大數據時代下的數據安全治理之路

敖杰 姚輝

1. 天津市河東區大數據管理中心 天津 300161；

2. 天津市審計局 天津 300200

引言

黨的二十大報告中強調“推進國家安全體系和能力現代化，堅決維護國家安全和社會穩定。”近年來，隨著社會的不斷發展，大數據時代已經到來，人們無時無刻不享受著大數據帶來的便捷與高效，但是隨之而來的數據安全事件層出不窮，個人隱私、商業機密甚至國家安全面臨嚴重威脅，數據安全治理已經成為大數據時代下極其緊迫和重要的課題。

1 大數據時代下的數據安全現狀

1.1 數據安全事件頻發

近年來國內外數據安全事件頻發，以2022年為例，三星電子150GB的機密數據和核心源代碼泄露、宜家加拿大公司9.5萬名客戶的個人信息數據泄露、空港服務公司Swissport TB級用戶數據泄露、英偉達1TB機密文件遭竊7萬員工信息泄露、南非幾乎所有公民征信數據泄露、醫療設備公司Shields泄露200萬美國患者信息、學習通1.7億條學生信息泄露、蔚來汽車百萬條用戶信息數據泄露、平安人壽4萬條公民信息泄露……據IBM發布的《2022年數據泄露成本報告》顯示，2022年全球數據泄露平均成本高達435萬美元，創下該年度報告發布17年以來的最高紀錄[1]。

1.2 國內數據安全法律建設情況

2017年6月《網絡安全法》實施，對個人信息和重要數據的使用進行了規定。2017年12月《個人信息安全規范》頒布，從國家標準層面為企業提供個人信息保護進行了約定，并于2020年再次修訂發布[2]。2020年4月《網絡安全審查辦法》發布，2022年發布修訂稿，細化了網絡安全審查重點內容。2021年6月《數據安全法》頒布，成為數據安全領域的“基礎性法律”，新設若干監管制度，對數據安全進行保護和監管。2021年8月《個人信息保護法》頒布，運用民事保護、行政監管等綜合性手段對個人權益加以保護。2022年9月《數據出境安全評估辦法》實施，細化了個人信息和重要數據的出境安全評估制度安排。

2 大數據時代下的數據安全必走治理之路

2.1 數據重要地位日益凸顯

2019年10月，黨的十九屆四中全會首次將數據列入新型生產要素。2020年4月，中共中央、國務院發布《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》，是中央第一份關于要素市場化配置的文件，首次明確數據成為與土地、資本、勞動力、技術并列的第五大生產要素，并強調要加快培育數據要素市場[3]。2022年12月，中共中央、國務院印發《關于構建數據基礎制度更好發揮數據要素作用的意見》（以下簡稱“數據二十條”）指出“數據作為新型生產要素，是數字化、網絡化、智能化的基礎，已快速融入生產、分配、流通、消費和社會服務管理等各環節，深刻改變著生產方式、生活方式和社會治理方式。”

2.2 數據安全形式深刻變化

大數據時代，數據從紙質文檔、硬盤文件、數據庫記錄到現在多結構多形式復雜流動，數據的表現形式、使用方式、面對的威脅，都在發生天翻地覆的變化，數據安全面臨的威脅全面升級，有通過系統漏洞等安全途徑的外部攻擊竊取和破壞，有組織內部人員管理方面存在漏洞造成的數據竊取，有在無正常工作場景下訪問敏感數據的數據不正當使用，有數據在加工過程中出現的過失性泄漏。數據安全呈現五大變化：由數據保密向數據經濟秩序保障的轉變；由注重系統的防護向聚焦數據內容本身保護的轉變；由適應局限性數據技術向適應云計算大數據技術的轉變；由單一組織保障向跨組織聯動的轉變；由“技術風險+操作風險”向“技術風險+操作風險+商業風險+法律風險”的轉變。

2.3 數據安全治理模型基本成熟

經過對數據安全治理的不斷探索，數據安全治理模型已經趨于成熟。目前國內外常見的數據安全治理模型有4種[4]，一是微軟（Microsoft）公司提出的DGPC理念，主要圍繞“人員、流程、技術”3個核心能力領域的具體控制要求展開，與現有安全框架體系或標準協調合作以實現治理目標；二是Gartner的數據安全治理框架，從數據安全治理戰略出發，進行威脅與風險分析并實施管控措施，支撐企業業務戰略落地；三是中國信通院推出的“數據安全治理能力評估”（DSG評估），以準確度量企業的數據安全治理能力現狀，合理規劃數據安全治理能力提升路徑為目標；四是國家標準化管理委員會于2019年8月發布、2020年3月正式實施的數據安全能力成熟度模型（DSMM），基于數據生命周期及通用安全過程定義數據安全過程域和基本實踐。

3 大數據時代的數據安全治理之路探析

3.1 完善政策環境，調動多主體共同參與

我國的數據安全治理政策環境基本搭建完成，但是傳統的單一源數據安全治理模式已無法適應數據應用的快速發展，在國家數據安全法律法規的框架下，一是需要建立激勵多方主動參與的機制，調動各地方、各行業、被治理方及相關方的積極主動性，形成良性生態，以地方政策、行業規范等填補數據安全空白節點。二是需要加強數據安全開放交流，加強各方主體之間的交流互通，共享數據安全經驗，同時加強各領域數據安全大腦的互聯互通，共享數據安全風險數據，加強對攻擊對象的研究分析。三是需要加強數據安全的持續迭代，隨著數據的發展不斷更新優化，防范走入以數據安全扎緊數據發展“籬笆”的誤區，明確數據安全緊隨數據發展步伐，并為其保駕護航的方向定位。四是按照“誰擁有誰負責，誰管理誰負責，誰使用誰負責，誰采集誰負責”的原則，確定數據安全治理工作的相關各方的責任和關系，明確數據安全治理過程中的決策、執行、解釋、匯報、協調等活動的參與方和負責方，以及各方承擔的角色和職責等，形成有數據治理負責部門牽頭，全員參與的主動認責文化。

