博弈数据安全

来源:《财经》杂志 2021-04-16 12:30:41

9月26日,刚刚提出离职的核电工程师李斌(化名)收到其供职公司人力资源部的一封邮件,要求其签署“保密承诺书”。

“不签就不能离职。”李斌说。保密书被形容“事无巨细”,所有可能涉及的技术步骤、工序,乃至经手人签名信息均被包含在内。“这主要是考虑到同行竞争问题,一个签名可能透露出很多东西。”

长期以来,数据脱敏不规范导致个人及企业信息被大量非法交易的事实,让各类商业组织对数据安全的态度出现分化:一批忧心忡忡,一批不够重视。

“对那些重视的企业来说,投入大量时间人力金钱成本的‘人海战术’无疑最常见。”李斌说,“不重视的,不出问题不会管的。”

“可用不可见”概念的引入,为矛盾解决提供新的思路:把个人隐私与企业机密变换成一串无法识别的数字,令外人无从窥探。

但是,数据安全始终是一个企业数字化生存无法回避的坎儿,不但需要技术化的解决方案,也需要法制完善和管理创新。

行业痛点凸显

由于涉及组织管理、定义界定等多方面问题,对企业而言,其在数据安全上面临的困境较之个人更为复杂。

2012年,安徽合肥某银行系统自动报警,显示在多地犯下命案的嫌犯周克华在该行出现。大量警力火速赶到后发现,系该行一位职员“误输”导致。

一位银行内部员工透露,该案例“其实就是银行员工好奇,想查一查周克华的个人信息”。“这个事已经被当做反面典型,各家银行每年安全培训都要讲。”

时隔八年,银行的数据安全保护系统是否更加完善?什么数据属于敏感信息?自身掌握的数据是否需要安全分级?

在采访中,对上述问题“一问三不知”的企业人士大有人在,甚至包括一些中高层管理者。

东部地区某中型国有银行一位不愿透露姓名的金融科技部门职员坦言,该行业务部门与科技部门往往会在会议上就数据安全问题发生争执,“自说自话,多数是职权分割问题”。

这位职员称,金融科技部门的职责是从技术角度制定一系列个性化安全保护手段,但“哪些是敏感信息需要业务部门具体界定”。业务部门又往往会以“敏感信息定义我们不了解”为由,要求科技部门明确。双方推诿扯皮,又由于银行体系和预算问题“很难去找到足够权威的第三方专业机构评估”,导致这一问题长期被搁置。

“这不能说是任何一方的问题,而是在部门设置时职权就没有搞明白。”这位职员补充。

一位国有城市商业银行高管表示,数据认责的概念在不少中小型银行中仍有待完善。他认为,包括银行在内的企业,其科技部门并不是数据的拥有者:“它不生产数据,也不修改数据,只是负责将数据在商业组织内部落地,我们只能将其认定为数据托管者。从这个角度而言,业务主管部门才是真正的所有者,要对数据承担最终责任,负责定义数据、解释数据,对数据质量负责。”

组织管理的概念赋予业务部门以使命:对自身数据的业务重要性及敏感等级进行定义。同时,需要统一的数据统筹管理并制定分层标准,组织各部门对各自数据的敏感等级进行认定。

但上述解决方案需要大量管理成本;更重要的是,部分企业决策者并未认识到这项工作的重要性。

相关专业人才的缺失首当其冲。无论是统筹制定数据分类标准,还是就具体安全技术问题进行即时分析谋划,专精的业务骨干必不可少。但在供需失衡的人才竞争中,大量传统企业逐渐被少数互联网头部公司拉远。

上海某央企的信息安全部主管沈逸(化名)表示,大量传统制造业企业亟待进行数字化转型,但其盈利能力欠缺导致现金流紧张,很难与风口上的互联网公司争夺人才。

沈逸算了笔账:“现在一线城市应届数据安全人才(硕士)起薪一般为税前年薪20万-25万元左右,大型互联网公司往往可以开到30万元以上,但我们公司受限于财务能力,一般只能比管理类开得稍高,差不多15万元左右。老实讲,这个数在市场上没有任何竞争力。”

