这几年,随着网安法、数安法、个保法相继出台,数据安全相关话题热度高涨,加之数字经济成为当下以及未来一段时间里国计民生重中之重,作为数字经济底座及重要构件的数据安全,自然会是一大焦点。数据安全不是单个技术或产品,数据安全不是静态解决方案,必须从治理高度、在流转过程、于全生命周期进行体系化建设和重点环节落地。

正基于此,作为国内网络安全专业媒体服务机构,安在新媒体联合新一代数据安全技术倡导者--天空卫士,于5月11日晚,共同推出数据安全系列直播,聚焦数据安全治理,探讨企业最佳实践,激发业界思考、讨论和共鸣。


(从左至右,从上至下,分别为安在新媒体创始人张耀疆、某互联网公司安全负责人黄鹏华、天空卫士合伙人&高级技术总监杨明非、中伦律师事务所合伙人陈际红)

一、 数据安全——AI环境下数据安全的“危”与“机”
2023年开年以来最热门的话题无疑是ChatGPT,这款归属于AI的新产品被很多人认为是不亚于蒸汽机,铁路,电报及互联网的新一轮时代巨浪,微软的CEO纳德拉甚至认为这是一次全新的“工业革命”。

人工智能是把双刃剑,其带来了风险,也带来了新的安全技术。在风险之下,我们要如何保护数据安全?在机会之中,我们又需要如何抓住机遇,“乘风而上”呢?

数据安全之“危”

AI的更新迭代对飞速发展的互联网时代而言,也存在很多弊端,如:三星电子就因引入了ChatGPT而导致了机密资料外泄事件,相应的,欧洲如意大利、西班牙、法国等国家也都对OpenAI公司展开了调查,并暂停了AI相关的服务。

由此可见,AI带来了新的数据安全风险,其让信息安全工作变得越发困难,无论是AI其本身所引发的安全问题,还是攻击者可利用AI造成新的攻击,都为互联网环境带来了无法预估的风险和威胁。

化解数据安全“危机”

杨明非对此表示,人工智能在使用时所带来的数据安全风险主要表现为三种,分别为数据泄露、数据投毒和数据跨境风险。而从ChatGPT导致的安全事件中可以看到,人工智能发生“故障”,会导致机密数据、源代码、个人敏感信息、会议内容的泄露。对此,杨明非介绍天空卫士专门设计出了防护产品统一内容安全审查平台(UCWI)。

那UCWI是怎样“工作”的?

在人工智能中,可能最大的问题就来自于人本身,所以需要有相应的技术和手段,对所有内容进行保护,目的是为了防止提交到人工智能的这些原始数据存在敏感内容。UCWI通过API的方式,可以对用户提交到ChatGPT的内容进行自动审计和核查,发现违规数据之后,对不同级别的数据执行不同的响应动作,比如对含有个人隐私信息的数据进行脱敏,或对关键数据、敏感数据进行阻止,这样就能避免其中关于人的问题。

数据安全之“机”

杨明非介绍,用户可以利用人工智能去解决数据安全治理上的诸多问题,比如数据的分类分级,数据的风险评估,威胁的检测与响应等。用户也可以利用人工智能对人的行为进行分析,将人群进行一个风险的划分。最主要的作用是对整个安全保护的态势进行及时的调整,随时预防、阻止数据安全问题的发生。

乘人工智能之“风”

在天空卫士的整个体系里,通过人工智能技术的使用,可帮助用户快速完成数据的分类分级、应用以及应急响应。还可以用人工智能技术对人员、数据安全风险进行评估,发现潜藏的安全风险,包括外部渗透、内部信息窃取、恶意的代码泄露、钓鱼邮件等。

小结

当下,在数字化转型的过程中,AI的使用一定会快速普及,对此我们要做好预防措施,务必合规使用各种数据,同时对AI持积极态度。AI作为一种工具,我们在衡量它时就一定只看用工具的人,而不是专注于工具本身,归根结底,怎样的人就会输出怎样的结果,若使用恰当,AI就一定会为我们保驾护航。

