大數(shù)據(jù)時代下的數(shù)據(jù)安全治理之路

敖杰 姚輝

1. 天津市河?xùn)|區(qū)大數(shù)據(jù)管理中心 天津 300161；

2. 天津市審計局 天津 300200

引言

黨的二十大報告中強調(diào)“推進國家安全體系和能力現(xiàn)代化，堅決維護國家安全和社會穩(wěn)定?！苯陙恚S著社會的不斷發(fā)展，大數(shù)據(jù)時代已經(jīng)到來，人們無時無刻不享受著大數(shù)據(jù)帶來的便捷與高效，但是隨之而來的數(shù)據(jù)安全事件層出不窮，個人隱私、商業(yè)機密甚至國家安全面臨嚴重威脅，數(shù)據(jù)安全治理已經(jīng)成為大數(shù)據(jù)時代下極其緊迫和重要的課題。

1 大數(shù)據(jù)時代下的數(shù)據(jù)安全現(xiàn)狀

1.1 數(shù)據(jù)安全事件頻發(fā)

近年來國內(nèi)外數(shù)據(jù)安全事件頻發(fā)，以2022年為例，三星電子150GB的機密數(shù)據(jù)和核心源代碼泄露、宜家加拿大公司9.5萬名客戶的個人信息數(shù)據(jù)泄露、空港服務(wù)公司Swissport TB級用戶數(shù)據(jù)泄露、英偉達1TB機密文件遭竊7萬員工信息泄露、南非幾乎所有公民征信數(shù)據(jù)泄露、醫(yī)療設(shè)備公司Shields泄露200萬美國患者信息、學(xué)習(xí)通1.7億條學(xué)生信息泄露、蔚來汽車百萬條用戶信息數(shù)據(jù)泄露、平安人壽4萬條公民信息泄露……據(jù)IBM發(fā)布的《2022年數(shù)據(jù)泄露成本報告》顯示，2022年全球數(shù)據(jù)泄露平均成本高達435萬美元，創(chuàng)下該年度報告發(fā)布17年以來的最高紀錄[1]。

1.2 國內(nèi)數(shù)據(jù)安全法律建設(shè)情況

2017年6月《網(wǎng)絡(luò)安全法》實施，對個人信息和重要數(shù)據(jù)的使用進行了規(guī)定。2017年12月《個人信息安全規(guī)范》頒布，從國家標準層面為企業(yè)提供個人信息保護進行了約定，并于2020年再次修訂發(fā)布[2]。2020年4月《網(wǎng)絡(luò)安全審查辦法》發(fā)布，2022年發(fā)布修訂稿，細化了網(wǎng)絡(luò)安全審查重點內(nèi)容。2021年6月《數(shù)據(jù)安全法》頒布，成為數(shù)據(jù)安全領(lǐng)域的“基礎(chǔ)性法律”，新設(shè)若干監(jiān)管制度，對數(shù)據(jù)安全進行保護和監(jiān)管。2021年8月《個人信息保護法》頒布，運用民事保護、行政監(jiān)管等綜合性手段對個人權(quán)益加以保護。2022年9月《數(shù)據(jù)出境安全評估辦法》實施，細化了個人信息和重要數(shù)據(jù)的出境安全評估制度安排。

2 大數(shù)據(jù)時代下的數(shù)據(jù)安全必走治理之路

2.1 數(shù)據(jù)重要地位日益凸顯

2019年10月，黨的十九屆四中全會首次將數(shù)據(jù)列入新型生產(chǎn)要素。2020年4月，中共中央、國務(wù)院發(fā)布《中共中央國務(wù)院關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》，是中央第一份關(guān)于要素市場化配置的文件，首次明確數(shù)據(jù)成為與土地、資本、勞動力、技術(shù)并列的第五大生產(chǎn)要素，并強調(diào)要加快培育數(shù)據(jù)要素市場[3]。2022年12月，中共中央、國務(wù)院印發(fā)《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》（以下簡稱“數(shù)據(jù)二十條”）指出“數(shù)據(jù)作為新型生產(chǎn)要素，是數(shù)字化、網(wǎng)絡(luò)化、智能化的基礎(chǔ)，已快速融入生產(chǎn)、分配、流通、消費和社會服務(wù)管理等各環(huán)節(jié)，深刻改變著生產(chǎn)方式、生活方式和社會治理方式?！?/p>

