杜躍進：資料安全治理的基本思路

▲作者：杜躍進  中國網絡空間安全協會副理事長，阿裡巴巴集團技術副總裁

我們的世界正在進入一個奇怪的分裂狀态：一方面人們為大資料時代即将在各個領域發生的革命性進步而激動難眠，一方面人們也在為資料安全和隐私保護問題擔心得睡不着覺。圍繞大資料的創新和安全，各種政策、法律、标準、産品和學術研究表現出空前的熱情。然而眼花缭亂的聲音卻使人們陷入了混亂，陷入了資料恐慌。如果我們不能盡快找到清晰的思路，不能盡快找到方法實作圍繞大資料的發展與安全之間的平衡，我們可能喪失人類曆史上迄今為止最大的一次發展機會，或者陷入最大的安全危機。本文要讨論的，就是大資料時代下該如何進行資料治理的基本抓手與核心思路。

關于資料安全的若幹基本認識

關于資料安全，我們需要建立一些基本的認識。

首先，資料本身無罪，有罪的是資料沒有被安全地保護或使用。

大資料時代，每個角落都在産生資料，而這些資料正是新時代人類的财富：我們不僅依靠這些資料提供更精準貼心的服務，更依賴這些資料實作醫療、健康、教育、安全、環境保護等各方面的革命性進步。可是人們擔心個人隐私在這個過程中被窺探，對似乎無所不在的資料采集記錄行為無法忍受。但是回想一下，人們曾經在日記裡寫下自己最私密的事情、人們在自己的手機或計算機中存儲自己的私密照片或信件、人們在很多政府部門的系統裡存儲自己的各種生物特征資訊、人們在醫院的系統裡存儲自己各種病情細節、人們向心理醫生傾訴自己的内心等等，這些時候為什麼不擔心隐私洩露呢？

因為這些情況下我們覺得自己的隐私資料是不會被洩露的，雖然事實上也存在風險。是以，其實資料本身是無罪的，人們擔心的是資料擁有或者處理者不能保護好資料或者濫用資料。是以，今天我們談到隐私保護的時候，不應該隻關注法律層面的隐私條款和限制資訊采集，而應該更加優先關注如何提高所有擁有我們資料的組織的資料安全水準，確定他們手裡的資料不會被竊取或者濫用。“使用者畫像”、“精準營銷”不等于就會侵犯隐私，關鍵看具體實作的方法和管理措施。

其次，誰都不信任的話，使用者的安全可能會更加糟糕。

越來越多的人似乎傾向于“誰都不信任”，甚至一些研究也在朝着這個方向努力。但是在今天除非你不生活在人類社會中，否則這種思路反而讓你陷入到更加不安全的地步。私密資料放在自己的手機上或者伺服器上就更安全嗎？除非你的手機或者伺服器從來不用任何形式和網絡發生連結，否則對網絡攻擊者來說，這些安全防護相對更弱的地方恰恰是更容易的目标。當然，如果你就認為自己能夠永遠打敗全世界所有的網絡攻擊者那也行。

那麼不使用任何電子産品不行嗎？就算假設未來這樣做依然可以生活，答案也是不行，因為用電的資料、看病的資料、出門走路的資料等都會被别人記錄在别的地方。是以，如果我們不相信所有提供服務的企業或組織、我們也不能相信第三方機構因為他們的安全能力未見得更好、我們也不能相信自己能夠抵抗全世界的網絡攻擊者，那怎麼辦？

第三，安全也需要資料。

我們擔心洩露了自己的資料是以不安全，可是反過來，如果沒有資料的話我們也無法得到安全保護。徐玉玉案件因為壞人偷了她的相關資料而産生了危害，章盈穎案件我們則多麼希望好人知道她的位置資訊進而能幫助到她。追蹤老人或者兒童的位置資訊可以防止他們走失，野外應急救援也需要位置資訊，急救大夫需要病人的隐私健康資訊才能救命，通過檢測使用者是否短時間在不同的城市登入系統是今天幾乎所有産品判斷使用者賬戶是否被盜的基本手段……

第四，我們要解決的是“大資料時代下的資料安全”，而不是狹義的“大資料安全”。

包括徐玉玉事件在内的各種案例，實際上都不是從所謂的“大資料”那裡偷取資料的。網絡空間不存在實體位置的限制，是以現實中攻擊者更容易從各個安全薄弱的伺服器或組織那裡下手，而不是和防護嚴密的大型大資料公司對抗。

以電商為例，猖獗的黑灰産絕大多數都是瞄準商家、獨立軟體供應商、物流等各個環節下手竊取訂單等資訊，然後用于詐騙等活動。大資料時代，資料在開放、複雜、快速變化的業務和産品鍊條中高頻流動，資料成為複雜生态的每個環節中都無法剝離的部分。這是導緻資料安全問題變得空前突出的根本原因，因為所有過去的資料安全方法基本上都失靈了。

