陳根：大數據時代的達摩克利斯之劍，如何善用？_風聞

文/陳根

在以智能化為核心的第四次工業革命的浪潮中，如果説“算法”是數字經濟時代的社會治理和數字化商業轉型的核心引擎，那麼“數據”，就是驅動引擎的燃料。數據作為21世紀的石油，其重要性不言而喻。而數據安全，也是數字風險治理中最重要、最複雜、最具挑戰性的工作。

從個人、企業到國家，都面臨數據不安全帶來的風險，圍繞大數據的創新和安全，各種政策、法律、標準、產品和學術研究表現出空前的熱情。然而**，紛至沓來的討論卻也使人們陷入了混亂****——**面對發展與安全的平衡，數據治理有無準據？

數據不安全

從本質上看，數據來源於每個獨立個體的特有標識與行為，海量且多樣的數據，最終才得以沉澱為現代信息科技繁榮的土壤。然而，不論是個人、企業，還是政府都多少面臨着或大或小的數據風險。數據不安全幾乎是現代人在數字時代的共識。

**一方面，數據流轉複雜化使得數據泄露風險增大。**儘管實施和推進信息系統整合共享等一系列的舉措，能夠使得海量數據資源進一步共享和匯聚，但數據在流動、共享和交換中，系統和數據安全的責權邊界也變得模糊，主體責任劃分不清，權限控制不足，發生安全事件將難以追蹤溯源。怎樣防止數據在使用、流通過程中不被非法複製、傳播和篡改又為數據治理帶來新的挑戰。

另一方面，傳統數據****防護體系側重於單點防護，而大數據環境下的網絡攻擊手段及攻擊程序大量增多，導致出現了許多傳統安全防護體系無法應對的問題，數據安全所面臨的風險在不斷增加。

大數據、人工智能等技術的發展催生出新型攻擊手段，攻擊範圍廣、命中率高、潛伏週期長，針對大數據環境下的高級可持續攻擊（APT）通常隱蔽性高、感知困難，使得傳統的安全檢測、防禦技術難以應對，無法有效抵禦外界的入侵攻擊。

其中，相對於個人信息，個人數據是更為宏觀的概念。從轉化路徑上看，個人數據是較個人信息更靠前的存放形態。可以説，個人數據是與已識別或可識別的自然人有關的任何信息。當前，中國已成為世界領先的互聯網經濟體。但在驅動經濟發展的同時，個人數據的安全問題日益凸顯。

根據神策數據調查，近 96%的公眾明確表示他們重視自身的數據安全，79.5%的人認為，在互聯網經濟高度成熟的今天，他們很難擁有個人數據安全。黑客入侵是導致大規模個人數據安全受到威脅的主要原因，2004-2019年間的29 起重大個人數據泄漏事故中，58%以上是因黑客入侵造成數據收集/使用方對數據安全的忽視，這已經成為了個人數據泄漏的一大原因。

有近90%的受訪者表示他們收到過來路不明的短信或電話，甚至有約 33%的受訪者有過個人信息被冒用的情況。超過70%的受訪者傾向於認為，多數數據收集方並沒有按照相應的規章制度或法律來保護他們的個人數據安全。

數據就像一柄達摩克利斯之劍。大數據時代，人們利用數據驅動了無數商業決策，推動了社會經濟的發展。但同時，因數據安全引發的各類問題已令諸多機構蒙受損失。近幾年來，數據泄露事件愈加頻繁，泄露數據量也都異常驚人，使得企業被迫面臨監管壓力、金錢損失、品牌美譽度受損、用户流失等**。**

Risk Based Security數據顯示，在2019年1-9月中，全球就發生了超過五千次的數據泄露事件，近八十億條數據被暴露，2019年的數據泄露量同比增長超過百分之三十。其中不乏大廠。比如，Facebook數據泄露事件導致市值瞬間蒸發，還面臨50億萬美元的鉅額罰款，數據泄露成本巨大。阿里巴巴旗下東南亞電商平台Lazada也曾遭遇黑客攻擊，大量客户數據被泄露。

