數(shù)據(jù)安全治理中的安全技術(shù)研究

吳振豪 高健博 李青山 陳 鐘

(北京大學(xué)高可信軟件技術(shù)教育部重點實驗室 北京 100871)

(北京大學(xué)信息科學(xué)技術(shù)學(xué)院計算機科學(xué)技術(shù)系 北京 100871)

近年來，爆炸式增長的數(shù)據(jù)量助力數(shù)字經(jīng)濟快速發(fā)展，社會各界也對數(shù)字經(jīng)濟寄予厚望.在2020年新冠疫情席卷全球的大背景下，我國數(shù)字經(jīng)濟依然保持強勁增長，在疫情中逆勢崛起，已然達到39.2萬億元規(guī)模，占GDP比重達38.6%，比2019年占比(36.3%)同比提升近2.4個百分點[1].

在數(shù)字經(jīng)濟快速發(fā)展的背景下，數(shù)據(jù)安全的問題日益凸顯.美國聯(lián)邦調(diào)查局(Federal Bureau of Investigation, FBI)在2020年的網(wǎng)絡(luò)犯罪報告中指出，2020年接到投訴791 790起，平均每天超過2 169起，損失金額超過41億美元，這表明總投訴比2019年增加了69%[2].中國互聯(lián)網(wǎng)應(yīng)急中心(National Internet Emergency Center, CNCERT/CC)在2020年全年監(jiān)測中發(fā)現(xiàn)政務(wù)公開、招考公示等平臺未脫敏展示公民個人信息事件107起(涉及未脫敏個人信息近10萬條)，個人信息非法售賣事件203起，聯(lián)網(wǎng)數(shù)據(jù)安全事件3 000余起[3].數(shù)據(jù)安全問題已經(jīng)成為數(shù)字經(jīng)濟快速發(fā)展中的一大擔憂，保護大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全需要依賴系統(tǒng)的數(shù)據(jù)安全治理.

本文以加強數(shù)據(jù)安全治理為主要目標，從數(shù)據(jù)安全的基本概念、數(shù)據(jù)生命周期、數(shù)據(jù)安全技術(shù)、數(shù)據(jù)安全技術(shù)應(yīng)用出發(fā)，整理先進數(shù)據(jù)安全技術(shù)中表達的數(shù)據(jù)安全理念，理性看待數(shù)據(jù)安全技術(shù)的作用，思考數(shù)據(jù)安全治理在技術(shù)上的可行性，研究數(shù)據(jù)安全治理的技術(shù)路線.

1 數(shù)據(jù)安全的基本概念

根據(jù)《中華人民共和國數(shù)據(jù)安全法》中第3條規(guī)定，數(shù)據(jù)安全是通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力.數(shù)字經(jīng)濟發(fā)展中使用的數(shù)據(jù)是事實或觀察的結(jié)果，是對客觀事物的邏輯歸納，反映了公民的實際信息和我國的實際社會情況.因此，數(shù)據(jù)安全治理具有極高的戰(zhàn)略意義.保護數(shù)據(jù)安全，不僅僅是保護數(shù)據(jù)本身的安全和使用過程的安全，更是保護數(shù)據(jù)相應(yīng)實體的安全，對于保護我國公民的人身安全具有重大作用.

數(shù)據(jù)安全重要的戰(zhàn)略意義、深遠的影響以及嚴峻的形勢促使各國政府積極采取措施保障國家數(shù)據(jù)安全.為了積極推進數(shù)據(jù)安全治理，我國除了《中華人民共和國數(shù)據(jù)安全法》之外，還推出了《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國個人信息保護法》這2部基本大法.此外還有其他更為細致的條款和辦法，如《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》《數(shù)據(jù)安全管理辦法》《中華人民共和國密碼法》《網(wǎng)絡(luò)安全審查辦法》等.在國外，歐盟頒布了《通用數(shù)據(jù)保護條例》《聯(lián)盟機構(gòu)個人數(shù)據(jù)處理保護條例》《非個人數(shù)據(jù)自由流動條例》以及《歐盟數(shù)據(jù)戰(zhàn)略》等，并聲明數(shù)據(jù)保護是增強公民賦權(quán)和歐盟實現(xiàn)數(shù)字化轉(zhuǎn)型的基礎(chǔ).美國提出了《加州消費者隱私法案》《數(shù)據(jù)保護法》《國家安全和個人數(shù)據(jù)保護法提案》以及《聯(lián)邦數(shù)據(jù)戰(zhàn)略與2020年行動計劃》.此外，其他國家和地區(qū)性組織也紛紛推出了數(shù)據(jù)安全保護的相關(guān)法律、計劃以及條例.

