在以智能化为核心的第四次工业革命的浪潮中,如果说“算法”是数字经济时代的社会治理和数字化商业转型的核心引擎,那么“数据”,就是驱动引擎的燃料。数据作为21世纪的石油,其重要性不言而喻。而数据安全,也是数字风险治理中最重要、最复杂、最具挑战性的工作。
从个人、企业到国家,都面临数据不安全带来的风险,围绕大数据的创新和安全,各种政策、法律、标准、产品和学术研究表现出空前的热情。然而,纷至沓来的讨论却也使人们陷入了混乱——面对发展与安全的平衡,数据治理有无准据?
数据不安全
从本质上看,数据来源于每个独立个体的特有标识与行为,海量且多样的数据,最终才得以沉淀为现代信息科技繁荣的土壤。然而,不论是个人、企业,还是政府都多少面临着或大或小的数据风险。数据不安全几乎是现代人在数字时代的共识。
一方面,数据流转复杂化使得数据泄露风险增大。尽管实施和推进信息系统整合共享等一系列的举措,能够使得海量数据资源进一步共享和汇聚,但数据在流动、共享和交换中,系统和数据安全的责权边界也变得模糊,主体责任划分不清,权限控制不足,发生安全事件将难以追踪溯源。怎样防止数据在使用、流通过程中不被非法复制、传播和篡改又为数据治理带来新的挑战。
另一方面,传统数据防护体系侧重于单点防护,而大数据环境下的网络攻击手段及攻击程序大量增多,导致出现了许多传统安全防护体系无法应对的问题,数据安全所面临的风险在不断增加。
大数据、人工智能等技术的发展催生出新型攻击手段,攻击范围广、命中率高、潜伏周期长,针对大数据环境下的高级可持续攻击(APT)通常隐蔽性高、感知困难,使得传统的安全检测、防御技术难以应对,无法有效抵御外界的入侵攻击。
其中,相对于个人信息,个人数据是更为宏观的概念。从转化路径上看,个人数据是较个人信息更靠前的存放形态。可以说,个人数据是与已识别或可识别的自然人有关的任何信息。当前,中国已成为世界领先的互联网经济体。但在驱动经济发展的同时,个人数据的安全问题日益凸显。
根据神策数据调查,近96%的公众明确表示他们重视自身的数据安全,79.5%的人认为,在互联网经济高度成熟的今天,他们很难拥有个人数据安全。黑客入侵是导致大规模个人数据安全受到威胁的主要原因,2004-2019年间的29起重大个人数据泄漏事故中,58%以上是因黑客入侵造成数据收集/使用方对数据安全的忽视,这已经成为了个人数据泄漏的一大原因。
有近90%的受访者表示他们收到过来路不明的短信或电话,甚至有约33%的受访者有过个人信息被冒用的情况。超过70%的受访者倾向于认为,多数数据收集方并没有按照相应的规章制度或法律来保护他们的个人数据安全。
数据就像一柄达摩克利斯之剑。大数据时代,人们利用数据驱动了无数商业决策,推动了社会经济的发展。但同时,因数据安全引发的各类问题已令诸多机构蒙受损失。近几年来,数据泄露事件愈加频繁,泄露数据量也都异常惊人,使得企业被迫面临监管压力、金钱损失、品牌美誉度受损、用户流失等。
Risk Based Security数据显示,在2019年1-9月中,全球就发生了超过五千次的数据泄露事件,近八十亿条数据被暴露,2019年的数据泄露量同比增长超过百分之三十。其中不乏大厂。比如,Facebook数据泄露事件导致市值瞬间蒸发,还面临50亿万美元的巨额罚款,数据泄露成本巨大。阿里巴巴旗下东南亚电商平台Lazada也曾遭遇黑客攻击,大量客户数据被泄露。
除了个人和企业,数据安全保障能力也是国家竞争力的直接体现,数据安全是国家安全的重要方面,也是促进数字经济健康发展、提升国家治理能力的重要议题。尽管现阶段我国政府并未面临大规模的数据泄露,但政务数据的共享开放不可避免面临与日增长的挑战和风险。
数据治理有无准据?
