数据合规挑战：数据泄露既要防“黑”又要防“内”

从“人工”到“数据”的转变为企业带来发展机遇的同时，也带来了诸如隐私保护、网络安全、知识产权保护、财务合规等问题，值得注意和警惕。

文｜王雅迪 石丹

ID | BMR2004

近年来，云端大数据正被广泛应用到政府办公、金融、零售、工业制造等各个领域，“大数据”成为企业数字化转型的关键，以帮助企业更好实现降本增效，在数字化过程中如何更加绿色安全地转型成为时代新课题。

目前，中国数字经济已进入快速发展阶段，传统产业数字化转型不断加快。数据显示，2016—2022年中国数字经济总体规模逐年递增，2022年达50.2万亿元，同比增长10.3%，预计2025年达70.8万亿元。企业的数字化转型是利用数字化技术和能力来驱动组织商业模式创新和商业生态系统重构，贯穿数字化服务、数字化生产、数字化管理各个环节。

从“人工”到“数据”的转变为企业带来发展机遇的同时，也带来了诸如隐私保护、网络安全、知识产权保护、财务合规等问题，值得注意和警惕。

01

数据合规挑战

大型企业掌握的数据资源很多，从监管角度来说，它们更可能存在数据滥用问题。中小企业则可能没有恶意倒卖数据的需求，更多是因为防护能力不强，被迫成为不法分子盯上的目标，导致别人“偷”它的数据。

企业数字化转型本质上是数字化驱动的战略性业务转型，牵涉到的企业信息技术和组织变革，包括人员与财务、投入产出、知识与能力、企业文化等各方面。具体来看，可以包括产品和服务、运营以及商业模式等几个层面的数字化转型，这些环节中会产生大量的企业数据，例如研发数据、生产数据、销售数据等，由此带来转型过程中数据安全、信息安全等担忧。

企业网络安全专家联盟秘书长张威向《商学院》记者指出，数据合规主要包括数据保障、数据合法使用及交易和共享三个层面，数据安全囊括在这三个层面中，例如数据的合法使用，要求特定类型的数据在使用过程中要得到他人同意，要尊重对方的所有权；数据安全的交易和共享，要通过诸如大数据中心或交易所来确定合同是否合法合规。

企业数字化转型的过程中，因内外条件限制会遇到各种困难，由此会为数据合规埋下隐患。艾媒咨询相关数据显示，企业在开展数字化转型遇到的主要困难和挑战排在前三位的分别为缺乏相关人才（50%）、资金投入不足（48.4%）、传统IT平台和架构带来的负担（40.4%）。

网络安全专家、北京赛博英杰科技有限公司创始人谭晓生向记者表示，中小企业数字化转型过程中，企业没有钱聘请专职的网络安全人员，管理者自己也不懂网络安全；业务转移到计算机/网络系统，资产越来越多在数据上，对数据安全、个人信息保护等法律的合规性要求基本不懂，也不知道该怎么做。

数据安全愈发成为中小企业在数字化转型中顾虑较多的问题，如何确保数据处于有效保护和合法利用的状态，在计算机和网络技术广泛应用的今天变得尤为重要。

张威认为，大型企业掌握的数据资源很多，从监管角度来说，它们更可能存在数据滥用的问题。虽然它们数据保护的能力还可以，但出于精准营销等目的可能会超量采集用户隐私，以达到变现的目的，中小企业则可能没有恶意倒卖数据的需求，更多是因为防护能力不强，被迫成为不法分子盯上的目标，导致别人“偷”它的数据。

02

数据泄露要防范两大渠道风险

企业自己的信息系统需要有细粒度的权限管理、访问控制和审计机制，防止内部人去偷窃数据，内部人偷窃数据之后要能及时发现。

目前我国已经形成了“三法一条例”的网络安全法律法规体系，《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》以及《关键信息基础设施安全保护条例》为数据安全合规管理提供了法律依据和遵循标准。

著名咨询机构Verizon发布的《2023年数据泄露报告》（以下简称《报告》）显示，在对2022年发生的16312起安全事件和5199起数据泄露事件进行分析后发现，有83%的泄密事件涉及外部行为者，其中大多数出于经济动机；74%的漏洞涉及人为因素，包括社会工程攻击、错误或滥用；50%的社会工程攻击是欺诈事件，几乎是去年总数的2倍。

这一数据意味着“人”仍是影响数据安全的重要因素，来自外部的黑客攻击和内部人员泄密是不可忽略的两大渠道。

据有关媒体报道，近日有案件显示，数个黑产团伙通过境外社交平台兜售个人隐私数据，从外卖、网购，到航班、火车行程信息，甚至连银行流水、征信报告等高度敏感的数据均在交易范围内。调查结果显示，其数据大部分来自相关行业关键岗位人员，根据不同平台业务系统后台截图，涉及国内多家知名企业。