2.2 數(shù)據(jù)安全形式深刻變化

大數(shù)據(jù)時代，數(shù)據(jù)從紙質(zhì)文檔、硬盤文件、數(shù)據(jù)庫記錄到現(xiàn)在多結(jié)構(gòu)多形式復(fù)雜流動，數(shù)據(jù)的表現(xiàn)形式、使用方式、面對的威脅，都在發(fā)生天翻地覆的變化，數(shù)據(jù)安全面臨的威脅全面升級，有通過系統(tǒng)漏洞等安全途徑的外部攻擊竊取和破壞，有組織內(nèi)部人員管理方面存在漏洞造成的數(shù)據(jù)竊取，有在無正常工作場景下訪問敏感數(shù)據(jù)的數(shù)據(jù)不正當使用，有數(shù)據(jù)在加工過程中出現(xiàn)的過失性泄漏。數(shù)據(jù)安全呈現(xiàn)五大變化：由數(shù)據(jù)保密向數(shù)據(jù)經(jīng)濟秩序保障的轉(zhuǎn)變；由注重系統(tǒng)的防護向聚焦數(shù)據(jù)內(nèi)容本身保護的轉(zhuǎn)變；由適應(yīng)局限性數(shù)據(jù)技術(shù)向適應(yīng)云計算大數(shù)據(jù)技術(shù)的轉(zhuǎn)變；由單一組織保障向跨組織聯(lián)動的轉(zhuǎn)變；由“技術(shù)風(fēng)險+操作風(fēng)險”向“技術(shù)風(fēng)險+操作風(fēng)險+商業(yè)風(fēng)險+法律風(fēng)險”的轉(zhuǎn)變。

2.3 數(shù)據(jù)安全治理模型基本成熟

經(jīng)過對數(shù)據(jù)安全治理的不斷探索，數(shù)據(jù)安全治理模型已經(jīng)趨于成熟。目前國內(nèi)外常見的數(shù)據(jù)安全治理模型有4種[4]，一是微軟（Microsoft）公司提出的DGPC理念，主要圍繞“人員、流程、技術(shù)”3個核心能力領(lǐng)域的具體控制要求展開，與現(xiàn)有安全框架體系或標準協(xié)調(diào)合作以實現(xiàn)治理目標；二是Gartner的數(shù)據(jù)安全治理框架，從數(shù)據(jù)安全治理戰(zhàn)略出發(fā)，進行威脅與風(fēng)險分析并實施管控措施，支撐企業(yè)業(yè)務(wù)戰(zhàn)略落地；三是中國信通院推出的“數(shù)據(jù)安全治理能力評估”（DSG評估），以準確度量企業(yè)的數(shù)據(jù)安全治理能力現(xiàn)狀，合理規(guī)劃數(shù)據(jù)安全治理能力提升路徑為目標；四是國家標準化管理委員會于2019年8月發(fā)布、2020年3月正式實施的數(shù)據(jù)安全能力成熟度模型（DSMM），基于數(shù)據(jù)生命周期及通用安全過程定義數(shù)據(jù)安全過程域和基本實踐。

3 大數(shù)據(jù)時代的數(shù)據(jù)安全治理之路探析

3.1 完善政策環(huán)境，調(diào)動多主體共同參與

我國的數(shù)據(jù)安全治理政策環(huán)境基本搭建完成，但是傳統(tǒng)的單一源數(shù)據(jù)安全治理模式已無法適應(yīng)數(shù)據(jù)應(yīng)用的快速發(fā)展，在國家數(shù)據(jù)安全法律法規(guī)的框架下，一是需要建立激勵多方主動參與的機制，調(diào)動各地方、各行業(yè)、被治理方及相關(guān)方的積極主動性，形成良性生態(tài)，以地方政策、行業(yè)規(guī)范等填補數(shù)據(jù)安全空白節(jié)點。二是需要加強數(shù)據(jù)安全開放交流，加強各方主體之間的交流互通，共享數(shù)據(jù)安全經(jīng)驗，同時加強各領(lǐng)域數(shù)據(jù)安全大腦的互聯(lián)互通，共享數(shù)據(jù)安全風(fēng)險數(shù)據(jù)，加強對攻擊對象的研究分析。三是需要加強數(shù)據(jù)安全的持續(xù)迭代，隨著數(shù)據(jù)的發(fā)展不斷更新優(yōu)化，防范走入以數(shù)據(jù)安全扎緊數(shù)據(jù)發(fā)展“籬笆”的誤區(qū)，明確數(shù)據(jù)安全緊隨數(shù)據(jù)發(fā)展步伐，并為其保駕護航的方向定位。四是按照“誰擁有誰負責(zé)，誰管理誰負責(zé)，誰使用誰負責(zé)，誰采集誰負責(zé)”的原則，確定數(shù)據(jù)安全治理工作的相關(guān)各方的責(zé)任和關(guān)系，明確數(shù)據(jù)安全治理過程中的決策、執(zhí)行、解釋、匯報、協(xié)調(diào)等活動的參與方和負責(zé)方，以及各方承擔(dān)的角色和職責(zé)等，形成有數(shù)據(jù)治理負責(zé)部門牽頭，全員參與的主動認責(zé)文化。