二、 数据安全——数据如何安全出境
除了AI和安全外,本次的直播内容还关注到了数据跨境这一热门话题。数据跨境流动在当今数字经济中扮演重要角色,各国都将其上升到数据主权的高度,我国对此也高度重视,通过《网络安全法》《个人信息保护法》《数据安全法》对重要数据、个人信息的跨境流动,建立起了符合我国实际和国际大环境的基本监管制度。在如此背景下,2022年9月1日,国家互联网信息办公室正式实施《数据出境安全评估办法》。
数据出境的含义

数据出境的具体含义可以从三个方面去理解。第一个方面是数据跨境的类型,如果涉及到了境内产生的重要数据和个人信息,就需要纳入监管;其次,数据出境跨越两个区域以上需要纳入监管;第三是数据出境的方式,一种是物理跨越,比如从境内携带硬盘出国,另一种叫软跨越,即数据在境内服务器存储,然后通过授权的方式,让境外的组织、个人可以查询、调取、下载、导出,以上这些情况都需要纳入监管。

数据出境管理“七步曲”

数据跨境是需要长效管理的,企业应该把数据跨境当做项目去管理。陈际红表示,可按照七步法的方式来执行:

第一步,企业要做好数据盘点和分类分级,按照系统部门的业务维度来判断数据出境的场景;

第二步,做好全量出境场景识别,境内方、境外方、出境链路、出境目的、境外接收方的基本情况,对数据出境的相关业务场景进行识别收集。

第三步,要适配数据出境的机制,根据出境的量、出境的频率和出境相关方的身份来匹配三套机制;

第四步,是风险自评估;

第五步,根据评估做好合规整改;

第六步,整改后做进一步的自评估;

第七步,将合规落地,申报安全评估、跨境认证或签订标准合同。

在评估过程中,技术和管理缺一不可。管理方面主要是管理制度、管理流程、组织建设,而实现这些制度的是基础措施;技术支撑方面,要具备数据盘点、持续监控、企业自证、风险阻断等能力。

小结

数字时代下,数据是新兴的生产要素,也是社会经济发展的重要引擎,在深度数字化与经济全球化的叠加下,数据会大规模流动,而且日益频繁,这就是为什么数据跨境流动在蓬勃发展的全球数字经济中,有着至关重要的作用,数据跨境流动是国际经济合作的重要基础,因此如何处理好数据跨境安全问题是开展相关活动的前提,所有企业需对此保持重视和关注。

三、 数据安全——我们更关注这些
在数据跨境中,我们遇到的技术挑战和合规挑战

安在线下的几次研讨会中,有不少专家曾对数据跨境做出过解读,结合他们的建议,可主要归纳为几点。首先是一定梳理好相关的法律法规和标准;其次要根据企业场景的情况去做合法性、正当性、必要性的分析;最后要审查企业自身数据传输的目的、数据传输的类型和数据传输的数量情况。

为此,不少甲方用户曾提出过相关难点。而此次直播黄鹏华就“该如何认定部分场景是否属于数据出境”等问题产生疑惑,同时黄鹏华表示,自己企业在做数据出境的过程中,往往会面临选择机制的困境。

对于甲方用户所遭遇的这些现状问题,陈际红给出了解答,他表示:“企业场景是否构成法律上的数据跨境,首先要看具体业务中,企业有无给境外人员权限,如果境外人员具备了获取国内数据的能力,那么这就属于软跨境。”

在企业该如何选择机制方面,陈际红强调,安全评估是法定要求,也就是说凡关基运营者都需要申报安全评估,而企业若不是关基运营者就需要看具体处理的数据量,向境外传输数据量达到100万,还有累计向境外传输达到1万条敏感个人信息或10万条一般个人信息的,都需要申报安全评估。

而数据量不达标的可以选择标准合同和认证。合同是一种最高效、最便捷的机制;认证则更为长效。

如何理解AI与数据安全的的关系

AI对数据安全带来了新的风险,但是也提供了新的助力

从数据安全的角度来看,AI安全和场景的结合度是非常高的,所以其带来的全新的安全挑战和机遇并不会慢慢显露,而是会在各个层面不断涌现,三星泄露事件就是最好的例子,当然,天空卫士的AI产品也同样佐证了机遇就在眼前。