生态圈的缺失也是制约企业数据安全发展的重要因素。

广州某电力类国企一位监察审计部员工介绍,大型企业内部均会寻求建立自身数据安全生态圈,但这主要为了服务自身的需要,适用范围最多延伸到自己的二三级单位,很难融入友商圈子:“比如我自己找一家数安企业帮我们构建了数据安全平台,这个平台自然就带着特有的行业属性乃至企业的个性,是完全适用于我们的管理体系和流程的,这时候如果涉及到跨平台、行业的数据交流,就会显得尤其笨拙,不能很好互通有无,更别说互相兼容了。”

对外经济贸易大学互联网法治研究中心执行主任许可认为,当前中国数据安全管理模式偏压制性和应激性,而缺乏激励相容的回应性。由此而生的弊端有二:一是部分企业在需要用时才会想起提升相关能力,随后亦不能持续维护,导致数据安全保护缺乏连贯性;二是很难发展起成熟的数据安全产业。

1994年,国务院发布《计算机信息系统安全保护条例》(下称《条例》),其中第九条规定计算机信息系统实行安全等级保护。2007年6月,公安部印发《信息安全等级保护管理办法》,规定各单位、部门在制定信息安全等级后应向公安机关备案,并接受公安机关定期监督检查。

但在现实中,这一规定往往流于形式。

许可指出,首先,网络安全等级保护制度这种“自上而下”的模式,认证机制的市场化不足,忽视了企业内在自发需求,也不能对从事网络安全服务的企业产生有效激励。“只要企业履行一定形式的手续和流程,肯定可以过,很多时候徒增成本。”

其次,企业缺乏数据安全领域中“威胁信息共享”的动力。“其他国家有激励措施,但中国目前是完全免费无偿的。”许可解释,对威胁信息的报送“不仅仅是发个通知就完了”,要实现信息实时无缝的传递,需要对一整套体系、程序乃至解决过程的描述,这就会让企业考虑到有形和无形的成本。“而且我报送这些信息是有价值的。既然无偿,为什么要告诉竞争对手呢?归根结底是没有建立起一套大家共同参与、共蒙其利的机制。”

“可用不可见”能解决问题吗?

2019年8月,阿里巴巴集团数据安全总监徐骏曾表示,确保数据安全是保障数字经济发展的基础,包括密态计算和可信计算等在内的“可用不可见”技术有望成为保护数据安全的新发展趋势。

事实上,寻求数据的合理共享与信息安全保障之间的平衡,一直是业界的追求。

腾讯数据安全团队相关负责人表示,要实现这种平衡,首先要建设强有力的数据安全体系,在规划层面明确数据安全合规条款、收集范围、使用边界、责任主体、敏感数据类型等,进而制定数据安全建设目标。

其次,在数据安全防护层面,应该从数据全生命周期的角度去考虑,如在数据生产录入与上传过程中,相关应用可能会遇到身份冒用的风险;海量数据上传归集到大数据平台后,对数据进行存储、处理、分析等操作过程中,可能会面对拖库、撞库、误操作等平台风险;处理完的数据,会流向机构内部各类部门,该环节也可能发生人员泄密、敏感数据失控外传等问题。

“应对这些安全隐患首先要提高防护技术水来应对数据流每个环节上的风险,并通过统一的治理平台,串联其孤立的单点防护能力,扫除防护间的盲区,实现数据的持续治理。”该团队负责人称。

此外,在腾讯数据安全团队人士看来,数据安全“不只是技术问题,还是管理问题”。需要一套行之有效的数据管理策略,这涉及到组织和人员、流程与制度、技术与工具多方面的内容。

公安部第三研究所研究员金波表示,数据安全治理的关键是要遵循数据共享、使用遵守最小必要原则。

金波强调,在中央大力培育数据要素市场的背景下,对于个人数据使用、共享首先要遵守必要原则,没有必要的应不予共享、使用;其次,要尊重用户个人信息权益,保障用户参与度;第三,数据共享、使用方要切实履行信息安全保障义务。如在数据共享前,应当开展个人信息安全影响评估,具备与共享、使用的数据相匹配的数据安全保障能力等;第四,法律上应当体现多种救济,使得消费者能够行使和主张数据的权利,从而通过市场化机制以及法律保障手段在数据主体和数据平台之间建立一种弹性的、可预期的平衡。而不是机械的、容易极端化的行政或政策决策。