3.2 明確部門權(quán)責(zé)，統(tǒng)籌各單位形成合力

對政府部門來說，對數(shù)據(jù)安全治理方式方法仍處于探索階段，各地方對數(shù)據(jù)安全治理的責(zé)任劃分尚未完全明確，一些地方的數(shù)據(jù)安全責(zé)任主體在工信部門，另一些地方的數(shù)據(jù)安全責(zé)任主體在網(wǎng)信部門，還有的地方將數(shù)據(jù)安全責(zé)任分散；各部門在數(shù)據(jù)安全治理的權(quán)責(zé)上還存在一定交叉，造成重復(fù)執(zhí)法、多層監(jiān)督的情況；各地方各部門執(zhí)法標準尚未統(tǒng)一，執(zhí)法力度各單位自行掌握，不容易做到“一碗水端平”，選擇性執(zhí)法或者偏差性執(zhí)法存在滋生土壤，容易造成矛盾沖突。一是針對各相關(guān)部門在數(shù)據(jù)安全治理的職責(zé)盡快進行科學(xué)統(tǒng)一劃分，構(gòu)建權(quán)責(zé)一致，邊界分明、權(quán)威高效的數(shù)據(jù)安全治理體系。二是根據(jù)權(quán)責(zé)情況明確執(zhí)法牽頭部門，建立數(shù)據(jù)安全治理執(zhí)法聯(lián)席會議制度，由牽頭部門統(tǒng)籌各部門定期溝通協(xié)調(diào)，出臺科學(xué)性、系統(tǒng)性的數(shù)據(jù)安全執(zhí)法流程、標準，制定各成員單位貫通協(xié)同工作機制，上級聯(lián)席會議定期對下級聯(lián)席會議工作進行指導(dǎo)。三是通過聯(lián)席會議監(jiān)督各部門執(zhí)法情況，對相關(guān)單位執(zhí)法情況定期通報，及時發(fā)現(xiàn)并糾正各單位不合規(guī)定的執(zhí)法情況，將各單位執(zhí)法成果進行分享，做到成果多用，共同學(xué)習(xí)。

3.3 圍繞數(shù)據(jù)中心，強化全生命周期安全

大數(shù)據(jù)時代背景下，需要跳出傳統(tǒng)IT安全限制思維，從“以系統(tǒng)為中心”向“以數(shù)據(jù)為中心”轉(zhuǎn)變，以數(shù)據(jù)全生命周期六環(huán)節(jié)為抓手，加強數(shù)據(jù)安全治理。一是數(shù)據(jù)分類分級是數(shù)據(jù)安全治理的前提，只有對數(shù)據(jù)進行有效分類分級，才能在數(shù)據(jù)安全上采用更加精細的措施，使數(shù)據(jù)在使用和安全使用之間獲得平衡，同時，數(shù)據(jù)隨著業(yè)務(wù)不斷新增和變化，這就要求數(shù)據(jù)分類分級也要動態(tài)變化。二是災(zāi)備成為數(shù)據(jù)安全重要保障，數(shù)據(jù)因海量、多維度、多種類的匯集而產(chǎn)生價值，現(xiàn)在國內(nèi)各級別數(shù)據(jù)中心如雨后春筍般涌現(xiàn)，無論是自然災(zāi)難還是人為災(zāi)難，一旦發(fā)生，就會給數(shù)據(jù)中心帶來難以估計的損失，不僅是數(shù)據(jù)本身價值，還包含后續(xù)影響，災(zāi)備成為各項工作正常運轉(zhuǎn)的重要保障。三是數(shù)據(jù)安全的用戶行為審計，數(shù)據(jù)安全行為審計是數(shù)據(jù)安全運維階段不可或缺的關(guān)鍵步驟，它能幫助數(shù)據(jù)所有者了解存在的數(shù)據(jù)安全漏洞，并檢查制訂的安全策略得到有效執(zhí)行，包括定期的合規(guī)性檢查，定期的用戶行為審計等。四是數(shù)據(jù)脫敏加密，對某些敏感信息通過脫敏規(guī)則進行數(shù)據(jù)的變形，實現(xiàn)敏感隱私數(shù)據(jù)的可靠保護。這樣可以使數(shù)據(jù)本身的安全等級降級，就可以在開發(fā)、測試和其他非生產(chǎn)環(huán)境以及外包或云計算環(huán)境中安全地使用脫敏后的真實數(shù)據(jù)集。提供基于分布式文件存儲系統(tǒng)（HDFS）的數(shù)據(jù)加密存儲方案，實現(xiàn)透明，端到端數(shù)據(jù)加密，實現(xiàn)用戶無感的數(shù)據(jù)透明加密。提供數(shù)據(jù)靜態(tài)脫敏和動態(tài)脫敏能力，支持脫敏數(shù)據(jù)表范圍、白名單、有效期限的設(shè)置，實現(xiàn)動態(tài)脫敏范圍的精準可控。

