敖杰 姚輝

1. 天津市河?xùn)|區(qū)大數(shù)據(jù)管理中心 天津 300161；

2. 天津市審計(jì)局 天津 300200

引言

黨的二十大報(bào)告中強(qiáng)調(diào)“推進(jìn)國(guó)家安全體系和能力現(xiàn)代化，堅(jiān)決維護(hù)國(guó)家安全和社會(huì)穩(wěn)定?！苯陙?lái)，隨著社會(huì)的不斷發(fā)展，大數(shù)據(jù)時(shí)代已經(jīng)到來(lái)，人們無(wú)時(shí)無(wú)刻不享受著大數(shù)據(jù)帶來(lái)的便捷與高效，但是隨之而來(lái)的數(shù)據(jù)安全事件層出不窮，個(gè)人隱私、商業(yè)機(jī)密甚至國(guó)家安全面臨嚴(yán)重威脅，數(shù)據(jù)安全治理已經(jīng)成為大數(shù)據(jù)時(shí)代下極其緊迫和重要的課題。

1 大數(shù)據(jù)時(shí)代下的數(shù)據(jù)安全現(xiàn)狀

1.1 數(shù)據(jù)安全事件頻發(fā)

近年來(lái)國(guó)內(nèi)外數(shù)據(jù)安全事件頻發(fā)，以2022年為例，三星電子150GB的機(jī)密數(shù)據(jù)和核心源代碼泄露、宜家加拿大公司9.5萬(wàn)名客戶的個(gè)人信息數(shù)據(jù)泄露、空港服務(wù)公司Swissport TB級(jí)用戶數(shù)據(jù)泄露、英偉達(dá)1TB機(jī)密文件遭竊7萬(wàn)員工信息泄露、南非幾乎所有公民征信數(shù)據(jù)泄露、醫(yī)療設(shè)備公司Shields泄露200萬(wàn)美國(guó)患者信息、學(xué)習(xí)通1.7億條學(xué)生信息泄露、蔚來(lái)汽車百萬(wàn)條用戶信息數(shù)據(jù)泄露、平安人壽4萬(wàn)條公民信息泄露……據(jù)IBM發(fā)布的《2022年數(shù)據(jù)泄露成本報(bào)告》顯示，2022年全球數(shù)據(jù)泄露平均成本高達(dá)435萬(wàn)美元，創(chuàng)下該年度報(bào)告發(fā)布17年以來(lái)的最高紀(jì)錄[1]。

1.2 國(guó)內(nèi)數(shù)據(jù)安全法律建設(shè)情況

2017年6月《網(wǎng)絡(luò)安全法》實(shí)施，對(duì)個(gè)人信息和重要數(shù)據(jù)的使用進(jìn)行了規(guī)定。2017年12月《個(gè)人信息安全規(guī)范》頒布，從國(guó)家標(biāo)準(zhǔn)層面為企業(yè)提供個(gè)人信息保護(hù)進(jìn)行了約定，并于2020年再次修訂發(fā)布[2]。2020年4月《網(wǎng)絡(luò)安全審查辦法》發(fā)布，2022年發(fā)布修訂稿，細(xì)化了網(wǎng)絡(luò)安全審查重點(diǎn)內(nèi)容。2021年6月《數(shù)據(jù)安全法》頒布，成為數(shù)據(jù)安全領(lǐng)域的“基礎(chǔ)性法律”，新設(shè)若干監(jiān)管制度，對(duì)數(shù)據(jù)安全進(jìn)行保護(hù)和監(jiān)管。2021年8月《個(gè)人信息保護(hù)法》頒布，運(yùn)用民事保護(hù)、行政監(jiān)管等綜合性手段對(duì)個(gè)人權(quán)益加以保護(hù)。2022年9月《數(shù)據(jù)出境安全評(píng)估辦法》實(shí)施，細(xì)化了個(gè)人信息和重要數(shù)據(jù)的出境安全評(píng)估制度安排。