除了個人和企業，數據安全保障能力也****是國家競爭力的直接體現，數據安全是國家安全的重要方面，也是促進數字經濟健康發展、提升國家治理能力的重要議題。儘管現階段我國政府並未面臨大規模的數據泄露，但政務數據的共享開放不可避免面臨與日增長的挑戰和風險。

數據治理有無準據？

儘管圍繞大數據的創新和安全，各種政策、法律、標準、產品和學術研究表現出空前的熱情，但紛至沓來的討論也使人們陷入了混亂。面對發展與安全的平衡，數據治理究竟有無準據？

事實上，從某種意義上講，要保證數據的絕對安全，就要將數據全部物理隔絕，變成“死”數據，這樣顯然是最“安全”的，既拿不走，也不能破壞。但這樣做卻也損失了數據的價值——數據只有在流動、分享、加工處理過程中才能創造價值。

數據安全治理的核心正是保障數據在安全可控的情況下使用併發揮價值。**換言之，**數據本身無罪，有罪的是數據沒有被安全地保護或使用。也就是説，想要實現數據安全，關鍵要看具體實現的方法和管理措施。

**首先，**以數據為中心，是數據安全工作的核心技術思想。這意味着，將數據的防竊取、防濫用、防誤用作為主線，在數據的生命週期內各不同環節所涉及的信息系統、運行環境、業務場景和操作人員等作為圍繞數據安全保護的支撐。並且，數據要素的所有權、使用權、監管權，信息保護和數據安全等都需要全新治理體系。

這需要在法規制度方面“劃清紅線”。目前《中華人民共和國數據安全法》尚未正式發佈，我國在數據共享開放、數據交易流通、數據安全層面的立法，以及數據平台建設、數據安全管理等相關制度、標準規範還需要進一步完善。

其次，數據安全離不開“運用數字技術進行治理”****，即運用數字與智能技術優化治理技術體系，進而提升治理能力。比如，大數據、人工智能等新一代數字技術，都可以為國家治理進行全方位的“數字賦能”。

事實上，在數據生命週期的不同階段，數據面臨的安全威脅、可以採用的安全手段也****不一樣。在數據採集階段，可能存在採集數據被攻擊者直接竊取，或者個人生物特徵數據不必要的存儲面臨泄露危險等；在數據存儲階段，可能存在存儲系統被入侵進而導致數據被竊取，或者存儲設備丟失導致數據泄露等；在數據處理階段，可能存在算法不當導致用户個人信息泄露等。

面對不同階段不同角度的風險，對症下藥，是技術治理的必要。改進治理技術、治理手段和治理模式，將有效實現複雜治理問題的超大範圍協同、精準滴灌、雙向觸達和超時空預判。

**最後，數據安全的實現不僅要自上而下，更要自下而上。**數據安全治理的核心目的，是實現安全與發展的平衡，讓大數據時代的發展能夠健康持續進行下去。大數據時代，從個人到企業，到政府都已離不開數據，數據安全問題也不再只針對需要關注的大企業和大產品。

建立自下而上的制度，是讓組織自己有提升和證明自身數據安全能力成熟度水平的積極性，讓數據安全能力成熟度高的組織擁有更大的發展空間和競爭優勢，讓規範的第三方數據安全服務產業發展起來實現專業的數據安全服務和測評認證體系，由此形成良好的數據安全治理生態，提升全社會的數據安全水平。

**與此同時，用户對個人數據安全相關的法律法規瞭解尚不夠深入。**在神策數據調查中，超過29% 的消費者對自身瞭解相關法律法規程度的自評為“瞭解較少”或“不瞭解”，其中超過6% 的公眾在不甚瞭解相關法律的情況下可能貿然做出決定。顯然，公眾仍需持續提升對相關法律的認知深度，樹立正確的個人數據安全觀。

數字治理是數字社會治理的前提，“大數據時代下的數據安全”，不僅僅是“大數據安全”。想要保證大數據時代下的數據安全，就要以數據為中心，以技術為抓手，從自上而下到上下同治，兼顧發展與安全，效率與穩定，真正把握人類歷史上迄今為止最大的一次發展機會。