数据无界?数据安全需要边界!

文摘   2024-11-03 23:36   上海  

探寻合规之道,共筑数据保障之堡。专注为数据安全管理者、技术专家、隐私法务、律师等专业人士打造的知识共享与交流平台。

点击  "合规社"  > 点击右上角“···” > 设为星标⭐

之前写过两个专栏,一是《数据守望》,以某个主题为主,文章篇幅长,对内容的解析相对较深;二是《一图说安全》以图形方式简要呈现数据安全领域的框架模型,但框架类的图形属于实践工作总结,可遇不可求。

实际对数据安全的认识持续在积累和实践,经常有些新鲜的想法出现,比较适合以简洁的文字呈现,内容多为一些个人体会、观察,属于探讨式内容,希望有所帮助。

今日开篇探讨“数据和数据安全边界问题”,如下:



数据无界?数据安全需要边界!


1.数据无界,数据处理活动有界

最早计算机的产生,到后来发明的互联网,把计算机及网络资源等连接起来,把物理世界的内容进行电子化、数字化,产生大量的数据。从业务视角看,数据产生价值的原因之一是业务数字化,为了提高业务效率,进行流程改造和重组数字业务化是把我们收集的各类数据,进行处理分析,企图从数据中找到业务价值,给我们新的启发,从数据中汲取更多。

回到数据本身,数据通常有三种状态,包括静态的数据存储形态动态的数据(内存使用传输中数据(网络传输)。数据是大量的0和1比特流构成,它本身有基本属性,个人认为数据自身并没有界线,但围绕数据处理相关的活动需要有界。例如在国标《数据安全风险评估办法》(报批稿)中提出数据处理合理性的风险,其中数据来源合规、数据加工使用合规、数据对外共享|公开等都属于合理性的范畴,需要有边界约束。

2.数据的有序和合规

鼓励数据产生价值,让数据成为新型生产要素,似乎又不太适合用“边界的思想”限定它,因为数据只有流动才能发挥价值。在《数据安全法》中提出“规范”数据处理活动,提倡数据和安全平衡发展,新形态的数据应用促进新形态的安全,比如大模型的出现,对安全提出新的挑战,促进安全不断发展。对于数据要有序流动、合法利用,这个有序和合法就是数据处理活动的边界之一。

有序和合规包含制定业务标准规范、制定数据交易规则、成立数据交易平台等等业务层面的事情,也包括网络和数据安全保障层面的“有序”与“合规”

3.现在的数据安全不仅是安全范畴

《数据安全法》中数据安全的定义,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态 ,以及具备保障持续安全状态的能力。

从定义上看,数据安全是一种持续的能力,在几年前的数据安全是完完全全属于安全范畴,通常包括数据安全管理和数据安全技术,但是数据成为新的生产要素,国家数据局成立后,推动数据作为业务不断发展,寻找数据应用场景,把数据安全扩展到数据处理活动、个人信息保护,一个结合业务、合规、安全、数据的综合复杂体。并不是我们想把它复杂化,实际情形就是数据安全无法与业务、合规和数据进行分开,数据安全变成一个更宽泛的概念,不仅仅只是一种安全能力。

因此,在2024年谈数据安全需要避免只从安全领域看待它,它不再仅仅是安全产品、安全解决方案,需要考虑业务所需的资质、考虑数据合法合规使用。例如数据合规引入、合作方的管控、数据权限的管控,甚至需要防范一些合法用户,利用合法路径进行的数据安全泄漏风险,也需要考虑软件供应链中组件应用可能导致软件中断风险等情形。

4.宽泛的数据安全需要边界

2024年新发布《网络数据安全管理条例》中强调数据安全需要建立网络安全基础之上,不能说数据安全就单独自成一套体系,在于它的颗粒度更细腻,例如脱敏、加密、分类分级、备份、身份、权限等专有技术能力,与密码应用高度关联,与业务软件应用的内生安全功能存在密切关系。需要把这些安全功能的配置项与业务场景进行结合

例如数据服务类平台业务功能一般有“缓存”开关,正常情况都处于关闭状态,某一天升级变更或者认为打开这个开关,意味着大部分外围附加式的安全产品都将失效,但是应用内生的“缓存”数据的功能,实际上是一项极其危险的操作。

按标准说法,数据安全是一种能力,能力通常不会说有没有边界,而是看是否具备这项能力,这样看它根本就没有边界的说法。但按现在数据要素下数据安全宽泛概念,它应该需要边界,且更应该关注数据“内到外”的边界,如做好权限管控、数据接口安全等等。

5.简要总结

数据作为静态属性,本身没有边界,数据的处理活动需要有边界;数据安全不太适合用边界来定义它,它是一个复杂的综合体,几乎不可能找到一套模式来做好数据安全工作,需要场景化思路做好数据安全,如用数据安全运营+安全配置的思路,非堆叠安全产品的思路
从业务视角看,数据安全只是数据有序流动中的一部分,需要融合业务、合规、安全、IT等多方面,协同综合保障,优先围绕数据处理活动中的安全要求和可能的风险,提出数据安全解决措施。
现在的数据安全不仅仅是安全范畴了,也没必要和网络安全(更关注网络及信息系统)、信息安全(更关注内容安全)做严格切分,反而相互交叉、相互支持,围绕各自特性做好安全控制。

  本文作者 

Smart,成长性思维践行者,从事IT技术17年,7年+数据安全经历,拥有大型集团数据安全管理和大型IT项目安全实践经验。对安全领域法律法规、行业标准有较深研究,擅长“转化”成平台安全落地实践。


「 一键加入数据安全及个人信息保护领域的知识宝库」
550+已加入
⬇️⬇️⬇️

「 数据合规知识星球 」是一个专注于数据安全和个人信息保护的资源和知识集散地。星球提供图解PPT、行业解决方案、数据安全合规管理制度模板、评估工具及评估报告模板、监管政策及标准汇编整理等,帮助组织或个人理解并遵守数据安全合规的法律法规,促进操作和业务流程的安全合规。

合规社
数据安全与隐私保护新知分享平台
 最新文章