张威分析道，这种现象出现的原因之一是外部黑产对数据的需求增大，用高价来收购数据。随着云平台、大数据、人工智能等技术的发展，以往分散的企业数据开始汇聚起来，账号权限的价值变大，但管理数据的人级别不高，就有可能出现问题，值钱的数据需要相对重要层级的人来管理。针对这个问题，安全领域有一个新的理念叫“零信任”，即默认对所有的用户事先不信任，经过审核认证之后才给到权限。

解决“内鬼”问题要靠企业内部建立更细的权限管理、访问控制、审计等措施，在关键信息基础设施领域的推行变得十分重要。

谭晓生认为，企业自身的信息系统需要有细粒度（粒度是指数据仓库的数据单位中保存数据的细化或综合程度的级别。细化程度越高，粒度级就越小，细化程度越低，粒度级就越大。细粒度权限管理就是数据级别的权限管理）的权限管理、访问控制和审计机制，防止内部人去偷窃数据，内部人偷窃数据之后要能及时发现，比如对数据进行数据的分类分级、加密、对数据访问进行更细粒度授权和访问控制、行为分析，对于内部人员的数据访问和数据使用进行审计，及时发现“内鬼”，并在司法惩戒方面将他们绳之以法。

03

数据安全与业务逻辑

数据治理面临着通用性难点，因为数据是在进行业务系统建设和使用的过程中所形成的，数据与业务逻辑密切相关，而业务却千变万化。

企业数字化转型的过程中，不同行业呈现的形态不同，所面临的数据保护程度存在差异。从某种角度来讲，数字化转型本身就会导致安全防御水平的下降。

张威解释道，数字化转型实际上是对组织的商业模式变更，要保障业务转换，在转化过程中，它的安全防御水位会变低。因为业务转型本身就面临很多风险，如果安全水位很高，就会一定程度上阻碍转型。这里存在一个区别：假如数字化转型，企业实际上并没有转数据，其核心在于产品，要把业务转成数字驱动，那么安全等级就会降低；但像银行运营商这种核心在于转数据的企业，它的安全强度反倒是高的，因为数据是其最核心的内容。

正是因为存在这样的差异化，不同企业对于保障数据合规的投入有所不同。数据安全投入需要资金支持，既包括硬件设备的购置和维护费用、软件的购买和更新费用，也包括安全团队的薪酬、培训和招聘等费用，并不是每个企业都有足够投入资金，也并非每个企业都需要做到国家信息安全等级保护三级认证，对于很多中小企业来说，只需要做到等保一级备案就可以。很多路边小店甚至没有数据安全保护的意识，也不知道怎么去保护数据安全。

张威也指出，小饭店、打印店、足浴店等小型的街边商户往往成为倒卖数据的主要源头，因为他们获取用户数据比较简单，缺乏相关法律意识，不法分子可能稍微花点钱就可以拿到相关数据。

谭晓生指出，过去中国的网络安全企业比较多的是卖产品，中小企业数字化转型的过程中，开始提供更多的售卖服务模式，例如深信服、360、安恒信息等都推出了自己的安全托管服务。这样对中小企业来说，可能一年投入10万元就可以有更专业的安全防护。

在这个过程当中，数据治理面临着通用性难点，因为数据是在进行业务系统建设和使用的过程中所形成的，数据与业务逻辑密切相关，而业务却千变万化，如何设计通用的能解决数据安全问题的产品考验行业的发展。

谭晓生表示，数据安全系统要和业务系统做耦合，才能知道数据与业务逻辑的内在情况，但实现耦合就失去了通用性。例如，一个安全产品如果要适用于A、B、C多个不同业务，各个业务的逻辑不一样，安全行业努力想解决的问题是数据安全和业务逻辑的“解耦—耦合”的能力，既要做和业务逻辑无关的一套解决方案，保证安全产品的通用性，但又要与其耦合，适应不同产品的特殊性，才能够更加有效地去管理数据安全。这是自相矛盾的事情，中间的技术难度还相当大，业内在做很多尝试，比如蚂蚁集团在推行的安全平行切面技术（安全平行切面体系是下一代原生安全基础设施，通过端—管—云各层次切面使安全管控与业务相互融合且解耦，并依托标准化接口为业务提供精准内视与高效干预能力，具备感知覆盖能力强、应急攻防响应快、安全治理高效和安全布防灵活的核心优势）等。

正如谭晓生所说，目前数据安全产品更多的是解决数据流转过程中某一个场景、某一个点，用不同解决方案去解决不同点位问题，而数据安全是非常全面的事情，从“小”做起仍任重道远。