杜跃进：数据安全治理的基本思路

防误用指的是防止数据在加工过程中出现过失性泄露。人类正在进入定制化生产的时代，这个时代的基础之一是基于大数据的加工计算。大数据加工计算的过程中如何做到不侵犯用户个人隐私，就是典型的防误用问题。显然这个问题已经成为今天的典型突出问题了。

实际上人们今天谈之色变的“用户画像”、“精准营销”等，早已经在普遍使用了，而且这些都是未来数字经济、智慧城市和治理等工作必不可少的技术。只是到具体的实现层面，，有没有采用合适的制度和技术手段确保这些过程中不会泄露特定人的隐私，是今天每个组织需要回答的数据安全问题。在技术上这也不是无法做到的，有很多比较成熟的方法可以做到让用户感觉有个贴身秘书在给自己服务，但是实际上没有人能够在数据加工的全过程中窥探到特定用户的隐私。可是在意识上，恐怕现在绝大多数组织在这方面还需要提高。

数据安全治理三原则

搞清楚数据安全要解决哪些问题、大数据时代下解决这些问题所面临的主要挑战，就可以梳理数据安全治理的核心思路了。简单说，数据安全治理可以遵循“以数据为中心、以组织为单位、以能力成熟度为基本抓手”的原则。

1、以数据为中心

以数据为中心，是数据安全工作的核心技术思想。人们比较习惯的是以系统为中心的思想，即围绕着一个数据库、一个产品、一个网站、一个服务器等评价其安全性。这种思路主要适用于保护一个特定系统的正常工作状态。但是在今天，数据在多个系统、产品、业务环节中频繁快速流转，这种以系统为中心的思想已经不能满足数据安全的需求了。以数据为中心的安全，是将数据的防窃取防滥用防误用作为主线，在数据的生命周期内各不同环节所涉及的信息系统、运行环境、业务场景和操作人员等作为围绕数据安全保护的支撑。这时候，某个系统被入侵，并不等于数据安全的目标就遭到最终的破坏，反之某个单一环节的安全能力再强，也不代表整体数据安全保护的能力就够好。

在数据生命周期的不同阶段，数据面临的安全威胁、可以采用的安全手段有可能很不一样。例如，在数据采集阶段，可能存在采集数据被攻击者直接窃取，或者个人生物特征数据不必要的存储面临泄露危险等；在数据存储阶段，可能存在存储系统被入侵进而导致数据被窃取，或者授权用户无应用场景支持访问用户敏感数据，或者存储设备丢失导致数据泄露等；在数据处理阶段，可能存在算法不当导致用户个人信息泄露等。把不同阶段从不同角度面临的风险放到一起进行综合考虑，建立强调整体而不是某个环节安全能力，是以数据为中心的安全的核心思想。

2、以组织为单位

以组织为单位，是数据安全治理的核心管理思想。

读完前面的内容后应该容易理解，一个服务器很安全、一个手机应用产品很安全都不代表着要保护的数据安全。数据会在不同的服务器、产品、业务中流转。而且从法律的角度来说，拥有或使用数据的组织才是承担数据安全责任的主体。因此，虽然在大数据时代还有数据共享、数据转移、数据交易等各种复杂的情况，但拥有或者处理数据的组织是所有这些活动的基本单元，因此也是数据安全治理的基本单位。

以组织为单位的数据安全治理，具体指的是数据在特定组织内全生命周期的安全，这个组织要对其负责。不论数据在这个组织中的生命周期涉及多少产品业务或人员，那些单个系统单个业务的安全都不说明问题，说明问题的应该被最终衡量的这个组织的数据安全。一个组织的数据安全水平，可以作为其是否符合法律要求、特定事件中具备怎样的责任、面向用户赢取信任、面向行业适合处理的数据类型和规模等的参考依据。换句话说，政府或者行业可以以组织为单位进行数据安全管理，而不是某个产品的安全，一个组织要证明的是自己整个组织的数据安全水平，而不是自己的某个应用的安全。

3、以能力成熟度为基本抓手

用什么来衡量组织的数据安全呢？数据安全的能力成熟度可以作为基本抓手。

能力成熟度是一种经过考验的方法，目前在越来越多的领域被应用，美国甚至制定了网络空间安全能力成熟度战略。数据安全能力成熟度模型，是借鉴能力成熟度的核心思想，结合数据在组织内的生命周期以及构成安全能力的关键要素而构建的。一个组织的数据安全能力成熟度等级，说明了这个组织在数据安全保护方面的综合能力水平。而这个水平的高低，则可以用于数据安全治理的各种相关工作。例如，相关政府部门或行业主管部门，可以根据本行业的数据敏感度特点决定哪些数据类型或者多大的数据规模需要多高的数据安全能力成熟度水平，进而让数据安全能力成熟度足够的组织才能够处理特定数据，从而实现本行业安全与发展的平衡；在数据共享、转移、交易等过程中，法律可以规定数据拥有者有义务要求数据接受者提供自己足够的数据安全能力成熟度水平，从而避免数据在流动过程中进入安全更差的组织，从而减少数据流动导致的安全失控；根据特定行业、特定数据类型以及特定时段数据安全威胁的具体情况，国家主管部门可以设定和调整特定领域数据安全能力成熟度的衡量标准和等级要求，从而实现整体数据安全状态的可控；组织可以通过自己的数据安全能力成熟度水平，让消费者用更加客观量化的方法衡量自己是否值得信任；等等。

实现良币驱逐劣币，让数据安全成为竞争力

数据安全治理的核心目的，是实现安全与发展的平衡，让大数据时代的发展能够健康持续进行下去。数据安全治理最需要避免的情况，是用安全的名义扼杀了发展（这是更大的不安全），或者导致谁重视安全谁吃亏，最后产生了劣币驱逐良币的现象出现。

数据安全治理要避免过去那种自上而下的“管家式”管理模式，因为每一个企业、每一个组织都将离不开数据，数据安全问题并不是只需要关注那些大企业大产品就行了。可是政府从上而下管理数千万家企业数千万个组织是不可能有好的效果的，更不要说这是业务产品超级复杂并且快速变化的新时代。因此，需要建立的是自下而上的制度，让组织自己有提升和证明自身数据安全能力成熟度水平的积极性，让数据安全能力成熟度高的组织拥有更大的发展空间和竞争优势，让规范的第三方数据安全服务产业发展起来实现专业的数据安全服务和测评认证体系，由此形成良好的数据安全治理生态，提升全社会的数据安全水平。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!