2 大數(shù)據(jù)時(shí)代下的數(shù)據(jù)安全必走治理之路

2.1 數(shù)據(jù)重要地位日益凸顯

2019年10月，黨的十九屆四中全會(huì)首次將數(shù)據(jù)列入新型生產(chǎn)要素。2020年4月，中共中央、國(guó)務(wù)院發(fā)布《中共中央國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》，是中央第一份關(guān)于要素市場(chǎng)化配置的文件，首次明確數(shù)據(jù)成為與土地、資本、勞動(dòng)力、技術(shù)并列的第五大生產(chǎn)要素，并強(qiáng)調(diào)要加快培育數(shù)據(jù)要素市場(chǎng)[3]。2022年12月，中共中央、國(guó)務(wù)院印發(fā)《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》（以下簡(jiǎn)稱“數(shù)據(jù)二十條”）指出“數(shù)據(jù)作為新型生產(chǎn)要素，是數(shù)字化、網(wǎng)絡(luò)化、智能化的基礎(chǔ)，已快速融入生產(chǎn)、分配、流通、消費(fèi)和社會(huì)服務(wù)管理等各環(huán)節(jié)，深刻改變著生產(chǎn)方式、生活方式和社會(huì)治理方式?！?/p>

2.2 數(shù)據(jù)安全形式深刻變化

大數(shù)據(jù)時(shí)代，數(shù)據(jù)從紙質(zhì)文檔、硬盤文件、數(shù)據(jù)庫(kù)記錄到現(xiàn)在多結(jié)構(gòu)多形式復(fù)雜流動(dòng)，數(shù)據(jù)的表現(xiàn)形式、使用方式、面對(duì)的威脅，都在發(fā)生天翻地覆的變化，數(shù)據(jù)安全面臨的威脅全面升級(jí)，有通過(guò)系統(tǒng)漏洞等安全途徑的外部攻擊竊取和破壞，有組織內(nèi)部人員管理方面存在漏洞造成的數(shù)據(jù)竊取，有在無(wú)正常工作場(chǎng)景下訪問(wèn)敏感數(shù)據(jù)的數(shù)據(jù)不正當(dāng)使用，有數(shù)據(jù)在加工過(guò)程中出現(xiàn)的過(guò)失性泄漏。數(shù)據(jù)安全呈現(xiàn)五大變化：由數(shù)據(jù)保密向數(shù)據(jù)經(jīng)濟(jì)秩序保障的轉(zhuǎn)變；由注重系統(tǒng)的防護(hù)向聚焦數(shù)據(jù)內(nèi)容本身保護(hù)的轉(zhuǎn)變；由適應(yīng)局限性數(shù)據(jù)技術(shù)向適應(yīng)云計(jì)算大數(shù)據(jù)技術(shù)的轉(zhuǎn)變；由單一組織保障向跨組織聯(lián)動(dòng)的轉(zhuǎn)變；由“技術(shù)風(fēng)險(xiǎn)+操作風(fēng)險(xiǎn)”向“技術(shù)風(fēng)險(xiǎn)+操作風(fēng)險(xiǎn)+商業(yè)風(fēng)險(xiǎn)+法律風(fēng)險(xiǎn)”的轉(zhuǎn)變。

2.3 數(shù)據(jù)安全治理模型基本成熟

經(jīng)過(guò)對(duì)數(shù)據(jù)安全治理的不斷探索，數(shù)據(jù)安全治理模型已經(jīng)趨于成熟。目前國(guó)內(nèi)外常見(jiàn)的數(shù)據(jù)安全治理模型有4種[4]，一是微軟（Microsoft）公司提出的DGPC理念，主要圍繞“人員、流程、技術(shù)”3個(gè)核心能力領(lǐng)域的具體控制要求展開，與現(xiàn)有安全框架體系或標(biāo)準(zhǔn)協(xié)調(diào)合作以實(shí)現(xiàn)治理目標(biāo)；二是Gartner的數(shù)據(jù)安全治理框架，從數(shù)據(jù)安全治理戰(zhàn)略出發(fā)，進(jìn)行威脅與風(fēng)險(xiǎn)分析并實(shí)施管控措施，支撐企業(yè)業(yè)務(wù)戰(zhàn)略落地；三是中國(guó)信通院推出的“數(shù)據(jù)安全治理能力評(píng)估”（DSG評(píng)估），以準(zhǔn)確度量企業(yè)的數(shù)據(jù)安全治理能力現(xiàn)狀，合理規(guī)劃數(shù)據(jù)安全治理能力提升路徑為目標(biāo)；四是國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)于2019年8月發(fā)布、2020年3月正式實(shí)施的數(shù)據(jù)安全能力成熟度模型（DSMM），基于數(shù)據(jù)生命周期及通用安全過(guò)程定義數(shù)據(jù)安全過(guò)程域和基本實(shí)踐。