可是，法律條例的實施并不能完全代表數(shù)據(jù)安全得到了有效的治理.一方面，前述與數(shù)據(jù)泄露相關(guān)的例子本就是違法行為，盡管有防護系統(tǒng)和安全條例，數(shù)據(jù)泄露事件仍然不斷發(fā)生，社會和企業(yè)也在呼求更好的數(shù)據(jù)防護措施.另一方面，數(shù)據(jù)和技術(shù)的不良使用仍然在影響大家的生活，違規(guī)的數(shù)據(jù)獲取、不合理的數(shù)據(jù)操作、虛假的數(shù)據(jù)反饋不斷給民眾和社會造成困擾.因此，數(shù)據(jù)安全治理的落實還需要全面的技術(shù)體系來保障數(shù)據(jù)在各方、各層面、各領(lǐng)域流轉(zhuǎn)過程中的安全性，使得公民、國家、企業(yè)的正當、合法利益不會受到各種惡意行為的侵害.

2 數(shù)據(jù)生命周期

數(shù)據(jù)生命周期反映了數(shù)據(jù)的階段性變化及其規(guī)律.根據(jù)使用目的的不同，可以發(fā)展具有不同側(cè)重的數(shù)據(jù)生命周期，如云數(shù)據(jù)的數(shù)據(jù)生命周期[4].但目前少有針對數(shù)據(jù)安全治理的數(shù)據(jù)生命周期，本文從數(shù)據(jù)安全治理的角度，提出了一個新的數(shù)據(jù)生命周期，如圖1所示.該數(shù)據(jù)生命周期以全過程監(jiān)管為主，將數(shù)據(jù)流轉(zhuǎn)的各個階段歸結(jié)為數(shù)據(jù)準備階段、數(shù)據(jù)存儲階段、數(shù)據(jù)使用階段和數(shù)據(jù)銷毀階段.

圖1 數(shù)據(jù)安全治理的數(shù)據(jù)生命周期

數(shù)據(jù)準備階段是數(shù)據(jù)可用的前提，包括數(shù)據(jù)生成、數(shù)據(jù)篩選和數(shù)據(jù)匯集，能夠解決數(shù)據(jù)來源分散、數(shù)據(jù)需求多樣化的問題.其中，數(shù)據(jù)生成是產(chǎn)生新數(shù)據(jù)的行為，無論是在軟件服務(wù)的基礎(chǔ)上產(chǎn)生原始數(shù)據(jù)，還是在現(xiàn)有數(shù)據(jù)的基礎(chǔ)上產(chǎn)生新的數(shù)據(jù)，都屬于數(shù)據(jù)生成過程.數(shù)據(jù)篩選是根據(jù)數(shù)據(jù)可用性對數(shù)據(jù)進行選擇，未通過篩選的數(shù)據(jù)是當前服務(wù)所不需要的無用數(shù)據(jù)，理論上應(yīng)當進行銷毀.數(shù)據(jù)匯集是更換數(shù)據(jù)存儲位置的過程，如大量個體用戶的本地數(shù)據(jù)上傳到云端服務(wù)器.

數(shù)據(jù)使用階段則包括數(shù)據(jù)分析、大規(guī)模計算和數(shù)據(jù)合作，該階段是發(fā)揮數(shù)據(jù)價值的主要階段.數(shù)據(jù)分析的主要功能是了解數(shù)據(jù)中的信息，挖掘數(shù)據(jù)的價值，形成可用的自動化分析方法，如大數(shù)據(jù)模型或機器學(xué)習模型.大規(guī)模計算是數(shù)據(jù)分析成果的大范圍應(yīng)用，需部署、運行數(shù)據(jù)分析成果，提供穩(wěn)定、便捷、有效的數(shù)字服務(wù).數(shù)據(jù)合作是利用不同數(shù)據(jù)主體的數(shù)據(jù)去完成單獨數(shù)據(jù)主體難以完成或完成度不高的數(shù)據(jù)任務(wù).

數(shù)據(jù)存儲階段是重要的中轉(zhuǎn)階段，將數(shù)據(jù)保存在特定的存儲容器中(如關(guān)系型或非關(guān)系型數(shù)據(jù)庫)，并隨時為被調(diào)用做好準備.數(shù)據(jù)長期處于該階段中，因此該階段要尤其注意保護數(shù)據(jù)的安全，防止數(shù)據(jù)泄露事件的發(fā)生.

數(shù)據(jù)銷毀階段是所有數(shù)據(jù)的最終歸宿，任何階段、過程中的數(shù)據(jù)可以隨時進入數(shù)據(jù)銷毀階段.銷毀后的數(shù)據(jù)不再以任何形式可用，如果數(shù)據(jù)擁有者要求數(shù)據(jù)使用者銷毀數(shù)據(jù)，那么數(shù)據(jù)使用者須給出銷毀成功的信息，數(shù)據(jù)使用者不可瞞報、漏報數(shù)據(jù)銷毀的情況.

