大数据时代，怎么避免数据“裸奔”？

爱哭鬼

2022-08-04

“大数据时代，人人都在裸奔”，虽然只是一句调侃的玩笑话，却也展示出了数据安全问题面临的严峻形势。当前企业的数据安全主要面临着哪些内外部的威胁？《数据安全法》为企业的数据安全提供了哪些保障支持，又提出了哪些合规要求？企业应该怎么建设数据安全？

1.企业数据安全的5个新挑战

第一， 数据安全的范畴拓宽了。原来的数据安全更多的就是保护，但现在因为数据权属和数据流动的对撞，冒出来了一个新的需求和挑战 —— 合规。不止是简单的保护，还扩展到了要去保证兑现数据真正属主的权利，难度远比原来要大。

第二， 企业保护数据安全的思路变了。现在有一个热词叫分级分类。数据保护原来是网关式的，不管数据是什么，加了密、保证不被不该看到的人看到就好。但现在数据有不同的级别、不同的类别。有些数据可以流通，有些数据可以开放，有些数据什么都不能做。这样一个逻辑之下，就出现了基于数据分级和分类以后的数据保护。这对企业而言也是很大的一个挑战，怎样根据业务对数据进行分级分类，怎么根据数据的级别和类别施加恰当的保护措施。实际上是很难的。

第三， 数据的生命周期链条延长了。原来业务系统产生数据、存储数据、使用数据，是一个一个的孤岛。但现在数据采集后，可能有数据流通、数据交易、数据共享、数据混采等需求。在这个过程中，数据会接触到很多第三方。比如数字广告营销中，数据就会为app服务商、广告商所用。实际上，现在数据的生命周期链条大大延长了。数据保护是不是能覆盖到链条之下的所有环节，也是个难题。

第四， 服务方式从建设型向服务型转变。现在，数据是活的，是热的。随着业务的变化，数据也在不断变化，不断有新数据、新业务产生，也不断有数据的生命周期变化。像原来那样，只是通过建设，把各种安全产品、安全软件放在用户那里，已经不足以保证用户的数据安全。原来的建设型的数据安全保护一定会演变为服务型，通过持续的运营和服务，才能真正为用户解决好数据安全问题。

第五， 治理结构的转变。现在的数据安全定义中，其实也有国家治理结构中的很多角色，比如审计、评估、服务、产品，以及企业自身，连接着不同的生态。未来的企业数据安全的治理结构中。到底有几方，才能保证企业的数据安全治理是可信的、透明的、可监管的，实际上也是企业需要思考的问题。

2.内防外控，堵住信息泄露3条途径
那么，要如何破解这些挑战？筑牢数据安全大坝呢？

数据安全最终导致的问题就是信息的泄露，那途径无外乎就是三个方面：一是来自外部的攻击。据统计60%以上的数据泄露是由网络攻击导致。二是内部使用过程中造成的数据泄露。三是组织之间数据要素流通过程中造成的泄露。

“总结下来就是外防内控。”现在做数据安全，一定要有一个“最佳实践”意识。不论是从重要场景的安全风险出发，进行解决方案设计；还是从数据的分类分级出发，针对重要数据的管控，进行加密脱密等处理；或者是结合一些新型的先进技术，比如多方计算、隐私保护、同态加密、隐私计算等，去解决数据安全问题，“无论是哪一种方式，首先要是要可落地比较强。”


3.注意！这些细节要合规

2021年《数据安全法》、《个人信息保护法》相继实施，为企业的数据安全提供了方向指导，也提出了具体要求。

《数据安全法》的核心制度就是分类分级重要数据识别、重要数据保护等。目前，对重要数据的规定还是比较偏原则性指导，但在汽车等一些重点行业，也提出了较为具体的指南。

企业可以根据业务线条为标准，对数据进行分类，然后再进行重要级的划分。从行业要求、业务需求、数据来源等方面，进行一般数据、重要数据、核心数据的识别，并根据《数据安全法》的规定，把重要数据和核心数据的目录明确出来。

在《个人信息保护法》方面，企业一定要注意这几点：

第一， 该法中对个人信息的定义比较广，不仅包括识别方面的信息，也包括与个人相关的信息，企业在业务中一定要注意合规性。

第二， 该法规定，匿名化之后的信息，不属于个人信息，可以当作普通的一般信息进行流通使用，但去标识化后的个人信息，还属于个人信息。

第三， 处理个人信息的过程中，有针对个人用户的一个同意要素。在立法当中，同意也有单独同意、一般同意、书面同意、口头同意等不同层次。每一种同意，线下所对应的场景是不一样的。一定要注意必须单独同意的情况。

第四， 敏感信息方面，企业做分类分级的时候，可以把敏感个人信息全部纳入到某一个级别或类别当中，统一地适用一些立法要求，使用过程中会更加便利。

第五， 《个人信息保护法》的个人信息保护影响评估制度，其实是覆盖个人信息处理全周期过程的。换句话说，在个人信息处理的全生命周期当中，企业都要做好个人信息保护的评估。