大資料時代的資料安全包含哪些内容

目前存在的比較普遍的誤區是把系統安全等同于資料安全，也就是說，把防止網絡入侵帶來的資料被竊取，等同于資料安全的工作。實際上這隻是資料安全很小的一部分内容。

今天我們說資料安全的時候，應該包括三方面的内容：防竊取、防濫用和防誤用。

防竊取比較容易了解，不過全世界多年來的共識是，來自内部的安全威脅總體上占三分之二左右，要遠大于來自外部的威脅。根據電子商務生态安全聯盟的統計，在電商生态中這個比例還要更加懸殊。是以，即便是系統安全，也不能僅僅把防止外部攻擊導緻的資料竊取作為全部工作，防止來自内部的入侵和資料竊取反而更加重要。

防濫用指的是防止資料被不正當使用，例如擁有資料的組織内部員工在無工作場景的情況下通路使用者個人敏感資料。現實中，使用者的身份證資訊、醫療檔案、購物記錄、财産情況等資訊，都會存在各種組織的系統中。當使用者需要這些組織提供服務或者幫助的時候，這些組織的相應員工才可以根據使用者的授權來通路這些資料。而如果這些組織中的員工未經使用者請求私自通路這些資料，則屬于一種濫用行為。

從已經破獲的并且披露的衆多電信詐騙案件中可以看出，大量内部人員濫用職權倒賣使用者資訊，這些都屬于資料濫用的場景。目前大部分組織對這部分工作的意識淡薄、能力不夠。在技術上是能夠實作這類行為的監控的，配以制度的保障，可以有效遏制這類濫用行為。

有些業務場景更加複雜一些，例如包裹郵寄單上顯示的收發件人的詳細資訊，在整個包裹流轉過程中都面臨洩露風險（現實中這些資訊都是網絡黑灰産收購的對象）。但即便這類場景，也有“隐私面單”等相應的技術出現。防濫用也包括一個組織對外進行資料披露、資料共享、資料轉移等過程中的安全稽核，這些稽核工作確定這些行為合法，并且不會導緻使用者或者組織自身的利益受損。臉書事件最早的問題就是出在這個環節。

防誤用指的是防止資料在加工過程中出現過失性洩露。人類正在進入定制化生産的時代，這個時代的基礎之一是基于大資料的加工計算。大資料加工計算的過程中如何做到不侵犯使用者個人隐私，就是典型的防誤用問題。顯然這個問題已經成為今天的典型突出問題了。

實際上人們今天談之色變的“使用者畫像”、“精準營銷”等，早已經在普遍使用了，而且這些都是未來數字經濟、智慧城市和治理等工作必不可少的技術。隻是到具體的實作層面，有沒有采用合适的制度和技術手段確定這些過程中不會洩露特定人的隐私，是今天每個組織需要回答的資料安全問題。在技術上這也不是無法做到的，有很多比較成熟的方法可以做到讓使用者感覺有個貼身秘書在給自己服務，但是實際上沒有人能夠在資料加工的全過程中窺探到特定使用者的隐私。可是在意識上，恐怕現在絕大多數組織在這方面還需要提高。

資料安全治理三原則

搞清楚資料安全要解決哪些問題、大資料時代下解決這些問題所面臨的主要挑戰，就可以梳理資料安全治理的核心思路了。簡單說，資料安全治理可以遵循“以資料為中心、以組織為機關、以能力成熟度為基本抓手”的原則。

1、以資料為中心

以資料為中心，是資料安全工作的核心技術思想。人們比較習慣的是以系統為中心的思想，即圍繞着一個資料庫、一個産品、一個網站、一個伺服器等評價其安全性。這種思路主要适用于保護一個特定系統的正常工作狀态。但是在今天，資料在多個系統、産品、業務環節中頻繁快速流轉，這種以系統為中心的思想已經不能滿足資料安全的需求了。以資料為中心的安全，是将資料的防竊取防濫用防誤用作為主線，在資料的生命周期内各不同環節所涉及的資訊系統、運作環境、業務場景和操作人員等作為圍繞資料安全保護的支撐。這時候，某個系統被入侵，并不等于資料安全的目标就遭到最終的破壞，反之某個單一環節的安全能力再強，也不代表整體資料安全保護的能力就夠好。

在資料生命周期的不同階段，資料面臨的安全威脅、可以采用的安全手段有可能很不一樣。例如，在資料采集階段，可能存在采集資料被攻擊者直接竊取，或者個人生物特征資料不必要的存儲面臨洩露危險等；在資料存儲階段，可能存在存儲系統被入侵進而導緻資料被竊取，或者授權使用者無應用場景支援通路使用者敏感資料，或者儲存設備丢失導緻資料洩露等；在資料處理階段，可能存在算法不當導緻使用者個人資訊洩露等。把不同階段從不同角度面臨的風險放到一起進行綜合考慮，建立強調整體而不是某個環節安全能力，是以資料為中心的安全的核心思想。

