文章图片

对于企业来说 ， 过往企业数据的采集、存储、传输、归属、使用、销毁、保护 ， 每一个环节都可能存在不同的数据安全问题 。 比如 ， 采集环节有可能出现超出实际需求的过度采集 ， 或是非法渠道购买数据 。 在传输环节可能会被第三方恶意劫持 。 在共享、流通环节可能存在企业无限制随意购买、交换数据 ， 涉嫌侵犯用户权益的现象 。 在销毁环节 ， 当部分企业并不会彻底清理淘汰服务器时中的数据 ， 这容易导致数据泄漏 。
数据安全法、个人信息保护法落地前 ， 一些意识超前的地方政府就在从百度、阿里、腾讯等云厂商处采购数据安全服务 。 某平台级互联网企业安全副总裁称 ， 安全业务的招标金额规模通常是数百万或千万 ， 和智慧城市动辄亿级的订单相比显得较小 ， 但是云厂商政府项目中最早实现盈利的部分 。
原因在于 ， 各地智慧城市建设中 ， 数据安全通常是先行的项目 。 地方政府的数据合规要求高 ， 很多地方甚至为此设立了专项资金 ， 这块市场已经较为成熟 。 安全业务又和算法建模高度相关 ， 这是云厂商们最擅长、最成熟的能力 ， 可复制性较高 ， 成本相对可控 。
【新规之下，大数据走的每一步，都得是安全路】有合规意识的企业今年则是很早就开始了自我整改 。 今年9月 ， 一家云厂商数据库部门负责人曾对《财经》采访人员称 ， 他所在的企业过去子公司和集团之间数据可互联互通 。 今年考虑到法律、监管等因素 ， 上述做法已停止 。 子公司和集团间的数据 ， 无法无限制打通 。 接下来如何做 ， 正在探索新的解决办法 。
深圳卓建律师事务所律师李兰兰长期从事数据合规业务 。 今年7月 ， 她在数据安全法、个人信息保护法出台的背景下曾向《财经》采访人员表示 ， 近半年来她接到的合规需求在增多 ， 覆盖出海、金融、保险以及其他科技企业 。
她解释 ， 当下数据合规工作的重点和难点是需要覆盖数据的全生命周期 ， 每个环节都要符合法律法规的要求 。 以企业为例 ， 这类合规工作级别高 ， 需要公司管理层牵头 。 由法务部门、IT部门负责人担任项目经理 ， 会同研发、业务部门共同展开 。 企业要审查公司内部的数据流 ， 梳理各环节数据权限 ， 收集数据的目的、范围 。 一些项目后期甚至还需要引入第三方专业机构进行评估 ， 否则将面临业务叫停的风险 。
数据全生命周期安全
新规之下 ， 政府、企业 ， 都需要建立起全周期的安全体系 。 平台级互联网企业对此有一定的探索 ， 其探索主要分成两方面 ， 一是安全治理制度 ， 二是产品技术或解决方案 。
数据安全、隐私保护是系统工程 ， 有赖于明确的规章制度、业务规则 。
一种被普遍认同的说法是 ， 数据安全是系统工程 ， 要在业务设立通盘考虑 。 其制度不仅需要管理层参与 ， 还需要建立起顶层治理架构、风险管控体系和安全审计机制 。
韩祖利过去长期参与百度数据安全治理 。 他介绍 ， 百度成立了数据管理委员会 ， 进一步完善数据管理政策 ， 加大监督力度保障用户信息安全 。 大型平台级厂商研究数据最多 ， 探索最早 ， 因此已经建立了一套制度和规则 ， 积累了大量的数据安全治理的成功经验 。 不过 ， 这却是目前大部分企业的短板 。 上述数字化企业安全副总裁对《财经》采访人员表示 ， 补足这一短板的策略是 ， 引入相关咨询规划 ， 在业务中使用一部分数据安全产品 。 制度和规则需要在长期业务实践中逐步完善 。