全過程監(jiān)管對數(shù)據(jù)準備、數(shù)據(jù)存儲、數(shù)據(jù)使用和數(shù)據(jù)銷毀中的過程進行全面的監(jiān)控管理，能檢查數(shù)據(jù)相關(guān)操作是否符合規(guī)定，利于落實數(shù)據(jù)安全相關(guān)法律法規(guī)，是數(shù)據(jù)安全治理的核心，有助于提高數(shù)據(jù)安全的整體水平.

3 數(shù)據(jù)安全技術(shù)

根據(jù)數(shù)據(jù)安全治理的數(shù)據(jù)生命周期，可以發(fā)展如圖2所示的相關(guān)技術(shù).在圖2中，數(shù)據(jù)存儲階段和數(shù)據(jù)銷毀階段被放到了一起，因為執(zhí)行數(shù)據(jù)存儲和數(shù)據(jù)銷毀的通常是同一方.此外，圖2中還涉及了系統(tǒng)防護安全技術(shù)，這在數(shù)據(jù)生命周期中沒有提及.系統(tǒng)防護安全技術(shù)是現(xiàn)階段數(shù)據(jù)安全保護的常用技術(shù)，可以為數(shù)據(jù)生命周期中各過程提供基本的安全環(huán)境.另外，圖2中的技術(shù)可以根據(jù)使用目的自由組合，并非全部應(yīng)用了圖2中的技術(shù)才能保障數(shù)據(jù)安全.

圖2 數(shù)據(jù)安全治理中的技術(shù)

3.1 全過程監(jiān)管安全技術(shù)

全過程監(jiān)管安全技術(shù)的作用是對數(shù)據(jù)生命周期中的各個過程進行監(jiān)控管理，可以對數(shù)據(jù)的流轉(zhuǎn)過程進行溯源，合理地驗證各參與方的行為，全局管理數(shù)據(jù)安全治理形勢.

數(shù)據(jù)溯源包含了系統(tǒng)和應(yīng)用層面詳細、準確、完整的數(shù)據(jù)操作歷史[5]，可以了解數(shù)據(jù)的產(chǎn)生及演變過程，為所有監(jiān)管工作提供幫助.零知識證明[6]允許進行數(shù)據(jù)操作的各方在不提供具體數(shù)據(jù)內(nèi)容的情況下向監(jiān)管方證明已經(jīng)獲得了用戶的許可并采取了數(shù)據(jù)保護操作，避免直接查探數(shù)據(jù)可能引起的隱私泄露問題.零知識證明常與區(qū)塊鏈一起使用.區(qū)塊鏈是去中心化的分布式賬本，能夠在分布式環(huán)境下不依賴可信第三方進行數(shù)據(jù)的存儲、傳輸和驗證，實現(xiàn)系統(tǒng)狀態(tài)的一致性[7].區(qū)塊鏈的防篡改特性可以保證記錄內(nèi)容的可信性.態(tài)勢感知能夠綜合利用安全大數(shù)據(jù)來對數(shù)據(jù)流動的整體情況進行分析、展示和預(yù)警[8].將態(tài)勢感知用于數(shù)據(jù)安全治理，利于發(fā)現(xiàn)數(shù)據(jù)安全治理中的薄弱環(huán)節(jié)，評估數(shù)據(jù)安全事件發(fā)生的可能性，預(yù)測未來的數(shù)據(jù)安全狀況.

3.2 數(shù)據(jù)使用安全技術(shù)

數(shù)據(jù)使用階段是當前數(shù)據(jù)安全的薄弱環(huán)節(jié)，但為了保證能夠充分發(fā)揮數(shù)據(jù)的價值，該階段的安全性在生產(chǎn)環(huán)境中難以引起重視.數(shù)據(jù)使用中可能產(chǎn)生的安全問題主要是計算的不可信問題以及對原數(shù)據(jù)的竊取行為.計算的不可信問題是潛在的惡意攻擊導(dǎo)致人們難以相信計算結(jié)果.對原數(shù)據(jù)的竊取行為是計算方能夠通過內(nèi)存攻擊等手段竊取數(shù)據(jù)內(nèi)容.因此，不需要直接接觸原始數(shù)據(jù)就可以完成數(shù)據(jù)計算的相關(guān)技術(shù)是對抗這2個問題的有效方法.

