨明非比喻说。

对此,全国人大常委会法工委发言人臧铁伟也曾指出,作为数据领域的基础性法律,《数据安全法》坚持了安全与发展并重,对支持促进数据安全与发展的措施、推进政务数据开放利用等作出相应规定,充分发挥数据的基础资源作用和创新引擎作用,促进以数据为关键要素的数字经济发展。

杨明非也告诉记者:“《数据安全法》一方面要数据安全,另一方面也保护数据的交易和流通,鼓励使用大数据创新,鼓励使用数据驱动业务,这是企业的难点所在。”

体现在企业收集和使用数据方面,王新锐认为:“企业进行数据处理需要有合法基础,在不涉及公共利益的绝大多数情况下需要获得用户(个人信息主体)的授权同意,以前可能有各种擦边球,但随着个人信息保护法的出台,对用户同意的要求会越来越高。”

王新锐指出:“同时,企业传统的数据保护是一个保险箱式的保护,把数据锁起来,是一个静态的管理。现在企业不同业务部门获得的数据,要在流动中由多方主体共用,比如会涉及到个人、企业、中间的服务商等,数据使用的主体众多,就会成为风险中的痛点。”

王新锐还表示:“此外,企业和个人在数据处理关系上,虽然原来法律上不太对等,但新的法律(包括《民法典》和个人信息保护法)正在赋予个人更多的权利,从而让个人拥有主张权利的基础。比如,在已生效的《民法典》中个人拥有了删除权、查询权,制定中的个人信息保护法中继续对这些权利进行了重申和细化。”

举例来说,以前个人向企业提出查询的需求,企业往往会拒绝,因为没有处罚依据。现在有了明确的法律,比如个人向企业巨头要求删除个人数据,企业就需要满足。

这也意味着,企业要在数据的流动中建立起制度的管控,除了满足个体的权利之外,还要满足多方的要求,包括监管,包括立法,甚至包括中间也会有舆情带来的影响。

落地重点:分类分级和风险防控

杨明非告诉记者:“《数据安全法》出台后,很多企业客户的问题集中在最原始的基点上:不知道从哪里开始,无从下手。比如不知道如何制定规章制度,不知道采用什么样的技术手段来支撑这些规章管理制度。”

对此,杨明非建议,首先,企业要建立数据安全相关的管理制度。这套管理制度决定你如何合规,要找出法律法规中与自身业务相关联的内容,根据自身业务发展战略、公司治理、IT战略、风险容忍度来制定相应的制度。比如如何管理数据,哪些数据能流动出企业,哪些不能流动出企业,是必须用公司电脑来处理企业数据,还是也可以用私人电脑来处理企业数据,公司制度里都需要做出定义。

二是企业要对数据进行分类分级。分类分级的概念是要把企业所有的数据,按照重要级别的程度,或者叫作风险级别的程度,进行类别定义。就像一个人会对自己的家庭财产进行分类一样,对企业来说,数据资产也需要明确哪些是更重要的,哪些是不重要的,对最重要的就要妥当地保护起来。

三是采用技术手段来支撑管理制度和分类分级结果。有了管理制度和数据的分级分类结果后,就可以根据IT系统的实际情况,制定相应的数据安全保护策略,并通过技术手段来支撑保护策略的实现。围绕数据为核心的技术手段和传统针对网络威胁防护的手段不一样,数据安全保护的技术手段首要的要求是能支持分类分级,根据不同的IT场景来实现相应的保护措施。

在杨明非看来,数据资产最常见的是个人隐私信息,对此企业必须要加以保护。其次是知识产权,包括企业的图纸、源代码、生产工艺、配方等。再次是企业的经营信息,比如上市公司的财务报表,在发布之前属于一级机密,这些都属于企业里最重要的数据资产。同时,企业经营过程中可能会产生很多的数据,包括内部的规章、流程、管理制度、员工通讯录,这些数据也需要分级分类,并确定不同的保护级别。