3 大數(shù)據(jù)時(shí)代的數(shù)據(jù)安全治理之路探析

3.1 完善政策環(huán)境，調(diào)動(dòng)多主體共同參與

我國(guó)的數(shù)據(jù)安全治理政策環(huán)境基本搭建完成，但是傳統(tǒng)的單一源數(shù)據(jù)安全治理模式已無(wú)法適應(yīng)數(shù)據(jù)應(yīng)用的快速發(fā)展，在國(guó)家數(shù)據(jù)安全法律法規(guī)的框架下，一是需要建立激勵(lì)多方主動(dòng)參與的機(jī)制，調(diào)動(dòng)各地方、各行業(yè)、被治理方及相關(guān)方的積極主動(dòng)性，形成良性生態(tài)，以地方政策、行業(yè)規(guī)范等填補(bǔ)數(shù)據(jù)安全空白節(jié)點(diǎn)。二是需要加強(qiáng)數(shù)據(jù)安全開放交流，加強(qiáng)各方主體之間的交流互通，共享數(shù)據(jù)安全經(jīng)驗(yàn)，同時(shí)加強(qiáng)各領(lǐng)域數(shù)據(jù)安全大腦的互聯(lián)互通，共享數(shù)據(jù)安全風(fēng)險(xiǎn)數(shù)據(jù)，加強(qiáng)對(duì)攻擊對(duì)象的研究分析。三是需要加強(qiáng)數(shù)據(jù)安全的持續(xù)迭代，隨著數(shù)據(jù)的發(fā)展不斷更新優(yōu)化，防范走入以數(shù)據(jù)安全扎緊數(shù)據(jù)發(fā)展“籬笆”的誤區(qū)，明確數(shù)據(jù)安全緊隨數(shù)據(jù)發(fā)展步伐，并為其保駕護(hù)航的方向定位。四是按照“誰(shuí)擁有誰(shuí)負(fù)責(zé)，誰(shuí)管理誰(shuí)負(fù)責(zé)，誰(shuí)使用誰(shuí)負(fù)責(zé)，誰(shuí)采集誰(shuí)負(fù)責(zé)”的原則，確定數(shù)據(jù)安全治理工作的相關(guān)各方的責(zé)任和關(guān)系，明確數(shù)據(jù)安全治理過(guò)程中的決策、執(zhí)行、解釋、匯報(bào)、協(xié)調(diào)等活動(dòng)的參與方和負(fù)責(zé)方，以及各方承擔(dān)的角色和職責(zé)等，形成有數(shù)據(jù)治理負(fù)責(zé)部門牽頭，全員參與的主動(dòng)認(rèn)責(zé)文化。