3.2 明確部門權責，統籌各單位形成合力

對政府部門來說，對數據安全治理方式方法仍處于探索階段，各地方對數據安全治理的責任劃分尚未完全明確，一些地方的數據安全責任主體在工信部門，另一些地方的數據安全責任主體在網信部門，還有的地方將數據安全責任分散；各部門在數據安全治理的權責上還存在一定交叉，造成重復執法、多層監督的情況；各地方各部門執法標準尚未統一，執法力度各單位自行掌握，不容易做到“一碗水端平”，選擇性執法或者偏差性執法存在滋生土壤，容易造成矛盾沖突。一是針對各相關部門在數據安全治理的職責盡快進行科學統一劃分，構建權責一致，邊界分明、權威高效的數據安全治理體系。二是根據權責情況明確執法牽頭部門，建立數據安全治理執法聯席會議制度，由牽頭部門統籌各部門定期溝通協調，出臺科學性、系統性的數據安全執法流程、標準，制定各成員單位貫通協同工作機制，上級聯席會議定期對下級聯席會議工作進行指導。三是通過聯席會議監督各部門執法情況，對相關單位執法情況定期通報，及時發現并糾正各單位不合規定的執法情況，將各單位執法成果進行分享，做到成果多用，共同學習。

3.3 圍繞數據中心，強化全生命周期安全

大數據時代背景下，需要跳出傳統IT安全限制思維，從“以系統為中心”向“以數據為中心”轉變，以數據全生命周期六環節為抓手，加強數據安全治理。一是數據分類分級是數據安全治理的前提，只有對數據進行有效分類分級，才能在數據安全上采用更加精細的措施，使數據在使用和安全使用之間獲得平衡，同時，數據隨著業務不斷新增和變化，這就要求數據分類分級也要動態變化。二是災備成為數據安全重要保障，數據因海量、多維度、多種類的匯集而產生價值，現在國內各級別數據中心如雨后春筍般涌現，無論是自然災難還是人為災難，一旦發生，就會給數據中心帶來難以估計的損失，不僅是數據本身價值，還包含后續影響，災備成為各項工作正常運轉的重要保障。三是數據安全的用戶行為審計，數據安全行為審計是數據安全運維階段不可或缺的關鍵步驟，它能幫助數據所有者了解存在的數據安全漏洞，并檢查制訂的安全策略得到有效執行，包括定期的合規性檢查，定期的用戶行為審計等。四是數據脫敏加密，對某些敏感信息通過脫敏規則進行數據的變形，實現敏感隱私數據的可靠保護。這樣可以使數據本身的安全等級降級，就可以在開發、測試和其他非生產環境以及外包或云計算環境中安全地使用脫敏后的真實數據集。提供基于分布式文件存儲系統（HDFS）的數據加密存儲方案，實現透明，端到端數據加密，實現用戶無感的數據透明加密。提供數據靜態脫敏和動態脫敏能力，支持脫敏數據表范圍、白名單、有效期限的設置，實現動態脫敏范圍的精準可控。

3.4 提升數字素養，儲備多維度治理人才

數據安全治理隨著數據應用技術的發展而快速迭代演變，已有的數據安全人員結構、人員素養等已無法滿足飛速演變的數據安全治理需要，這就要求數據安全治理的人員結構、人員素養等也要隨著數據應用技術發展同步提升、一體優化[5]。一是提升數據安全意識，加強相關人員自律。大數據時代，網絡安全攻擊對數據的威脅不容小覷，來自于內部人員對數據的泄漏同樣不可忽視，從眾多數據安全事件也可以發現，由于數據的高價值誘惑，內部人員竊取數據安全事件頻發，提升內部人員的數據安全意識，加強相關人員自律是防止數據安全事件發生的關鍵點之一。二是注重數據安全人才培養，強化數據安全人才儲備。數據安全人員培養應與數據發展人員培養同步開展，制定數據安全人才培養目標和計劃，根據計劃制定數據安全培養實施方案，對通過培訓、考核等方式，將人員統一納入數據安全人才儲備庫，加強人才的匯集和儲備。三是發揮監督合力，促進人員正向發展。加強規章制度同步優化和技術監測預警同步開展，以制度規范加強對人員的約束，利用技術手段對各層級的數據權限、數據量級加以檢測預警。制度和技術形成合力，確保杜絕數據安全事件從內部發生。

4 結束語

總而言之，大數據時代，數據呈現出前所未有的爆炸式增長，海量的數據規模、快速的數據流轉、動態的數據體系和多樣的數據類型賦予數據前所未有的價值，數據安全問題成為管理部門重點研究的對象。在數據運行和使用過程中，不斷完善的政策環境、各部門的統籌溝通協調、數據的全生命周期安全、數據安全治理人才的儲備等，為數據發揮價值，提供了有效的安全防護。