需要注意的是,不同行业数据资产的重要性也有区别,比如制造业是知识产权密集型的,其图纸、生产工艺、配方就属于其生命线。对于金融行业来说则属于强监管行业,对数据资产的分级分类,央行已经有具体的指导。

一位要求匿名的采访对象就告诉记者:“对互联网企业来说,自身进行数据安全治理、自我监管的意愿可能并不强烈。以前隐约在广告角度上有串通的可能性,出现这种可能性,为了推销更好的广告,你在门户网站浏览的数据可能会被发到某电商交易平台,你会发现平台推荐的产品就是你曾经浏览的内容,这样对商家来说你购买的可能性会很大,这也是它们愿意串通的原因。”

截至发稿,记者曾采访几大互联网平台型企业,都因数据安全问题过于敏感而被婉拒。

不过,杨明非认为,如果没有监管对数据安全治理的推动,仅在支付领域,一旦把个人的所有信息拉在一起,后面的恶性事件就会出现,是非常危险的。

因此,杨明非建议,互联网企业一定要在数据分类分级的基础上,建立起风险防控的制度。

杨明非指出:“互联网企业有很多特点:一是业务变化比较快,拥有快速响应、轻资产等典型特点,所以在数据安全上不能是一锤子买卖,比如分级分类要为未来留下接口,做成持续动态的模式。二是互联网公司技术力量是比较强的,有各种各样的想法,但有时也过于迷信技术,或更重视技术,不太重视流程、理念、管理方式,包括对数据安全的看法很多还是停留在传统的网络威胁的防护方式上。事实上,一个数据安全治理的项目,50%的成功点在于咨询方面的内容。”

而咨询的核心就是风险管控。举例来说,互联网企业在咨询时最喜欢问的一个问题是:“这个问题你能不能防得住?”但事实上,数据安全是一套风险管控,不是过去谈论的“零和一”的安全防护,这是因为场景发生了变化,数据不再是存在硬盘里锁在保险柜里,绝对不能丢失的保护方式,而是需要一个风险防控的体系保证数据可以流动。

杨明非表示:“数据的价值在于流动,流动的目的在于共享,你要做分析和使用,这样数据才有价值,锁起来没有价值。因此对数据安全体系来说,风险管控首先就是要最大限度地降低风险事故的发生,其次是关注人的因素在中间产生多大的影响。在这两个维度上,再去评估数据安全的风险,以及要采取怎样的措施或手段,这不是单纯的技术性体系,更不是上了哪个技术产品就可以高枕无忧的问题。”

从这些维度上来看,企业进行数据安全治理的时候,需要从企业高层就引起足够的重视,业务部门、风险管控部门、审计部门、IT管理部门、安全部门等共同参与形成数据安全治理小组。

杨明非介绍说:“比如数据的分级分类,业务数据中有几十种,哪些重要哪些不重要,需要业务部门参与来进行重要程度区分,比如企业的日产量、生产时的温度高低,哪些数据是不能对外泄露的,必须由业务部门来做指导。”数据安全治理小组根据业务部门的这些需求,形成相应的规章制度最终制定相应的数据安全的策略,并且采用相应的技术产品来支撑这些策略的执行。

应对进行时:小企业甩手大企业花费巨资跟进

对企业来说,数据安全治理做还是不做,有两个因素影响着管理者的决策。

其一,去年底今年初,金融领域的几起数据泄露事件引发的巨额罚单,为企业敲响了警钟。“其中有一个大银行由于1300条用户数据的丢失,被罚1300万元,相当于一条数据1万元。”

其二,企业进行数据安全治理的投入费用,虽然没有专门调研,但业内人士透露:“有一些银行仅咨询项目就已经过千万元,大项目肯定是过千万级别的,甚至更多,小的项目过百万元也是妥妥的。互联网企业投入几百万元的都有。”