“可见不可见”技术的问世,有望从治理逻辑的层面践行上述设想。

徐骏表示,“可用不可见”的逻辑就好比“你的每张照片每条信息都会被这项技术‘上锁’保护起来,除了你自己,没有人有开启的钥匙;世界上没有绝对意义的安全,你的信息可能被黑客窃取,但在这项技术加持下,他们只能拿到一串无意义的乱码字符,这串乱码只能被授权方用于你最初设定允许的用途。”

将数据转换成符号,并在存储上进行分离处理是“可用不可见”的标志性特征。“经去标识化处理后,底层存储和系统页面显示的都是一串“无意义”的符号,这是经过一系列复杂加密算法和规则的处理,不是传统方式的简单转换,靠外部撞库攻击是无法破解的。”同盾科技首席架构师兼技术副总裁董启江表示。

“不可见”的特性,同样需要“可用”的行业机制作保障。

目前,所有提出数据安全共享解决方案的组织或企业均着眼于打通所谓“数据孤岛”,整合包括产业链上下游企业信息在内的多种数据,形成企业及组织间相对可靠的数据安全协作模式。

如谷歌2019年提出的“联邦学习”方案,可以在保证数据隐私安全及合法合规的基础上,从算法模型层面解决数据隐私保护问题。AI模型直接在手机上训练,无需将手机中的数据上传到云端,从而在保护用户隐私的同时,持续优化AI模型。

同盾科技提出的“知识联邦”理论框架体系,基于知识联邦的算法逻辑,使得参与各方没有一方需要集中拥有的所有数据,也没有一方需要拥有所有的模型。这样一来,使用方既能够通过安全的数据交换协议共用开放数据,又能保证其不享有数据,从而保护数据安全和隐私。

类似上述的一揽子解决方案,往往在实践中更受企业欢迎。在采访中,多家中小企业数据安全主管表示,比起随时跟进、即时跟踪的“长期服务”模式,他们更欢迎这种“大包大揽”和“加入即解决”的数据安全体系构建。“资金和人力都有限,不可能长期请专业团队跟进。”

学界对此也有自已的看法。金波表示,在发展中解决安全问题,可能比“整体安全规划”更适合某些特定场景:“自上而下的整体安全规划不能解决非整体性的安全问题,这种线性思路也无法解决离散的安全问题。”

金波强调,开源并不是导致整体性安全问题的缘由,相反,开源的某些“先天”属性与安全是正相关的。下一步,全社会应建立对开源软件和社区的支持,意识到数据平台本身的技术脆弱性,引进新的安全技术,如同态加密、多方计算、联邦学习等,借助于零信任动态访问控制策略、区分数据来源的协议安排(法律保障机制),对数据应用进行风险管控等等,弥补技术过度量化和量化不足的问题。此外,由于数据安全保护措施大部分也是网络安全措施,保护数据的网络安全首先应落实等级保护制度,重要数据的处理者可能还需要落实关键信息基础设施保护制度。

“不能把安全搞得太复杂,系统的复杂性是安全的最大的挑战,安全系统的复杂性可能会带来额外的风险。”金波认为。

立法只是开始

2020年7月2日,全国人大常委会第二十次会议审议了《数据安全法(草案)》(下称《草案》)并公开征求意见。

《草案》主要围绕着数据安全管理各项基本制度、促进数据安全和发展的措施、满足电子政务数据合理性等需求展开。

许可强调,要按照行业类别和规模大小的不同对不同企业实行分级分类。“即使是保护,也并不是说对所有企业的数据都按照同等水平、水准进行保护。”

许可指出,数据的分级分类制度在数据安全法中“明确定下来了”,但具体怎么去分级分类,现在没有一个细化的标准,“或者说,不太可能有非常统一的答案,还是要交由不同的行业去决定”。

董启江指出,任何可能被挖掘出价值的数据都叫数据资产,因此,他认为所有涉及到个人或公司主体行为的数据都应受到保护,从数据敏感程度、重要程度、风险危害程度等方面,对数据进行分级,针对不同级别,实施不同的安全管理策略。