3.4 提升數(shù)字素養(yǎng)，儲備多維度治理人才

數(shù)據(jù)安全治理隨著數(shù)據(jù)應(yīng)用技術(shù)的發(fā)展而快速迭代演變，已有的數(shù)據(jù)安全人員結(jié)構(gòu)、人員素養(yǎng)等已無法滿足飛速演變的數(shù)據(jù)安全治理需要，這就要求數(shù)據(jù)安全治理的人員結(jié)構(gòu)、人員素養(yǎng)等也要隨著數(shù)據(jù)應(yīng)用技術(shù)發(fā)展同步提升、一體優(yōu)化[5]。一是提升數(shù)據(jù)安全意識，加強相關(guān)人員自律。大數(shù)據(jù)時代，網(wǎng)絡(luò)安全攻擊對數(shù)據(jù)的威脅不容小覷，來自于內(nèi)部人員對數(shù)據(jù)的泄漏同樣不可忽視，從眾多數(shù)據(jù)安全事件也可以發(fā)現(xiàn)，由于數(shù)據(jù)的高價值誘惑，內(nèi)部人員竊取數(shù)據(jù)安全事件頻發(fā)，提升內(nèi)部人員的數(shù)據(jù)安全意識，加強相關(guān)人員自律是防止數(shù)據(jù)安全事件發(fā)生的關(guān)鍵點之一。二是注重數(shù)據(jù)安全人才培養(yǎng)，強化數(shù)據(jù)安全人才儲備。數(shù)據(jù)安全人員培養(yǎng)應(yīng)與數(shù)據(jù)發(fā)展人員培養(yǎng)同步開展，制定數(shù)據(jù)安全人才培養(yǎng)目標和計劃，根據(jù)計劃制定數(shù)據(jù)安全培養(yǎng)實施方案，對通過培訓(xùn)、考核等方式，將人員統(tǒng)一納入數(shù)據(jù)安全人才儲備庫，加強人才的匯集和儲備。三是發(fā)揮監(jiān)督合力，促進人員正向發(fā)展。加強規(guī)章制度同步優(yōu)化和技術(shù)監(jiān)測預(yù)警同步開展，以制度規(guī)范加強對人員的約束，利用技術(shù)手段對各層級的數(shù)據(jù)權(quán)限、數(shù)據(jù)量級加以檢測預(yù)警。制度和技術(shù)形成合力，確保杜絕數(shù)據(jù)安全事件從內(nèi)部發(fā)生。

4 結(jié)束語

總而言之，大數(shù)據(jù)時代，數(shù)據(jù)呈現(xiàn)出前所未有的爆炸式增長，海量的數(shù)據(jù)規(guī)模、快速的數(shù)據(jù)流轉(zhuǎn)、動態(tài)的數(shù)據(jù)體系和多樣的數(shù)據(jù)類型賦予數(shù)據(jù)前所未有的價值，數(shù)據(jù)安全問題成為管理部門重點研究的對象。在數(shù)據(jù)運行和使用過程中，不斷完善的政策環(huán)境、各部門的統(tǒng)籌溝通協(xié)調(diào)、數(shù)據(jù)的全生命周期安全、數(shù)據(jù)安全治理人才的儲備等，為數(shù)據(jù)發(fā)揮價值，提供了有效的安全防護。