深入研究后发现,在数据安全方面,一如杨明非所说的那样,AI所带来的数据泄露问题主要体现在两个方面。一是我们在应用AI的过程中,会向AI递送一些数据材料,比如向ChatGPT提问获取答案,所提问的内容就是泄露出去的数据。

还有一个方面是潜在的,比如ChatGPT,其于历史上已经存储了海量的数据和信息,过去向大众开放数据库中的数据皆已成为了它的囊中之物,并在其后台成为了训练素材,而这些素材最终会变成一种知识沉淀,很显然,这就是一种变相的数据泄露。

机遇方面,除了天空卫士的AI产品,黄鹏华指出,只要为AI关联足够多的信息,其在告警方面就能极大的节省人力成本;杨明非补充,他举例部分用户会记录下所有外发office文档的动作,因此产生大量的事件和日志是无法靠人筛选的,只有通过AI才能做到非机线异常行为的发现。

与AI相结合固然先进,但要完全能适应AI技术却非易事。对AI而言,最重要的三个点是算法、数据和算力,拿现今最火的ChatGPT举例,其重要的不是那些大多公开的算法,而是数据量和算力,也就是说,目前而言,国内几乎没有什么安全厂商能耗得起这么大的算力,也就意味着无法完全匹配ChatGPT。

杨明非对此表示认同,他指出,要想真正把AI大模型的模式做好,就一定需要全流量的数据,而不是日志型的数据,这是安全厂商当下所面临的难题。因此,大部分安全厂商目前对AI的使用还是在算法、规则或方式上做着改变,比如对数据的流动做区块之间的分析和处理,这样就能在应用、实用和安全保护之间找到平衡点。

如此看来,AI就像是一把双刃剑,一方面众人都想用AI去做更多的事,另一方面又怕AI会带来意料之外的风险。对此,我们可以做的是规范好自己的行为,牢记自己做安全的初心,不要让任何工具在我们手中失了本意,约束好自己之后,其他的无非是期待业内外能在技术手段或法律法规上对AI发展出更好的管控。

数据安全治理怎么能更好的落地

数字化时代,新的场景、新的应用不断涌现,AI、数据跨境等都为行业带来了新的趋势和发展方向,从正负两方面来看,可以理解为是从政策角度、技术角度为我们带来了压力,当然也可以理解为这是全新的驱动力。

而无论是数据跨境还是AI应用,最终都会归结到“安全治理”这个大主题上。说到数据安全治理,给人的感觉更像是玄学,可以解读出好几个方面,又似乎怎么也无法落地。那在这样的时代背景下,数据安全治理一定也会发展出全新的形式和改变。

杨明非对此解读:“治理比起管理和技术支撑,其所在的层面更高,就像国家治理,也一定是从上往下落实到每个省、每个市、每个部门,最后才是我们每个人。所以数据治理最重要的是,我们需要一个坚实的基础,无论是出境合规、数据安全审查、大数据,还是人工智能,其围绕的核心就是‘对数据资产的梳理’。”

比如数据跨境,首先要做的就是数据资产盘点,再比如人工智能,或任何形式的数据安全,所有这些措施的首要步骤就是资产盘点。

从此概念中可以看到,数据安全作为一种能力建设,要把它牢牢扣在整个数据上,以数据为核心,使整个数据安全体系做到能识别、能控制、能阻断、能追溯、能审计,这样再使其涵盖身份管理、身份控制、网络安全隔离、跨区域的划分和其他的安全技术手段,就能将数据安全治理做成一个大的框架,并可通过统一的模式去考虑数据治理问题。这是当下数据安全治理变化中最明显的一点,具体表现为智能化、平台化、流程自动化等。

四、 尾声
当然,数据安全治理不只是平台,平台可被理解为一种载体或抓手,因为就像专家们说的那样,所有工具背后,其实最主要的还是人,还是组织。因此,对其企业来说,在日益复杂的互联网环境下,常设性的治理组织是需要的,跨部门甚至跨地区,能从上至下进行协调的组织会是数据安全治理方面非常关键的一环,因为只有涵盖法律、技术、业务、安全等各方面的职能,才能彻底解决治理方面的问题,这样无论是在研讨、会议、培训,还是在策略上,都能更有效的落实。