圖2中聯(lián)邦學(xué)習、同態(tài)加密、安全多方計算和可信執(zhí)行環(huán)境的共同特點就是：數(shù)據(jù)使用方不需要直接接觸原始數(shù)據(jù)就可以完成數(shù)據(jù)的使用.聯(lián)邦學(xué)習用于解決數(shù)據(jù)孤島問題[9]，可以在節(jié)點不上傳數(shù)據(jù)的情況下完成對節(jié)點數(shù)據(jù)的學(xué)習.同態(tài)加密[10]可以在密文上進行加法和乘法運算，將計算結(jié)果解密后等同于直接在原文上的計算結(jié)果.安全多方計算[11]能夠在去中心化的分布式計算任務(wù)中保證多方輸入隱私性和輸出結(jié)果正確性.同態(tài)加密和安全多方計算都是“密文計算”的重要技術(shù).可信執(zhí)行環(huán)境[12]是一種基于硬件的安全方案，它運行在一個獨立的環(huán)境中且與操作系統(tǒng)并行運行，能夠確保運行在其中的程序和數(shù)據(jù)不被可信執(zhí)行環(huán)境外的程序讀取和破壞，因此若在可信執(zhí)行環(huán)境中執(zhí)行數(shù)據(jù)計算，任何人無法知曉數(shù)據(jù)原文.

數(shù)據(jù)分類分級基于對數(shù)據(jù)的有效理解和分析，對數(shù)據(jù)進行類別和密級的劃分，進而可以對數(shù)據(jù)采取差異化的操作，利于協(xié)調(diào)數(shù)據(jù)保護和數(shù)據(jù)可用之間的關(guān)系.

3.3 數(shù)據(jù)存儲/數(shù)據(jù)銷毀安全技術(shù)

數(shù)據(jù)存儲技術(shù)主要是為了保護數(shù)據(jù)不被惡意訪問、篡改和竊取.因為數(shù)據(jù)存儲階段是數(shù)據(jù)最重要的集散地，所以該階段是數(shù)據(jù)安全的必爭之地，對數(shù)據(jù)安全也有更高的要求.圖2中該階段的技術(shù)是從防止非常規(guī)訪問、實現(xiàn)密態(tài)操作和加強存儲過程審計3個方面來提升安全性.

數(shù)據(jù)分類分級、數(shù)據(jù)安全隔離和訪問控制技術(shù)是防止非常規(guī)訪問的重要力量.在該階段，數(shù)據(jù)分類分級可以指導(dǎo)不同類別、級別數(shù)據(jù)的差異化存儲，規(guī)范數(shù)據(jù)存儲行為，提高非常規(guī)訪問的門檻.數(shù)據(jù)安全隔離主要用于數(shù)據(jù)防泄密，是針對數(shù)據(jù)分類分級中密級較高數(shù)據(jù)的技術(shù)手段，通過磁盤、網(wǎng)絡(luò)等多重隔離手段保證密級數(shù)據(jù)在安全區(qū)域內(nèi)可控，外發(fā)審核可記錄、可查詢.訪問控制技術(shù)[13]是數(shù)據(jù)分類分級理念的體現(xiàn)，可以通過角色和策略組來控制用戶的訪問權(quán)限，但常見的訪問控制粒度較粗，常常會泄露意料之外的數(shù)據(jù).細粒度的訪問控制技術(shù)可以實現(xiàn)某個字段、某個值的訪問控制，真正落實分類分級的相關(guān)理念.

密態(tài)操作可以讓數(shù)據(jù)以密文形式進行存儲，防范越權(quán)訪問、數(shù)據(jù)泄露等意外發(fā)生后明文數(shù)據(jù)泄露的問題.同態(tài)加密和可搜索加密是密態(tài)數(shù)據(jù)存儲的重要技術(shù).同態(tài)加密保證了數(shù)據(jù)即使以加密的形式存儲也不會影響數(shù)據(jù)存儲必須提供的功能(如檢索、查詢).可搜索加密[14]也能夠提供安全的加密方法和在密文上直接檢索的功能，在發(fā)出搜索請求之后，服務(wù)器可以根據(jù)加密文檔是否與查詢關(guān)鍵詞有關(guān)聯(lián)來返回搜索結(jié)果.同態(tài)加密和可搜索加密雖然都允許服務(wù)器以密文的形式保存數(shù)據(jù)，但兩者存在不同.可搜索加密是返回包含目標內(nèi)容的文檔，同態(tài)加密是返回想要的目標內(nèi)容，因此同態(tài)加密比可搜索加密更為細粒度，但同態(tài)加密的計算速度不如可搜索加密快.