3.2 明確部門權(quán)責(zé)，統(tǒng)籌各單位形成合力

對(duì)政府部門來(lái)說(shuō)，對(duì)數(shù)據(jù)安全治理方式方法仍處于探索階段，各地方對(duì)數(shù)據(jù)安全治理的責(zé)任劃分尚未完全明確，一些地方的數(shù)據(jù)安全責(zé)任主體在工信部門，另一些地方的數(shù)據(jù)安全責(zé)任主體在網(wǎng)信部門，還有的地方將數(shù)據(jù)安全責(zé)任分散；各部門在數(shù)據(jù)安全治理的權(quán)責(zé)上還存在一定交叉，造成重復(fù)執(zhí)法、多層監(jiān)督的情況；各地方各部門執(zhí)法標(biāo)準(zhǔn)尚未統(tǒng)一，執(zhí)法力度各單位自行掌握，不容易做到“一碗水端平”，選擇性執(zhí)法或者偏差性執(zhí)法存在滋生土壤，容易造成矛盾沖突。一是針對(duì)各相關(guān)部門在數(shù)據(jù)安全治理的職責(zé)盡快進(jìn)行科學(xué)統(tǒng)一劃分，構(gòu)建權(quán)責(zé)一致，邊界分明、權(quán)威高效的數(shù)據(jù)安全治理體系。二是根據(jù)權(quán)責(zé)情況明確執(zhí)法牽頭部門，建立數(shù)據(jù)安全治理執(zhí)法聯(lián)席會(huì)議制度，由牽頭部門統(tǒng)籌各部門定期溝通協(xié)調(diào)，出臺(tái)科學(xué)性、系統(tǒng)性的數(shù)據(jù)安全執(zhí)法流程、標(biāo)準(zhǔn)，制定各成員單位貫通協(xié)同工作機(jī)制，上級(jí)聯(lián)席會(huì)議定期對(duì)下級(jí)聯(lián)席會(huì)議工作進(jìn)行指導(dǎo)。三是通過(guò)聯(lián)席會(huì)議監(jiān)督各部門執(zhí)法情況，對(duì)相關(guān)單位執(zhí)法情況定期通報(bào)，及時(shí)發(fā)現(xiàn)并糾正各單位不合規(guī)定的執(zhí)法情況，將各單位執(zhí)法成果進(jìn)行分享，做到成果多用，共同學(xué)習(xí)。

3.3 圍繞數(shù)據(jù)中心，強(qiáng)化全生命周期安全

大數(shù)據(jù)時(shí)代背景下，需要跳出傳統(tǒng)IT安全限制思維，從“以系統(tǒng)為中心”向“以數(shù)據(jù)為中心”轉(zhuǎn)變，以數(shù)據(jù)全生命周期六環(huán)節(jié)為抓手，加強(qiáng)數(shù)據(jù)安全治理。一是數(shù)據(jù)分類分級(jí)是數(shù)據(jù)安全治理的前提，只有對(duì)數(shù)據(jù)進(jìn)行有效分類分級(jí)，才能在數(shù)據(jù)安全上采用更加精細(xì)的措施，使數(shù)據(jù)在使用和安全使用之間獲得平衡，同時(shí)，數(shù)據(jù)隨著業(yè)務(wù)不斷新增和變化，這就要求數(shù)據(jù)分類分級(jí)也要?jiǎng)討B(tài)變化。二是災(zāi)備成為數(shù)據(jù)安全重要保障，數(shù)據(jù)因海量、多維度、多種類的匯集而產(chǎn)生價(jià)值，現(xiàn)在國(guó)內(nèi)各級(jí)別數(shù)據(jù)中心如雨后春筍般涌現(xiàn)，無(wú)論是自然災(zāi)難還是人為災(zāi)難，一旦發(fā)生，就會(huì)給數(shù)據(jù)中心帶來(lái)難以估計(jì)的損失，不僅是數(shù)據(jù)本身價(jià)值，還包含后續(xù)影響，災(zāi)備成為各項(xiàng)工作正常運(yùn)轉(zhuǎn)的重要保障。三是數(shù)據(jù)安全的用戶行為審計(jì)，數(shù)據(jù)安全行為審計(jì)是數(shù)據(jù)安全運(yùn)維階段不可或缺的關(guān)鍵步驟，它能幫助數(shù)據(jù)所有者了解存在的數(shù)據(jù)安全漏洞，并檢查制訂的安全策略得到有效執(zhí)行，包括定期的合規(guī)性檢查，定期的用戶行為審計(jì)等。四是數(shù)據(jù)脫敏加密，對(duì)某些敏感信息通過(guò)脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，實(shí)現(xiàn)敏感隱私數(shù)據(jù)的可靠保護(hù)。這樣可以使數(shù)據(jù)本身的安全等級(jí)降級(jí)，就可以在開發(fā)、測(cè)試和其他非生產(chǎn)環(huán)境以及外包或云計(jì)算環(huán)境中安全地使用脫敏后的真實(shí)數(shù)據(jù)集。提供基于分布式文件存儲(chǔ)系統(tǒng)（HDFS）的數(shù)據(jù)加密存儲(chǔ)方案，實(shí)現(xiàn)透明，端到端數(shù)據(jù)加密，實(shí)現(xiàn)用戶無(wú)感的數(shù)據(jù)透明加密。提供數(shù)據(jù)靜態(tài)脫敏和動(dòng)態(tài)脫敏能力，支持脫敏數(shù)據(jù)表范圍、白名單、有效期限的設(shè)置，實(shí)現(xiàn)動(dòng)態(tài)脫敏范圍的精準(zhǔn)可控。