在巨额的花费之下,小企业尤其是初创企业,对“数据安全”的问题往往就放手不管了。比如有小企业主就告诉记者“业务还没有跑起来,不会去管数据安全”,当然这也成为漏洞最大的地方。

而大企业则采取了完全不同的态度,以华为为例,华为在内部将数据分类为五级,对不同类别不同级别的数据采取不同的安全处理方式,对级别越高的数据,采取强化保护的力度也会越强。

“先分类,然后强化保护,不是平均方式的保护,恰恰是《数据安全法》的一个重要思路。”内部人士告诉记者。

据服务腾讯、华为等大型互联网科技巨头的律师透露:“大型公司对国家法律中有关数据安全的硬性要求会特别关注,比如对于在与各方合作提供行业解决方案时涉及到不同场景、不同过程中的数据的风险评估,是否会存在与国家立法趋势有抵触或矛盾的地方,都会进行详细的咨询。”

同时,不仅是国内企业,很多在国内的外资公司,尤其是高端制造企业、汽车企业、医疗企业,比如宝洁、联合利华、西门子等,虽然这些企业的全球合规体系都已经做完,但在中国本土如何落地依然是他们关心的重要问题。

此外,中国制造企业、物联网企业等如何出海,数据安全也正成为一个关键性问题。举例来说,国内企业原来将智能机器人、扫地机、智能家居等产品出口海外,由于中国制造既便宜,软件体验又好,在国际市场很有竞争力,但现在卖出去以后面临的问题是数据能否回传,如果回传,是回传到新加坡还是中国大陆,回传后是否会有问题,是否会被欧洲的消费者或其他国家提出异议,就变得非常重要。

“这也提醒很多出口企业,当敏感数据或敏感信息有可能与国家安全产生联系时,数据的问题正在被高度政治化,即便是东南亚、印度、俄罗斯、巴西这些国家在数据安全方面也有很多立法,需要引起特别的重视。”王新锐表示。

事实上,国外很多企业的案例已经提示了数据安全对企业经营行为的重大影响。“在美国,DTC基因组学的最新裁员表明大众对隐私的强烈要求。23&Me和Ancestry公司宣称,隐私方面的顾虑是造成基因测试市场下滑的主要原因。并直接带来了公司的裁员行为,前者解雇了100名员工,后者则裁员6%。”宋晓冬表示。

宋晓冬接着说:“另一个案例则显示,OASIS平台启用的Beta测试,允许用户控制自己的基因组数据。”

而在国内,当涉及生物信息等敏感数据时,企业对生物信息的收集越少越好。《数据安全法》的原则是不要使用,如果必要场景下必须使用,首先要告知用户;其次要评估,评估可能给个人造成损失;再次,不要认为告知就可以随便用,在针对数据的采集、存储制定风险防范措施时,需要特别注意法律规定。

王新锐告诉记者:“在实践中,没有企业说不要做数据保护,更多的是在说数据保护过程中的规则比较抽象,对同行业做法与法律不一致或冲突的地方有疑惑,希望做一个方案起到保护数据的作用,同时不断推进与法律规则的对齐。”

有要求匿名的行业人士告诉记者,“《数据安全法》的出台,会让很多企业在数据安全管理走向合法化和规范化,尽量杜绝黑色地带,但在流量模式下,灰色地带却在所难免,商业利益的驱动总会让人们找到一个利益最大化的灰色边界,这是很难避免的,所以,立法需要不断地去堵塞漏洞,这将是永远的博弈。”

不过,值得注意的趋势是,当前大企业的心态普遍发生了变化,从追求更大规模、更高利润、激进扩张开始变得越来越追求稳健,合规成为当前巨头和大企业们的普遍选择。因为伴随国内法律的健全,尤其是惩罚机制的完善,企业虽然通过违规可能获得稍高一些的利润,但付出的代价却可能是巨额的罚单及其他不利后果。