2、以組織為機關

以組織為機關，是資料安全治理的核心管理思想。

讀完前面的内容後應該容易了解，一個伺服器很安全、一個手機應用産品很安全都不代表着要保護的資料安全。資料會在不同的伺服器、産品、業務中流轉。而且從法律的角度來說，擁有或使用資料的組織才是承擔資料安全責任的主體。是以，雖然在大資料時代還有資料共享、資料轉移、資料交易等各種複雜的情況，但擁有或者處理資料的組織是所有這些活動的基本單元，是以也是資料安全治理的基本機關。

以組織為機關的資料安全治理，具體指的是資料在特定組織内全生命周期的安全，這個組織要對其負責。不論資料在這個組織中的生命周期涉及多少産品業務或人員，那些單個系統單個業務的安全都不說明問題，說明問題的應該被最終衡量的這個組織的資料安全。一個組織的資料安全水準，可以作為其是否符合法律要求、特定事件中具備怎樣的責任、面向使用者赢取信任、面向行業适合處理的資料類型和規模等的參考依據。換句話說，政府或者行業可以以組織為機關進行資料安全管理，而不是某個産品的安全，一個組織要證明的是自己整個組織的資料安全水準，而不是自己的某個應用的安全。

3、以能力成熟度為基本抓手

用什麼來衡量組織的資料安全呢？資料安全的能力成熟度可以作為基本抓手。

能力成熟度是一種經過考驗的方法，目前在越來越多的領域被應用，美國甚至制定了網絡空間安全能力成熟度戰略。資料安全能力成熟度模型，是借鑒能力成熟度的核心思想，結合資料在組織内的生命周期以及構成安全能力的關鍵要素而建構的。一個組織的資料安全能力成熟度等級，說明了這個組織在資料安全保護方面的綜合能力水準。而這個水準的高低，則可以用于資料安全治理的各種相關工作。例如，相關政府部門或行業主管部門，可以根據本行業的資料敏感度特點決定哪些資料類型或者多大的資料規模需要多高的資料安全能力成熟度水準，進而讓資料安全能力成熟度足夠的組織才能夠處理特定資料，進而實作本行業安全與發展的平衡；在資料共享、轉移、交易等過程中，法律可以規定資料擁有者有義務要求資料接受者提供自己足夠的資料安全能力成熟度水準，進而避免資料在流動過程中進入安全更差的組織，進而減少資料流動導緻的安全失控；根據特定行業、特定資料類型以及特定時段資料安全威脅的具體情況，國家主管部門可以設定和調整特定領域資料安全能力成熟度的衡量标準和等級要求，進而實作整體資料安全狀态的可控；組織可以通過自己的資料安全能力成熟度水準，讓消費者用更加客觀量化的方法衡量自己是否值得信任；等等。

實作良币驅逐劣币，讓資料安全成為競争力

資料安全治理的核心目的，是實作安全與發展的平衡，讓大資料時代的發展能夠健康持續進行下去。資料安全治理最需要避免的情況，是用安全的名義扼殺了發展（這是更大的不安全），或者導緻誰重視安全誰吃虧，最後産生了劣币驅逐良币的現象出現。

資料安全治理要避免過去那種自上而下的“管家式”管理模式，因為每一個企業、每一個組織都将離不開資料，資料安全問題并不是隻需要關注那些大企業大産品就行了。可是政府從上而下管理數千萬家企業數千萬個組織是不可能有好的效果的，更不要說這是業務産品超級複雜并且快速變化的新時代。是以，需要建立的是自下而上的制度，讓組織自己有提升和證明自身資料安全能力成熟度水準的積極性，讓資料安全能力成熟度高的組織擁有更大的發展空間和競争優勢，讓規範的第三方資料安全服務産業發展起來實作專業的資料安全服務和測評認證體系，由此形成良好的資料安全治理生态，提升全社會的資料安全水準。

放在全球化的視野上看，如果我們做到這些的話，中國還将赢得在這個領域的全球影響力。因為中國不僅有龐大的數字經濟市場，而且在業務創新上領先全球。這意味着我們會遇到最豐富的場景，我們能夠積累最豐富最有說服力的經驗。是以我們有機會告訴和引領全世界，大資料時代下的資料安全治理究竟該怎麼做，隻要我們有這個意識和雄心。

原文釋出時間為：2018-11-14

本文作者：杜躍進

本文來自雲栖社群合作夥伴“

阿裡研究院

”，了解相關資訊可以關注“

”。