安全视角下的大数据治理与合规应对(3)

发布时间：2019-03-19 23:07 所属栏目：25 来源：安全内参

导读：当下，云计算、物联网、移动互联网等新技术新应用使得数据收集变得无处不在。通过数据分析和数据挖掘等信息技术，非个人数据的聚合可形成具有识别性的数据，，从碎片化的、不具有敏感性的数据中也可以分析出敏感的

当下，云计算、物联网、移动互联网等新技术新应用使得数据收集变得无处不在。通过数据分析和数据挖掘等信息技术，非个人数据的聚合可形成具有识别性的数据，，从碎片化的、不具有敏感性的数据中也可以分析出敏感的信息，海量数据的聚合甚至可以分析出关涉国家安全的信息。这一系列的现象导致个人数据与非个人数据、敏感数据与非敏感数据、国家秘密与非国家秘密等边界逐渐模糊，合规边界也随之变得难以界定。

与传统技术采用的集中式存储不同，云计算、移动互联网等采用的分布式存储使得传统的网络安全边界变得模糊，传统网络环境下的统一的、集中的安全管理模式已经不能适应新环境下的数据安全需求。此外，大数据技术发展催生出新型高级的网络攻击手段，例如针对大数据平台的高级持续性威胁（APT）攻击和大规模分布式拒绝服务（DDoS）攻击时有发生，导致传统检测、防御技术无法有效抵御外界攻击。整体来看，新技术新应用一方面催生着新威胁形态，为数据合规带来新风险；另一方面导致传统数据合规策略的有效性降低甚至失效。

（二）全球化监管带来合规难题

国内层面，目前虽然我国网络安全方面的顶层制度设计已经基本完成，网络安全法的颁布也在很大程度上填补了立法空缺，但在整个网络安全领域我国仍存在着立法不足的情况，例如个人信息保护。在具体实施方面，作为网络安全基本大法的网络安全法配套制度尚不健全，可操作性仍有待加强。此外，作为新实施的法律，网络安全法的执法案例尚不充足，执法尺度仍需进一步探索和统一。整体来看，尚不完善的规则设计和执行机制难以为企业数据合规提供有效指引。

国际层面，通观国际立法趋势，不难发现数据已成为国际空间竞相争夺的战略性资源，美欧等诸多国家和地区已经纷纷出台举措抢占国际空间数据规则的制定权，建立以本国或本区域利益为中心的数据规则体系。随着国际博弈的加剧，国际法律冲突也逐渐走向常态化。网络和数据的跨国界性往往使得企业需要应对不同规则体系的合规，大大增加了企业合规的复杂性。在国际法律冲突的情形下，企业合规将陷入两难境地。例如，欧盟GDPR、美国CLOUD法与我国网络安全法第37条的冲突可能会导致企业在数据出境方面面临巨大的合规困境。

四、安全视野下的大数据合规应对

面对大数据安全合规的诸多挑战，企业应当从法律、管理、技术3个角度建立起一套全面的，以法律为依据、以管理为核心、以技术为支撑的数据安全合规体系。

（一）法律层面：加强国内外立法研判

目前，我国正处于数据安全立法和实践的快速发展期，同时也是探索期。在此阶段，诸多数据安全相关法律以及配套制度陆续制定或出台。为及时有效应对，企业应当持续跟进相关立法动态。同时关注、研究相关的执法案例，加强与行业部门、监管部门的沟通与协作，以准确把握立法要旨，掌握合规要点。

此外，随着数据在全球范围内的自由流动，对于数据的监管突破原有的属地管辖已成国际立法趋势。数据保护已不再是一个单一的国内立法问题。对于诸多跨国企业或者有意于提供国际数据服务的企业而言，数据合规工作不仅需要着眼于本国立法，还需以全球化的视野关注国际立法动态和趋势，提前做好立法研判和业务布局。

（二）管理层面：完善数据安全内控机制

完善的内控机制是数据安全合规的重要环节。企业应当建立完善的、标准化的、覆盖数据全生命周期的数据安全管理机制。

首先，重视数据本身的安全。数据安全不仅包括数据的静态安全，还包括数据的动态安全。因此，企业应当建立起对数据全生命周期使用情况的监控、审计、评估机制。根据数据的类型、重要性、敏感度、面临的风险程度等因素的不同，进行数据分级分类，以采取适宜的安全保障措施；建立起完善的安全事件应急响应机制来及时有效地应对数据安全事件。

其次，重视系统安全和供应链安全。数据安全不仅包括数据本体的安全，系统和供应链的安全也将直接影响到位于该系统中的数据安全。企业在系统设计之初，或者采购过程中就应当将数据安全因素考虑在内。

此外，重视人在数据安全管理中的重要性。无论是近期发生的腾讯云数据丢失事件和华住集团数据泄露事件，还是之前发生的京东内部数据泄露事件，不难看出，诸多数据安全事件的发生是人为因素导致。员工的合规意识是决定企业合规成败的关键，自上而下，以人为本，数据安全管理上，人是最大的风险，也是最好的尺度。因此，在数据安全管理机制的建设中，企业应当强化权限管理、明确数据安全管理的角色和责任、加强人员数据安全知识的培训等，建立起完善的数据安全组织机制和人员管理机制。

（三）技术层面：提升数据安全防护能力

面对快速更新迭代的新技术，传统的数据安全防护措施已经暴露出不足。为有效应对，企业应当加强对前沿数据安全防护技术的研发。通过加强防病毒、防攻击、防泄露、数据加密、脱敏、漏洞发现和修补，提升网络安全态势感知能力、加强网络系统的抗灾、减灾和恢复能力等一系列的技术手段，建立起一套有效的从平台到数据，从运行安全到数据安全的技术防护体系。