“所以,在大企业普遍选择‘数据安全合规’的背景下,整个社会的‘数据安全合规’也会向前迈进一大步。因为对于数据交易来说,只有这些大企业才是有实力的买家,当大企业缺乏动力的时候,数据的价格就会下降,因为这是一个整体的链条。可以预计,《数据安全法》的实施,将会从对大企业的压力逐渐释放到整个经济体系中。”上述人士表示。

“以人为本”:连接数据安全与数据创新

为了应对数据泄露可能造成的损失,企业一个典型的做法就是将敏感信息通过脱敏、加密的方式和手段,让其变得没有那么敏感,减少数据泄露之后给相关方造成的损失。比如泄露的数据并不是照片或视频,而是一组特征值,是眼睛和眼睛之间的距离,或是眼睛和嘴之间的距离,这样即便泄露出去,对个人也不会构成特别大的风险。

再比如,有些企业会采用水印的技术防止数据泄露:一种是显性的水印,当你打开的一篇文章属于企业的机密文件时,WORD的背景就会变成你的名字,同时IP地址、机器名称显示在WORD文章的底版上。这种方式用来提醒当事人注意保密。

另一种水印是人肉眼轻易看不见的,企业在屏幕隐密的地方打上一些点或组合,如果你对屏幕截屏或者用手机拍照片,把照片发在互联网上,那么当企业把照片从互联网上拉回来时,就能知道是谁发布的。这种隐性模式往往用来做事后追查。

同时,越来越多的企业开始注意到,大数据时代的数据安全管理与传统安全管理的最大区别在于“人”。传统安全基于边界定义,讲究的是纵深防御,企业安全的概念上是“修墙”,把坏人挡在外面。而现在,数据安全要内外一视同仁,甚至由于内部人才有更多的机会获取到数据,由此,以人为中心保护数据安全就变得更加重要。

“这首先是由于数据安全的敌人都是人。其次,从安全的角度来说,数据流动下唯一不能隔离的就是人。再次,人对数据资产的操作和使用,好的方面会促进业务的发展,坏的方面就是会产生数据安全事件。所以,大型企业非常流行的一种方式就是在零信任基础上对人进行行为分析(UEBA:user and entity behavior analytics)。”杨明非告诉记者。

举例来说,行为分析的一种方式就是通过算法分析你当下行为与过去行为的差异,通过对比发现异常。比如说有人每天要处理300个身份证号,这是他的业务,突然某一天这个人处理了3000个身份证号,这种异常就会提示检查他的系统是否被黑客侵入。

如今,在数据驱动业务模式下,任何一家公司的财务、营销、技术人员,如果不懂数据分析,已经百分百没有了升职的机会,这意味着,公司业务部门里每个人都将被迫使用更多的数据来支撑自己的业务,这与过去是一个很大的不同点。同时也倒逼企业需要不断提升数据安全保护的意识。

由此,除了对数据要进行分级分类,不能胡子眉毛一把抓外,公司内部数据安全的无缝管理也变得越来越重要。比如公司很多员工接触了大量个人信息,但没有明确清晰的概念,不知道什么叫个人信息,什么叫隐私,所以有时会无意泄露,或者明知故犯却并不了解问题的严重性,这时企业就需要在内部进行培训,涉及到数据的使用及其规则时,重点申明哪些是违反法律、违反道德的,哪些是需要特别保护的。

新加坡有一句名言:“数据驱动创新,数据保护驱动信任。”(Data is driving innovation。 Data protection& privacy is driving trust。)这句话形象地说明了数据创新与数据安全之间的关系,即从本质上来看,如果没有用户的信任,创新是不可持续的,是不被认可的,这也说明数据安全的背后,反映的恰恰是‘科技以人为本’‘科技向善’的精神。”王新锐表示。

市场监管总局通报18批次食品抽检不合格,涉及天猫、京东等平台 360上线游玩同好社区“顽皮橙旅行”App 欲抢占旅游细分赛道
相关阅读: