數據安全治理之道:安全貫穿業務發展
文│北京安華金和科技有限公司解決方案部總監 孟昊龍
近年來,數據價值在各行業領域所發揮的作用與日俱增,構建與之相適應的數據安全保障體系顯得尤為關鍵,即系統性降低數據安全風險,以合理的安全成本保障數字化轉型,適應新的數據應用技術和應用場景等。在此背景下,僅依靠單一的數據安全技術或單一場景的數據安全能力,已不能滿足當前多樣化的數據安全需求,也不能滿足《數據安全法》《個人信息保護法》中的合規要求。所以,構建數據安全保障體系應從認識論、方法論、綜合技術能力、行業特點、最佳實踐以及投入成本等多方面進行考量。這種依循平衡數字化業務發展與數據安全綜合治理的思路,是數據安全治理的精髓所在,即“安全貫穿發展”。
一、數字時代,如何處理發展和安全的關系
(一)對數據要素的利用必須以安全為前提
數據要素的利用,在于提升數據的可訪問性、可解釋性和可索引性,同樣一份數據,經過不同使用者的處理,能夠發揮出不同的數據價值,這是數據要素利用的關鍵。數據中的信息涉及商業機密、個人隱私和國家安全,所以對數據要素的利用需要以安全為前提。《網絡安全法》中強調數據的保密性、完整性、可用性,如今,對數據安全還應考慮在其全生命周期中的安全可控,以及對個人、社會、國家的影響。數據要素利用和數據安全二者之間的關系是辯證的,諸多法規的出臺為數據利用劃定了紅線,但還需要考慮所在行業屬性及其自身屬性,對數據要素的利用需要健全的數據安全機制,認識數據行業屬性、自身屬性,監督數據安全規范被有效遵守并嚴格執行。
(二)數據安全的中長期規劃和短期目標的平衡
構建數據安全保障體系的目標是降低數據所面臨的風險,而風險貫穿于數據的全生命周期之中。企業開展數字業務,構建數據安全體系,首先要明確自身的行業屬性和業務數據的屬性。例如,某電力企業即屬于能源行業,也屬于關鍵基礎設施,產生的數據既有企業數據、又有每個家庭的電力數據,所以該企業的數據安全關系到國家、社會和個人三個層面。開展數據安全治理工作,企業應充分考慮相關法律、行業標準、安全技術等要求,制定適合自身實際情況的中長期數據安全治理目標,并圍繞這個目標開展數據安全治理的規劃,通過行業經驗和自身實踐,達到數據利用與數據安全之間的平衡。
其次,數據安全不是一蹴而就的工作,具有長期性。企業一方面要把數據安全和生產安全同等看待、長期經營。數據安全治理本身具有復雜性和長期性,中長期規劃需要從組織、制度、技術、運營、優化等多方面加以思考并付諸實踐。另一方面,通過實現短期目標,可以解決企業所面臨數據安全風險中最為突出的問題。例如,上述的電力企業在進行業務測試時,使用的測試數據是真實數據,數據丟失的風險較大。通過數據的去標識化技術及相應的管理措施,實現測試數據的去標識化,可以降低真實數據的丟失風險。
因此,企業的數據安全治理需要在體系化的中長期規劃建設,與迅速啟動取得效果之間進行平衡。去標識化、審計、分類分級是當前作為數據安全治理比較好的啟動點。
(三)數據安全治理成本與收益的平衡
數據安全治理工作需要考慮成本與收益的平衡,才能取得企業需要的治理效果。
1. 數據安全治理工作的各項成本
經濟成本。很多企業通過項目實施建立數據安全治理體系,后期還需要對治理體系進行優化、技術迭代等。當前數據安全建設成本大體占整體信息安全建設的 10%-39%,并在逐漸加大,大型客戶的投資從幾百萬到幾千萬不等。
管理成本。首先,數據安全需要長期的管理和運營,需要建設專門的組織結構推動數據安全建設,并將數據安全的管理要求貫徹到日常的數據處理和維護工作中,以及業務開展和企業風控管理中。影響管理成本的因素,主要分為外部和內部兩方面。外部因素包括企業經營的法律、監管環境,不僅要考慮國內環境,還要根據業務的情況,對國外的相關環境加以考量。此外還包括數據安全市場環境,即數據安全發展趨勢、產業結構、能夠協調的資源配置等,以及技術革新對企業經營環境的影響。內部因素包括企業制定數據安全管理的組織架構及決策鏈,是否能夠及時、全面的發現企業數據安全所面臨的風險,從而做出正確的決策。其次,企業制定的數據安全管理制度、規范、操作標準等,是否能夠有效落實。第三,企業內部環境變化,相關數據安全措施,是否能夠適時調整。
人力成本。數據安全建設需要配置專業的技術人員,如果企業數據包含個人信息,按照規定還應配置個人信息保護的專門職位。當前,數據安全領域非常需要“跨界”人才,例如同時具備法律、數據安全技術的混合型人才。
2. 數據安全治理的收益
數據安全合規。防止法律訴訟和監管處罰。數據安全治理體系是否已經建設、完善,在面臨訴訟和處罰時都是自證的重要依據。例如在數據出境中,必須要識別出境數據的類型、數量,以及評估接收方的數據保護能力等。
降低企業商業風險。開展數據相關業務時,會有大量的重要數據和個人信息被收集、存儲、處理、交互,客戶信息、個人資料的泄露不僅面臨監管的處罰,還會面臨企業商業信譽的損失。同時,數據安全的合規甚至會影響企業業務經營的合法性。通過數據安全治理,體系化地對數據安全風險進行規避,能夠確保企業開展業務時數據安全風險可控,保障持續化經營。
協助企業數據資產有效利用。數據安全治理是為了“數據使用自由而安全”,需要對數據和生命周期有清晰的認識和技術管控,能為數據資產的利用起到推動作用。但對企業內部數據資源的挖掘利用,以及數據對外的共享與協同利用,需要在合法合規以及有效技術手段下。
二、數字時代,數據安全治理的主要內容
數據安全治理的核心內容是“降低數據風險,促進數據有序利用”。安華金和通過不斷和實踐,將數據安全治理工作通過管理體系、技術體系和運營體系進行落地。在管理體系中,需要梳理各類合規要求,并結合企業實際制定一套數據安全制度。在技術體系中,通過一系列數據安全技術的綜合運用,對上述制度進行技術化實現,并在不同場景中有不同的側重。在長期運營過程中,需將管理者的思路落實,而且能根據企業內外部的環境變化,不斷調整優化管理制度和技術運用,做到對合規變化和風險變化的及時應對。
(一)中國本土企業的數據安全合規
圖 企業數據安全治理工作
簡單來講,企業需要了解自身所屬行業面臨的合規要求,制定數據安全目標,分析數據使用的各個重點場景,通過“管理+技術”的手段來降低數據安全風險。并能夠通過數據安全各類評估,證明企業履行了數據安全保護義務。
按照國家相關法律、法規、標準等對數據安全的要求,可以將國內的數據安全行業大致分為兩類,即面向企業(ToB)與面向用戶(ToC)。ToB 行業往往只有企業數據,例如能源、海洋、國土等行業;ToC 行業除了企業數據外,還會有大量的個人信息,例如金融、電信、醫療、教育等行業。
ToB 行業以《數據安全法》及各行業規范為基準,除保障數據的完整性、可用性、保密性外,還要通過各種措施降低數據風險,避免因數據安全事件的發生對國家、社會造成負面影響。
ToC 行業以《數據安全法》《個人信息保護法》及各行業規范為基準,除 ToB 行業的數據安全要求外,更加重視對個人敏感信息的采集和利用,同時加大對個人信息主體人格權、生命財產、公平權等的針對性保護。
但是,不管是哪個行業,合規對于大型企業來說都是具有挑戰性的工作,這也是本文的觀點,即數據安全治理工作不是一蹴而就,而是需要有體系、有規劃、有目標、有步驟地逐漸實施。
(二)出海企業、跨國公司的數據安全合規
跨國公司往往面臨著兩種以上數據安全相關法律體系的制約和要求,簡單做法是分而治之,各國分公司都遵循當地的數據安全法律行事。但這樣的做法也會帶來弊端,企業在管理、經營、決策等方面的成本更高。例如,兩國間的數據交互受到不同法律的監管,很容易因兩種法律要求的不一致,導致企業管理成本增加等問題。
以某跨國公司為例,其在歐盟和中國境內均存有數據業務,需要采集和使用個人信息,因而受到歐盟《通用數據保護條例》與中國《數據安全法》《個人信息保護法》的監管。在此背景下,開展合規管理時,應綜合考慮不同法律體系的相同點和不同點,通過一套公司制度滿足兩地法律要求,以降低管理成本。例如在數據出境的場景中,歐盟對數據離境的要求是企業適用約束性企業規則(BCRs)或使用數據出境標準合同(SCC),數據才可出境,我國數據出境要使用網信辦的標準合同并備案審核,企業應根據兩地法律監管體系對數據出境要求的差異,有針對性地設計符合兩地法律體系的數據出境企業規則。
(三)數據安全治理技術綜合運用的成效
全面降低企業的數據安全風險,需要多種數據安全技術綜合運用。以安華金和的實踐經驗來看,通過數據安全平臺可實現對多種數據安全技術的綜合使用、統一管理及調度,能夠實現個人信息刪除權、“可攜帶權”等一系列難度較高的要求。同時,分類分級后的標簽數據能夠與數據安全策略進行匹配和聯動,從而實現對數據和數據流動的監控。因此,多種數據安全技術的綜合使用,是大中型企業降低數據安全風險的有效手段。
三、數據安全治理落地的一些典型挑戰
(一)數據分類分級的智能化、自動化
當前,很多企業已通過專業咨詢機構完成對數據的分類分級,形成了數據分類分級清單和一些數據安全管理制度。但是,其數據分類分級清單和管理制度大多停留在紙面上,技術上無法直接運用。
面對龐大的數據量,分類分級要以“自動化”為主,“人工”為輔。在安華金和的技術演進中,分類分級工具使用了數據內容識別、關鍵字分析、機器學習、智能關聯、行業知識庫等一系列技術,極大提升了自動分類分級的效率和準確率。
數據資產和數據分類分級清單保存在自動化工具中,不但可以導出清單,還可以通過工具提供的 API,將分類分級工具和其他數據安全技術對接,使其他的數據安全技術能夠直接識別分類分級后的標簽數據。同時,數據安全專家能夠將數據安全管理制度、行業規定、國家法律等的不同要求,拆解形成技術化的語言,結合數據標簽,匹配業務需求和場景,制定安全策略,完成數據分類分級與合規制度的技術落地。
(二)數據的分級分域存儲
數據的分級分域存儲需要在數據分類分級的基礎上進行,根據安全需求和業務需求制定。但是,數據分級分域存儲對大多數企業來說,目前難度較高。絕大多數企業在應用設計時,數據結構是以業務需求為第一位的。如果要求數據分級分域存儲,那么在應用設計之初,就要以數據安全和數據分類分級為基準,構建新的數據結構。
以金融機構為例,個人敏感信息在金融系統中大量存在,分布在各個庫表中。如果某新業務要求數據分級分域存儲,就需要在應用架構設計時,數據結構優先考慮數據分類分級,將《金融數據安全 數據安全分級指南》中規定的金融個人敏感信息在邏輯上存儲到單獨的庫表中。
(三)個人刪除權與可攜帶權的運用
在《個人信息保護法》及很多行業規范中,都提到針對個人信息刪除的問題。與歐盟的《通用數據保護條例》中規定的刪除權不同,我國對個人信息刪除的規定在技術上相對容易實現,即要求企業做到已刪除的個人信息為“不可檢索、不可訪問”的狀態。從安華金和的實踐來看,履行刪除權可在數據安全技術綜合使用的條件下實現。履行個人信息的可攜帶權,與實現刪除權的技術類似,也可在數據安全技術綜合使用下實現。
(四)個人信息安全影響評估
《個人信息保護法》要求個人信息處理者定期進行個人信息安全影響評估,《信息安全技術個人信息安全影響評估指南》也對評估方法進行了相應闡述。從技術角度來看,個人信息安全影響的評估難度較大,主要有以下原因。
1. 準確定位個人信息評估的主體
準確定位個人信息評估的主體,是有效開展個人信息安全影響評估的基礎。例如在醫療行業,普通病患者、慢性病患者、特殊病患者三類人群,他們的個人信息從技術角度看是一樣的。但當數據發生泄露后,對個人財產、人格權等影響程度明顯不同,特殊病患者的個人信息泄露后,對個人的影響最大。因此,在對個人信息進行分類分級時,就要考慮個人信息安全影響評估的主體特征,結合實際情況采取適合的措施,針對性地進行數據保護。
2. 影響個人信息安全評估的技術
對個人信息的處理過程中,對主體影響最大的方面包括數據收集、處理、共享等。無論評估涉及哪個方面,都需要多種技術運用與人工相結合的方式進行評估。例如在數據的自動化決策中,評估人員需要判斷數據是否能標識某一類主體,這就需要結合數據脫敏、存儲端數據識別、應用端數據識別等多種技術。
(五)數據交易的合規性
近年來,數據的流通與交易已被行業和市場認可。截至 2021 年,全國的數據交易平臺已有 17家,但多數平臺的數據成交量有限。一方面,如果將數據交易置于數據全生命周期來看,交易只是其中的一個環節,還有很多環節需要不斷夯實。另一方面,諸如重要數據、個人信息在交易的時候,還面臨著法律層面的監管。例如個人信息需要個人同意后才可交易,否則需要匿名化處理,但是,匿名化后的數據價值會在一些場景中打折扣。
隱私計算是近年來很熱的一個話題,在不暴露真實數據的情況下,可以直接交換數據結果。筆者認為,目前隱私計算市場的熱度高于其真實水平,很多數據交易平臺雖然使用了隱私計算技術,卻沒有找到具體使用場景。數據的提供方不知道如何將自己的數據歸類、展示,使用方也無法從紛繁復雜的數據中,快速找到自己模型需要的樣例,這或許是隱私計算技術發展較慢的原因。
四、結語
綜上,數據安全治理要輔助數字經濟發展,數據安全要貫穿在數字經濟的發展過程中,為數字經濟夯實前行道路。如果一味強調安全導致過度防范,也會影響經濟發展。而將數據安全棄之不顧,采用“先發展、再治理”的思路,等到問題出現必將付出慘痛代價。“不冒進、不躺平”,有規劃地逐步建設發展,使得數據安全治理與數字經濟的發展相輔相成,才是正確的數據安全治理之道。
(本文刊登于《中國信息安全》雜志2022年第4期)、
、