尽管围绕大数据的创新和安全,各种政策、法律、标准、产品和学术研究表现出空前的热情,但纷至沓来的讨论也使人们陷入了混乱。面对发展与安全的平衡,数据治理究竟有无准据?
事实上,从某种意义上讲,要保证数据的绝对安全,就要将数据全部物理隔绝,变成“死”数据,这样显然是最“安全”的,既拿不走,也不能破坏。但这样做却也损失了数据的价值——数据只有在流动、分享、加工处理过程中才能创造价值。
数据安全治理的核心正是保障数据在安全可控的情况下使用并发挥价值。换言之,数据本身无罪,有罪的是数据没有被安全地保护或使用。也就是说,想要实现数据安全,关键要看具体实现的方法和管理措施。
首先,以数据为中心,是数据安全工作的核心技术思想。这意味着,将数据的防窃取、防滥用、防误用作为主线,在数据的生命周期内各不同环节所涉及的信息系统、运行环境、业务场景和操作人员等作为围绕数据安全保护的支撑。并且,数据要素的所有权、使用权、监管权,信息保护和数据安全等都需要全新治理体系。
这需要在法规制度方面“划清红线”。目前《中华人民共和国数据安全法》尚未正式发布,我国在数据共享开放、数据交易流通、数据安全层面的立法,以及数据平台建设、数据安全管理等相关制度、标准规范还需要进一步完善。
其次,数据安全离不开“运用数字技术进行治理”,即运用数字与智能技术优化治理技术体系,进而提升治理能力。比如,大数据、人工智能等新一代数字技术,都可以为国家治理进行全方位的“数字赋能”。
事实上,在数据生命周期的不同阶段,数据面临的安全威胁、可以采用的安全手段也不一样。在数据采集阶段,可能存在采集数据被攻击者直接窃取,或者个人生物特征数据不必要的存储面临泄露危险等;在数据存储阶段,可能存在存储系统被入侵进而导致数据被窃取,或者存储设备丢失导致数据泄露等;在数据处理阶段,可能存在算法不当导致用户个人信息泄露等。
面对不同阶段不同角度的风险,对症下药,是技术治理的必要。改进治理技术、治理手段和治理模式,将有效实现复杂治理问题的超大范围协同、精准滴灌、双向触达和超时空预判。
最后,数据安全的实现不仅要自上而下,更要自下而上。数据安全治理的核心目的,是实现安全与发展的平衡,让大数据时代的发展能够健康持续进行下去。大数据时代,从个人到企业,到政府都已离不开数据,数据安全问题也不再只针对需要关注的大企业和大产品。
建立自下而上的制度,是让组织自己有提升和证明自身数据安全能力成熟度水平的积极性,让数据安全能力成熟度高的组织拥有更大的发展空间和竞争优势,让规范的第三方数据安全服务产业发展起来实现专业的数据安全服务和测评认证体系,由此形成良好的数据安全治理生态,提升全社会的数据安全水平。
与此同时,用户对个人数据安全相关的法律法规了解尚不够深入。在神策数据调查中,超过29%的消费者对自身了解相关法律法规程度的自评为“了解较少”或“不了解”,其中超过6%的公众在不甚了解相关法律的情况下可能贸然做出决定。显然,公众仍需持续提升对相关法律的认知深度,树立正确的个人数据安全观。
数字治理是数字社会治理的前提,“大数据时代下的数据安全”,不仅仅是“大数据安全”。想要保证大数据时代下的数据安全,就要以数据为中心,以技术为抓手,从自上而下到上下同治,兼顾发展与安全,效率与稳定,真正把握人类历史上迄今为止最大的一次发展机会。