3.4 提升數(shù)字素養(yǎng)，儲(chǔ)備多維度治理人才

數(shù)據(jù)安全治理隨著數(shù)據(jù)應(yīng)用技術(shù)的發(fā)展而快速迭代演變，已有的數(shù)據(jù)安全人員結(jié)構(gòu)、人員素養(yǎng)等已無(wú)法滿足飛速演變的數(shù)據(jù)安全治理需要，這就要求數(shù)據(jù)安全治理的人員結(jié)構(gòu)、人員素養(yǎng)等也要隨著數(shù)據(jù)應(yīng)用技術(shù)發(fā)展同步提升、一體優(yōu)化[5]。一是提升數(shù)據(jù)安全意識(shí)，加強(qiáng)相關(guān)人員自律。大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)安全攻擊對(duì)數(shù)據(jù)的威脅不容小覷，來(lái)自于內(nèi)部人員對(duì)數(shù)據(jù)的泄漏同樣不可忽視，從眾多數(shù)據(jù)安全事件也可以發(fā)現(xiàn)，由于數(shù)據(jù)的高價(jià)值誘惑，內(nèi)部人員竊取數(shù)據(jù)安全事件頻發(fā)，提升內(nèi)部人員的數(shù)據(jù)安全意識(shí)，加強(qiáng)相關(guān)人員自律是防止數(shù)據(jù)安全事件發(fā)生的關(guān)鍵點(diǎn)之一。二是注重?cái)?shù)據(jù)安全人才培養(yǎng)，強(qiáng)化數(shù)據(jù)安全人才儲(chǔ)備。數(shù)據(jù)安全人員培養(yǎng)應(yīng)與數(shù)據(jù)發(fā)展人員培養(yǎng)同步開展，制定數(shù)據(jù)安全人才培養(yǎng)目標(biāo)和計(jì)劃，根據(jù)計(jì)劃制定數(shù)據(jù)安全培養(yǎng)實(shí)施方案，對(duì)通過(guò)培訓(xùn)、考核等方式，將人員統(tǒng)一納入數(shù)據(jù)安全人才儲(chǔ)備庫(kù)，加強(qiáng)人才的匯集和儲(chǔ)備。三是發(fā)揮監(jiān)督合力，促進(jìn)人員正向發(fā)展。加強(qiáng)規(guī)章制度同步優(yōu)化和技術(shù)監(jiān)測(cè)預(yù)警同步開展，以制度規(guī)范加強(qiáng)對(duì)人員的約束，利用技術(shù)手段對(duì)各層級(jí)的數(shù)據(jù)權(quán)限、數(shù)據(jù)量級(jí)加以檢測(cè)預(yù)警。制度和技術(shù)形成合力，確保杜絕數(shù)據(jù)安全事件從內(nèi)部發(fā)生。

4 結(jié)束語(yǔ)

總而言之，大數(shù)據(jù)時(shí)代，數(shù)據(jù)呈現(xiàn)出前所未有的爆炸式增長(zhǎng)，海量的數(shù)據(jù)規(guī)模、快速的數(shù)據(jù)流轉(zhuǎn)、動(dòng)態(tài)的數(shù)據(jù)體系和多樣的數(shù)據(jù)類型賦予數(shù)據(jù)前所未有的價(jià)值，數(shù)據(jù)安全問(wèn)題成為管理部門重點(diǎn)研究的對(duì)象。在數(shù)據(jù)運(yùn)行和使用過(guò)程中，不斷完善的政策環(huán)境、各部門的統(tǒng)籌溝通協(xié)調(diào)、數(shù)據(jù)的全生命周期安全、數(shù)據(jù)安全治理人才的儲(chǔ)備等，為數(shù)據(jù)發(fā)揮價(jià)值，提供了有效的安全防護(hù)。