“所有的数据都可能转化为数据资产,依托数据挖掘与分析根据不同场景发掘数据资产的价值,从而赋能数字化转型,实现从经验驱动决策到数字驱动决策的转变。”董启江强调。

在金波看来,《草案》确立了国家数据分级分类、数据安全审查、执法机构数据跨境调取报批等值得关注的重要制度。但与此同时,作为数据安全领域基础性立法,《草案》仍然有着进一步完善的空间,以避免立法定位不清、安全利益泛化、制度设计不聚焦等诸多问题。

金波进一步指出,当前中国在数据安全方面,核心制度供给仍显不足,关键环节监管不力。重要数据保护制度尚不健全。《网络安全法》所建立的关键信息基础保护制度可在一定程度上解决上述问题,但相关配套制度未能出台,使得通过关键信息基础设施保护重要数据的保护思路未能践行。

“风险和效率之间永远需要平衡,”山东青岛一位不愿透露姓名的企业数字化承包商负责人表示,“没有绝对的管控,也没有百分百的效率。这也是数据安全的原则——在合规前提下结合企业自身风险偏好,建立适合企业的一套管理机制,否则就容易陷入两个极端:要么是触碰合规的红线遭到处罚,要么是太过保守无法有效开展业务。”

这位负责人介绍,他的企业遇到很多“急欲追赶数字化潮流”的客户,但一段时间接触下来,他发现这些客户“不是过于谨慎,就是对风险完全没有意识,说白了就是对数据安全根本没有概念。从这个角度讲,《数据安全法》未来至少能明确相当一部分必须要明确的数据安全边界。”

有部分学者认为,数据作为新的生产要素蕴含巨大经济价值,如果一味强调安全和保护一面,可能错失发展数字经济的先机。因此,无论立法还是企业具体实践,均应兼顾安全与发展价值。加强立法的同时,还应发挥社会与个人的共治之力。

许可强调“三元共治”的治理模式,即法律、标准及技术。法律可以通过立法完成,但是行业标准和技术的进步“不是一声令下就能实现的,需要行业协同治理,不能说只是抽鞭子,必须要给予市场激励,让相关方愿意投入”。他非常期待那些“没有出现在数据安全法里的具体内容和制度”未来可以细化。

金波还指出,当前中国数据利用及跨境流动机制尚不完善。他强调,一直以来,中国数据安全监管思路呈现出“重收集,轻处理”特点。数据跨境以及数据利用,尤其是汇聚融合等核心环节监管制度缺失。

一方面,现行的网络安全等级保护制度、关键信息基础设施的保护制度更加侧重于网络运行安全,而缺乏对数据的重要考量,使得两大制度停留在通过运行安全保障数据安全的间接保护模式。

另一方面,网络安全等级保护制度仍然以保护数据的静态安全性为主,难以规范数据动态利用和流动问题。金波强调,在数据集中和融合方面,中国相关规范机制“基本处于空白状态”。

虽问题多多,但行业对数据安全的未来仍持乐观态度。前述腾讯数据安全团队负责人表示,相关政策法规的落地将带来强力的政策引导,强化数据获取、持有、使用、消费等环节的规范性,促进数据时代有序安全地发展。

“我们相信中国数据安全产业将迎来从政策法规、产业结构以及技术创新层面的同步高速发展。这也将为中国数据安全市场带来广阔的创新空间,这包括数据安全咨询服务产业模式创新、核心数据安全技术的研发创新,以及以云架构、5G、IoT等为代表的新型信息基础设施的数据安全技术应用创新。”腾讯数据安全团队方面表示。

打破“数据孤岛”是董启江反复提起的概念,“如何在保护数据隐私的基础上进行数据分析与共享,这在技术上面是比较大的挑战。”在他看来,此次疫情中大数据发挥的巨大能量将对整个数据安全行业起到很大促进作用,推动优化数据安全的管理模式并催生新的隐私计算技术力量。

“五年前,大数据还是个概念,现在已经实实在在为社会产生价值。这更要求不管是法律制定者还是我们这些参与企业,都需要对数据安全怀有敬畏之心。”董启江说。

刘畅/文