1.数据无界,数据处理活动有界
最早计算机的产生,到后来发明的互联网,把计算机及网络资源等连接起来,把物理世界的内容进行电子化、数字化,产生大量的数据。从业务视角看,数据产生价值的原因之一是业务数字化,它为了提高业务效率,进行流程改造和重组。而数字业务化是把我们收集的各类数据,进行处理分析,企图从数据中找到业务价值,给我们新的启发,从数据中汲取更多。
回到数据本身,数据通常有三种状态,包括静态的数据(存储形态)、动态的数据(内存使用)、传输中数据(网络传输)。数据是大量的0和1比特流构成,它本身有基本属性,个人认为数据自身并没有界线,但围绕数据处理相关的活动需要有界。例如在国标《数据安全风险评估办法》(报批稿)中提出数据处理合理性的风险,其中数据来源合规、数据加工使用合规、数据对外共享|公开等都属于合理性的范畴,需要有边界约束。
2.数据的有序和合规
鼓励数据产生价值,让数据成为新型生产要素,似乎又不太适合用“边界的思想”限定它,因为数据只有流动才能发挥价值。在《数据安全法》中提出“规范”数据处理活动,提倡数据和安全平衡发展,新形态的数据应用促进新形态的安全,比如大模型的出现,对安全提出新的挑战,促进安全不断发展。对于数据要有序流动、合法利用,这个有序和合法就是数据处理活动的边界之一。
有序和合规包含制定业务标准规范、制定数据交易规则、成立数据交易平台等等业务层面的事情,也包括网络和数据安全保障层面的“有序”与“合规”。
3.现在的数据安全不仅是安全范畴
《数据安全法》中数据安全的定义,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态 ,以及具备保障持续安全状态的能力。
从定义上看,数据安全是一种持续的能力,在几年前的数据安全是完完全全属于安全范畴,通常包括数据安全管理和数据安全技术,但是数据成为新的生产要素,国家数据局成立后,推动数据作为业务不断发展,寻找数据应用场景,把数据安全扩展到数据处理活动、个人信息保护,一个结合业务、合规、安全、数据的综合复杂体。并不是我们想把它复杂化,实际情形就是数据安全无法与业务、合规和数据进行分开,数据安全变成一个更宽泛的概念,不仅仅只是一种安全能力。
因此,在2024年谈数据安全需要避免只从安全领域看待它,它不再仅仅是安全产品、安全解决方案,需要考虑业务所需的资质、考虑数据合法合规使用。例如数据合规引入、合作方的管控、数据权限的管控,甚至需要防范一些合法用户,利用合法路径进行的数据安全泄漏风险,也需要考虑软件供应链中组件应用可能导致软件中断风险等情形。
4.宽泛的数据安全需要边界
2024年新发布《网络数据安全管理条例》中强调,数据安全需要建立网络安全基础之上,不能说数据安全就单独自成一套体系,在于它的颗粒度更细腻,例如脱敏、加密、分类分级、备份、身份、权限等专有技术能力,与密码应用高度关联,与业务软件应用的内生安全功能存在密切关系。需要把这些安全功能的配置项与业务场景进行结合。
例如数据服务类平台业务功能一般有“缓存”开关,正常情况都处于关闭状态,某一天升级变更或者认为打开这个开关,意味着大部分外围附加式的安全产品都将失效,但是应用内生的“缓存”数据的功能,实际上是一项极其危险的操作。
按标准说法,数据安全是一种能力,能力通常不会说有没有边界,而是看是否具备这项能力,这样看它根本就没有边界的说法。但按现在数据要素下数据安全宽泛概念,它应该需要边界,且更应该关注数据“内到外”的边界,如做好权限管控、数据接口安全等等。
5.简要总结
数据作为静态属性,本身没有边界,数据的处理活动需要有边界;数据安全不太适合用边界来定义它,它是一个复杂的综合体,几乎不可能找到一套模式来做好数据安全工作,需要场景化思路做好数据安全,如用数据安全运营+安全配置的思路,非堆叠安全产品的思路。
从业务视角看,数据安全只是数据有序流动中的一部分,需要融合业务、合规、安全、IT等多方面,协同综合保障,优先围绕数据处理活动中的安全要求和可能的风险,提出数据安全解决措施。
现在的数据安全不仅仅是安全范畴了,也没必要和网络安全(更关注网络及信息系统)、信息安全(更关注内容安全)做严格切分,反而相互交叉、相互支持,围绕各自特性做好安全控制。
文件数据销毁