數(shù)據(jù)完整性、數(shù)據(jù)安全審計和數(shù)據(jù)信托都具備針對數(shù)據(jù)存儲的審計能力.數(shù)據(jù)完整性可以保證托管在別處的數(shù)據(jù)是完整的、未被惡意行為篡改的，且支持在不檢索整個數(shù)據(jù)的情況下進行審計[15].數(shù)據(jù)安全審計是為了防止合法人員做非法的事情，如數(shù)據(jù)開發(fā)人員利用職權(quán)進行信息篡改、違規(guī)刪除記錄等.數(shù)據(jù)安全審計可以檢查數(shù)據(jù)操作行為、監(jiān)控數(shù)據(jù)相關(guān)權(quán)限變化以及對偏離正常行為的操作告警.數(shù)據(jù)信托[16]衍生于傳統(tǒng)的信托行業(yè)，可以在數(shù)據(jù)主體與數(shù)據(jù)控制人之間創(chuàng)設(shè)出信托法律關(guān)系,數(shù)據(jù)控制人基于數(shù)據(jù)主體的信任對數(shù)據(jù)享有更大的管理運用權(quán)限,同時也承擔更嚴格的法律信義義務(wù).數(shù)據(jù)信托可以解決3個問題：數(shù)據(jù)的授權(quán)使用問題、數(shù)據(jù)的收益分配問題和數(shù)據(jù)使用糾紛中的舉證問題.也就是說，數(shù)據(jù)信托也會具備相應(yīng)的審計制度來校驗數(shù)據(jù)的使用和收益分配.

對數(shù)據(jù)銷毀來說，最重要的是保證數(shù)據(jù)確實按照用戶的要求被銷毀，防止瞞報、漏報的情況.因此，數(shù)據(jù)完整性、數(shù)據(jù)安全審計、數(shù)據(jù)信托的相關(guān)技術(shù)也可以用于數(shù)據(jù)銷毀.

3.4 數(shù)據(jù)準備安全技術(shù)

數(shù)據(jù)準備安全技術(shù)的核心是保護數(shù)據(jù)隱私.其中數(shù)據(jù)匿名化和數(shù)據(jù)脫敏以模糊處理和刪除敏感信息的方式防止隱私泄露，但這2種技術(shù)容易不可量化地降低數(shù)據(jù)的可用性.差分隱私技術(shù)[17]主要用來防范差分攻擊，使整體結(jié)果不因有限個體的變化而發(fā)生改變，因此也就無法根據(jù)整體結(jié)果推測出個體樣本包含的隱私信息.差分隱私具有隱私預(yù)算的概念，能夠可量化地衡量隱私保護程度和數(shù)據(jù)可用程度，但差分隱私技術(shù)只能作用在整個數(shù)據(jù)，難以滿足客戶端的隱私保護需求，其變種——本地化差分隱私——則可以在客戶端直接應(yīng)用[17].本地化差分隱私技術(shù)是對數(shù)據(jù)進行擾動后再上傳數(shù)據(jù)，令某算法對任意2條不同的數(shù)據(jù)計算后得到的結(jié)果差異處于某個極小的范圍，從而滿足差分隱私條件.本地化差分隱私不需要額外的第三方，也不需要數(shù)據(jù)字典等工具，支持動態(tài)保護隱私.

在數(shù)據(jù)準備階段，零知識證明可以驗證本地數(shù)據(jù)的價值，從而通過數(shù)據(jù)篩選.因為零知識證明不需要提供具體數(shù)據(jù)信息，所以可以滿足篩選需求下的隱私保護.數(shù)據(jù)加密傳輸已經(jīng)是廣泛應(yīng)用的技術(shù)，如HTTPS和虛擬專用網(wǎng)絡(luò)(virtual private network, VPN)技術(shù).數(shù)據(jù)加密傳輸保證了數(shù)據(jù)在傳輸過程中是密文狀態(tài)，防止第三方在截獲數(shù)據(jù)后窺探數(shù)據(jù)隱私.數(shù)據(jù)分類分級能夠指導(dǎo)不同的數(shù)據(jù)采用不同的處理方式，對數(shù)據(jù)隱私保護也非常有利.

3.5 系統(tǒng)防護安全技術(shù)

系統(tǒng)防護安全技術(shù)的主要目的是保護所有數(shù)據(jù)應(yīng)用系統(tǒng)的安全，是信息安全中的常用技術(shù)，主要用于保護計算機硬件、軟件、數(shù)據(jù)等不因偶然意外和故意的惡意攻擊而遭到破壞和泄露.系統(tǒng)防護安全技術(shù)是數(shù)據(jù)安全治理的底層技術(shù)，對于優(yōu)化數(shù)據(jù)治理環(huán)境有重大意義.

