3月28日,2023年CCIA网络安全技术应用专题研讨会在北京召开。在“数据安全和个人信息保护专题会”上,北京理工大学法学院教授洪延青指出,从网络安全法、数据安全法到个人信息保护法,不同法律对“安全”定义的变化折射出我国数据安全思路和内涵的转变。在“数据二十条”的新背景下,对安全定义的认识又有一次新扩张,即更多关注关系型的安全治理。

全知科技CEO方兴则从实践的角度提出,目前的监管导向存在一些偏离,可能降低企业建立数据安全风险检测、解决能力的意愿。他建议由国家层面牵头成立一个数据风险监测和预警体系,包括对积极发现风险、处置风险的单位给予更多正向的激励,而不是反向的打击。

文|樊文扬

新背景下的“安全”关注关系型治理

目前,我国已经形成了由网络安全法、数据安全法、个人信息保护法“三驾马车”组成的数据保护顶层设计。在洪延青看来,这三部法律对“安全”定义的变化折射出我国数据安全思路和内涵的转变。

网络安全法规定,网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。洪延青认为这是一个非常技术化的定义,其核心目的是网络要处于一个稳定、可靠的运行状态,认为只要保护好载体,其中流动的数据就可以实现安全。

数据安全法规定,数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。他认为,如果“有效保护”是指数据的完整性、保密性、可用性,那么“合法利用”意味着监管部门延展了对“数据安全”定义的认识。

个人信息保护法如今使用“合规”这一概念。“‘合规’也叫‘安全’,现在是一个大安全概念。”洪延青说。此外,总体国家安全观于2014年首次提出,并首次系统提出“11种安全”;如今,新时代国家安全体系总体国家安全观扩展至16种,“总体国家安全观对安全的界定也在变化”。

去年,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(简称“数据二十条”),对安全提出了怎样的新要求?

洪延青以数据出境为例分析道,出境意味着从一个相对已知的环境到另一个未知的环境,为保障流动过程中的数据安全,多数厂商会采用隐私计算、数据脱敏等办法,而这些办法的目标类似——不希望在未知环境有所作为,未知环境始终保持未知,只是希望在有价值的数据“流”到未知环境的过程中,尽量少的信息和内容被泄露。

不过,“数据二十条”针对数据交易流通提出了更多要求,且随着场景的丰富,脱敏和隐私计算使用场景相对有限的问题也逐渐凸显。因此,在洪延青看来,在“数据二十条”的新背景下,对安全定义的认识又有一次新冲击和扩张。

“我自己把它界定为‘关系型的安全治理’。”洪延青解释,不能再让未知环境始终处于未知状态下,要把安全措施布置到未知环境中去,让未知环境变得相对可控、可知。在他看来,数据交易所、快消品行业里的联合计算等技术模式本质上都是关系型治理。

他还指出,关系型治理除了包括管理规则,更重要的是用技术支撑管理规则的落地以及保证管理规则的可视、可控、可干预。如果能实现这一点,很多安全相关的产品或解决方案能与业务社会特别贴近,“业务方能买单,可能我们的市场会更大。”

从生产安全视角重新看待数据安全

党的二十大报告提出“强化数据安全保障体系建设”,将数据安全与经济安全、金融安全、网络安全等放在同等重要位置。这意味着什么?

方兴在会上分析,从传统视角来看,数据安全是指高价值信息在数据载体上的安全;然而,随着大数据、AI等技术发展,目前逐渐无需靠人,而是靠机器从数据中挖掘知识和情报。他进一步指出,传统视角里的信息安全、网络安全强调资产保护,为了防范他人获取自己已经得到的高价值数据,可能会采取一种防御性的措施,比如将数据“锁”起来、减少流通;当前进入数字化时代,数据成为新的生产要素,应将从前的这种资产视角转变为生产视角。

“针对生产要素去进行保护,实际上比资产层面的保护要困难得多——这是我理解的为什么现在要把数据安全单独拿出来与原来的网络安全并列,因为它产生了完全不同的视角。”方兴表示,以前所有的网络安全、信息安全都不是以生产安全的视角来看,而是资产保护的视角。如何改变思路,重新看待数据安全是目前的核心问题。

具体而言,生产视角要考虑生产过程效率的平衡,要关注全流程以及潜在的未知危害。“这个时候你关注的对象不仅仅是外界,别人的行为,更关注被保护的对象。全流程关注这个对象的状态,去追踪这个对象到底在干什么,并且延伸到所有的流通环节中去——这是我觉得数据安全中最难做的事情,也是最有挑战的事情。”他说。

方兴表示,关注数据的全流程状态也导致数据安全法在落地过程中遇到了一个很大的挑战:需要关注的细节过多,同时还要考虑生产数据的价值平衡。方兴直言,曾经遇到的某位专家在会上称“数据是国家的,一条都不能丢”。在他看来,如果这句话指的是高密度信息,他对此表示认同,但“这个理念放在数据安全领域是行不通的”——数据只有被利用起来、促进价值的产生,才会具备价值。

应激励主动发现处置数安风险的企业

谈及目前监管和企业落地数据安全过程中遇到的关键问题,方兴认为涉及多方面,其中一个是数据“看不见”。他认为,目前最重要的不是防御外来攻击者,而是明确作为管理对象的数据,其状态如何、流向何处等。事实上,很多数据是“看不见”的,想在生产环境中去管理它们非常困难。

因此,他认为应重新构建一个数据流动的体系模型,对数据资产、数据流向、数据活动、数据使用场景等进行明确,“如果这些东西都刻画不清楚,我认为一个企业是做不好数据安全的。”

另一方面是监管要求未细化。细化数据安全领域的管理细则十分重要,由于数据管理关键环节的要求无法明确,数据安全工作也难以落地。在方兴看来,接下来数据安全领域的最重要的工作,包括从国家层面加快推进重要数据目录和数据安全管理要求细则的出台。

具体而言,由于体量太大,要识别所有数据并判断是否为重要数据非常困难,且成本很高。根据相关法律法规,各行各业需制定自己的重要数据目录,但目前这一工作进展缓慢,企业在落实该要求的过程中存在理解不清,执行困难等情况。此外,由于缺乏清晰的数据或范围目录,其后的很多数据安全工作也难以开展。

“细化管理要求才能真正落实”,方兴强调,在生产安全中缺乏管理细则,这会导致企业难以执行和落地。“如果只有一个框架型的要求,非常难以把控当中的力度。”

此外,方兴直言,目前的导向协同存在一些偏离。“我们帮客户发现了很多风险,把抓到的人移交给公安,反倒他(客户)成了公安重点关注对象。既然出了事就天天盯着你,(认为客户是)高风险的企业。这对客户来说就是给自己找麻烦。”

为此,他建议,由国家层面牵头成立一个数据风险监测和预警体系,包括对积极发现风险、处置风险的单位给予更多正向的激励,而不是反向的打击。通过协同产业界力量,及时发现、响应和处理风险。

南都记者了解到,此次会议上,CCIA数据安全委员会不仅汇报了2022年工作、表彰了先进单位及个人,还汇报了数据安全和个人信息保护社会责任专题工作的开展情况、发布试点评价结果,并由试点参与单位代表分享数据安全和个人信息保护社会责任履行经验。

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。