防火墻、入侵檢測、入侵防御、惡意代碼檢測主要用于抵御故意的惡意攻擊.防火墻可以限制網(wǎng)絡(luò)數(shù)據(jù)的出入行為，入侵檢測可以有針對性地檢測惡意行為，2項技術(shù)都依靠大量的規(guī)則.入侵防御在入侵檢測的基礎(chǔ)上添加了防御機制，能夠及時中斷、調(diào)整或隔離一些不正常或是具有傷害性的行為.惡意代碼檢測主要針對蠕蟲、后門、僵尸網(wǎng)絡(luò)等惡意軟件，需要建立惡意代碼特征庫來提高檢測成功率.

容災(zāi)備份可以保障系統(tǒng)在遭遇意外情況時也能正常運行，解決的是系統(tǒng)可用性的問題.如果系統(tǒng)遭到物理破壞(如自然災(zāi)害)或者嚴重的惡意攻擊而無法正常提供服務(wù)，就可以將服務(wù)入口切換到備份服務(wù)器上，保證服務(wù)的正常運行.

4 數(shù)據(jù)安全技術(shù)應(yīng)用

4.1 應(yīng)用于隱私保護概念下的數(shù)據(jù)安全治理

隱私保護是當前數(shù)據(jù)使用中的一個強烈需求，也是各國推行數(shù)據(jù)安全治理相關(guān)法律、法規(guī)的關(guān)注重點.

近年來，國際上有多部法律出臺，要求商業(yè)公司在采集數(shù)據(jù)時，必須做好隱私保護工作.如歐盟的《通用數(shù)據(jù)保護條例》(General Data Protection Regulation, GDPR)，美國的《加州消費者隱私法案》，我國的《中華人民共和國網(wǎng)絡(luò)安全法》，都對數(shù)據(jù)安全與隱私保護相關(guān)問題進行了嚴格的規(guī)范與引導(dǎo).Google因為違反歐盟GDPR法規(guī)被處罰5 000萬歐元；Facebook因為泄露了8 700萬用戶的信息，需要支付50億美元的天價罰單.

隱私保護的相關(guān)法規(guī)都認為流通的數(shù)據(jù)應(yīng)當經(jīng)過脫敏處理，歐洲主要稱呼為匿名化處理[18].《中華人民共和國網(wǎng)絡(luò)安全法》第42條規(guī)定：“未經(jīng)被收集者同意，不得向他人提供個人信息.但是，經(jīng)過處理無法識別特定個人且不能復(fù)原的除外”[19].歐盟的GDPR規(guī)定“匿名化是指將個人數(shù)據(jù)移除可識別個人信息的部分，通過數(shù)據(jù)匿名化后，數(shù)據(jù)主體不會再被識別.匿名化數(shù)據(jù)不屬于個人數(shù)據(jù)，因此無須適用條例的相關(guān)要求”[20].美國則規(guī)定“數(shù)據(jù)控制者通過改變或刪除數(shù)據(jù)集中的個人可識別信息，使數(shù)據(jù)使用人難以識別數(shù)據(jù)主體身份”[21].

根據(jù)這些法律法規(guī)的要求，隱私保護概念下的數(shù)據(jù)安全治理的首要目標是如何去除數(shù)據(jù)中的隱私信息，且不影響數(shù)據(jù)處理行為.根據(jù)圖1中的數(shù)據(jù)生命周期和圖2中的數(shù)據(jù)安全技術(shù)可以發(fā)現(xiàn)，數(shù)據(jù)準備階段的差分隱私、數(shù)據(jù)匿名化和數(shù)據(jù)脫敏技術(shù)是數(shù)據(jù)安全治理的關(guān)鍵技術(shù)，全過程監(jiān)管中的相應(yīng)技術(shù)則是監(jiān)控數(shù)據(jù)中隱私信息是否被去除的有力手段.

在去除隱私信息方面，數(shù)據(jù)匿名化和數(shù)據(jù)脫敏都已經(jīng)有一定的應(yīng)用基礎(chǔ)，國外的數(shù)據(jù)掩蔽工具Informatica ETL中的脫敏模塊，國內(nèi)的世平SIMP-SDM、安華DBMasker等都可以滿足一定的脫敏需求.差分隱私也能滿足去除隱私信息的需求，尤其是本地化差分隱私，直接在采集端就可以應(yīng)用.Google利用本地化差分隱私從Chrome瀏覽器采集用戶數(shù)據(jù)，Apple使用本地化差分隱私優(yōu)化emoji表情的推薦.

4.2 應(yīng)用于數(shù)據(jù)權(quán)屬概念下的數(shù)據(jù)安全治理

《中共中央 國務(wù)院關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》中將數(shù)據(jù)與土地、勞動力、資本、技術(shù)一起看成了生產(chǎn)要素，并且強調(diào)“加快要素價格市場化改革”.也就是說，數(shù)據(jù)不再僅是具備表面淺層統(tǒng)計意義的數(shù)字信息，而是成為重要的生產(chǎn)資料和要素，數(shù)據(jù)的權(quán)屬問題需要盡快界定清楚，以便對數(shù)據(jù)的收益進行研究.

數(shù)據(jù)權(quán)屬的研究需要建立數(shù)據(jù)權(quán)利的概念.GDPR賦予了用戶知情權(quán)、訪問權(quán)、修正權(quán)、刪除權(quán)、限制處理權(quán)、可攜帶權(quán)、拒絕權(quán)等權(quán)利，保證了用戶對相關(guān)數(shù)據(jù)訪問、控制、修改和刪除的能力.從數(shù)據(jù)作為生產(chǎn)要素的角度出發(fā)，數(shù)據(jù)權(quán)屬還應(yīng)當賦予用戶收益權(quán)的概念，如果個人信息涉及商業(yè)利益，那么個人可以向信息利用者請求支付報酬.法國《數(shù)據(jù)處理、數(shù)據(jù)檔案及個人自由法》規(guī)定：任何自然人均依法有權(quán)反對信息控制者在未對其付費的情況下，為行銷目的，特別是為商業(yè)目標，在當前的或進一步的信息處理中使用與其相關(guān)的信息.

因此，若在數(shù)據(jù)權(quán)屬的概念下進行數(shù)據(jù)安全治理，前文在隱私保護概念下的數(shù)據(jù)安全治理就存在不足.需要從讓數(shù)據(jù)使用者不知道數(shù)據(jù)屬于誰，變成讓數(shù)據(jù)使用者無法讀取數(shù)據(jù)中的隱私信息.否則，數(shù)據(jù)所有者與其數(shù)據(jù)之間的關(guān)系將斷開，無法確定數(shù)據(jù)所屬，也無從保護數(shù)據(jù)所有者在數(shù)據(jù)上的各項權(quán)利，遑論從數(shù)據(jù)上獲得相應(yīng)收益.

雖然數(shù)據(jù)安全治理在數(shù)據(jù)權(quán)屬概念和隱私保護概念下的執(zhí)行方式有所不同，但圖2所示的數(shù)據(jù)安全保護技術(shù)仍然可用，尤其是數(shù)據(jù)存儲/數(shù)據(jù)銷毀安全技術(shù)和數(shù)據(jù)使用安全技術(shù)的應(yīng)用范圍被大大擴大.數(shù)據(jù)使用安全技術(shù)的核心是數(shù)據(jù)使用方不需要直接接觸原始數(shù)據(jù)就能完成數(shù)據(jù)的使用，實現(xiàn)了計算和數(shù)據(jù)的分離.既不會消除數(shù)據(jù)的權(quán)屬信息，也不會在操作過程中侵犯數(shù)據(jù)隱私，適合在數(shù)據(jù)權(quán)屬概念下的數(shù)據(jù)安全治理中使用.

數(shù)據(jù)存儲安全技術(shù)的核心是防止數(shù)據(jù)被惡意訪問、篡改和竊取.其中：數(shù)據(jù)分類分級、數(shù)據(jù)安全隔離和訪問控制確保了數(shù)據(jù)不會被惡意訪問；可搜索加密和同態(tài)加密能使數(shù)據(jù)以密文形式存儲，即使數(shù)據(jù)泄露也不會影響數(shù)據(jù)安全；數(shù)據(jù)信托、數(shù)據(jù)完整性和數(shù)據(jù)安全審計可以對數(shù)據(jù)的存儲情況進行審計.在這些技術(shù)的組合作用下，數(shù)據(jù)權(quán)屬和數(shù)據(jù)隱私的侵犯將會變得困難.因此，發(fā)展、應(yīng)用數(shù)據(jù)存儲階段的安全技術(shù)，可以對保護數(shù)據(jù)權(quán)屬和數(shù)據(jù)隱私起到關(guān)鍵作用.

全過程監(jiān)管技術(shù)在數(shù)據(jù)權(quán)屬概念下的數(shù)據(jù)安全治理中有著比在隱私保護概念下的數(shù)據(jù)安全治理中更大的作用，需要對數(shù)據(jù)使用階段、數(shù)據(jù)存儲階段、數(shù)據(jù)銷毀階段都進行監(jiān)管，確保數(shù)據(jù)權(quán)屬法律、精神和理念的有效落實.

值得注意的是，在數(shù)據(jù)權(quán)屬概念下的數(shù)據(jù)安全治理中，數(shù)據(jù)信托有著比較大的發(fā)揮空間.在具體執(zhí)行數(shù)據(jù)信托時，產(chǎn)生數(shù)據(jù)的一方作為委托方需要將自己的數(shù)據(jù)交給數(shù)據(jù)信托機構(gòu)和其他各方的數(shù)據(jù)進行統(tǒng)一管理，信托機構(gòu)作為被委托方利用收到的所有數(shù)據(jù)創(chuàng)造收益，并將收益的一部分分享給委托方.如果委托方陷入數(shù)據(jù)使用糾紛，還可以向數(shù)據(jù)信托機構(gòu)索要自身數(shù)據(jù)的所有使用記錄，解決舉證困難.在實施數(shù)據(jù)信托方案時，對數(shù)據(jù)信托機構(gòu)的信用有著很高的要求，也就是說，將會對數(shù)據(jù)信托機構(gòu)執(zhí)行嚴格的監(jiān)管，這有利于通過數(shù)據(jù)信托保護委托方的各項數(shù)據(jù)權(quán)利.

5 推進數(shù)據(jù)安全治理的建議

1) 明確數(shù)據(jù)安全治理的治理理念

數(shù)據(jù)安全治理的治理理念對如何推進數(shù)據(jù)安全治理有著重要的意義.正如本文所述，隱私保護概念下的數(shù)據(jù)安全治理和數(shù)據(jù)權(quán)屬概念下的數(shù)據(jù)安全治理存在著較大的差異，這些差異會影響數(shù)據(jù)安全治理的應(yīng)用范圍、治理方向、執(zhí)行策略和相關(guān)安全技術(shù)的研究方向.因此，需要盡快明確數(shù)據(jù)安全治理的治理理念.

2) 加強數(shù)據(jù)安全保護知識普及

無論要推行怎樣的數(shù)據(jù)安全治理，讓公民具備數(shù)據(jù)安全保護的相關(guān)知識都是必須的.加強數(shù)據(jù)安全保護知識的普及，可以讓公民更好地認識數(shù)據(jù)生命周期，理解數(shù)據(jù)的運轉(zhuǎn)方式，鑒別違背法律法規(guī)的數(shù)據(jù)操作，有利于形成良好的數(shù)據(jù)安全治理環(huán)境，對推進數(shù)據(jù)安全治理有著重要的積極意義.

3) 加強數(shù)據(jù)安全技術(shù)發(fā)展

數(shù)據(jù)安全技術(shù)能夠為數(shù)據(jù)安全治理提供可行性保障.數(shù)據(jù)安全技術(shù)和數(shù)據(jù)安全治理理念是相互依存、相互促進的，數(shù)據(jù)安全治理理念可以為數(shù)據(jù)安全技術(shù)的發(fā)展指明方向，數(shù)據(jù)安全技術(shù)的進步可以促進數(shù)據(jù)安全治理理念的提升.缺少了數(shù)據(jù)安全技術(shù)的數(shù)據(jù)安全治理就像是只用一條腿走路.因此，有必要繼續(xù)加強數(shù)據(jù)安全技術(shù)的發(fā)展.目前，許多數(shù)據(jù)安全技術(shù)對數(shù)據(jù)安全治理能夠提供理論支撐，如區(qū)塊鏈、聯(lián)邦學(xué)習、同態(tài)加密、安全多方計算、數(shù)據(jù)信托等都可以滿足以前難以想象的需求.但是，這些技術(shù)離實際應(yīng)用或者大規(guī)模應(yīng)用還有很長的路要走，如同態(tài)加密和安全多方計算的運算效率需要大幅提高，數(shù)據(jù)信托在法律層面和實施層面的完備性也需要進一步的探索.

6 結(jié)束語

近年來，數(shù)據(jù)對社會發(fā)展的重要性已經(jīng)逐步被人們所認識，數(shù)據(jù)安全保護的必要性也已經(jīng)為人們所接受，數(shù)據(jù)安全治理將成為保護公民、國家、企業(yè)安全的重要手段.本文從數(shù)據(jù)安全的基本概念入手，立足于數(shù)據(jù)生命周期，總結(jié)數(shù)據(jù)安全保護技術(shù)，分別分析隱私保護概念下和數(shù)據(jù)權(quán)屬概念下的數(shù)據(jù)安全治理中數(shù)據(jù)安全技術(shù)的可行性，最后從數(shù)據(jù)安全技術(shù)的角度對如何推進數(shù)據(jù)安全治理進行了思考.大力發(fā)展數(shù)據(jù)安全治理，可以保護公民的切身利益，提高國家的治理水平，明確企業(yè)的發(fā)展方向，利于構(gòu)建和諧健康的社會秩序.