今年11月,《中华人民共和国信息保护法》开始正式实施,连同已经实施的《数据安全法》《网络安全法》,三者共同构成了我国在网络安全和数据保护方面的法律“三驾马车”。这标志着国内数字经济发展和治理自此迈入崭新阶段。
在腾讯副总裁、腾讯安全负责人丁珂看来,数据安全将是未来爆发的领域,从数据中台类的产品,到数据合规、数据隐私保护、关键数据识别、数据审计等会先爆发起来,最终推动数据安全的产品市场走向完善。
“在用户的视角,从买车看房接到各种骚扰电话和垃圾短信,到黑灰产‘杀猪盘’手段不断翻新,与个人身份相关的信息,包括银行卡号等被泄漏,黑灰产分子诱使用户开白条借钱,等等,这需要通过法律制约、技术对抗、联动打击。”丁珂说。
第一,采集和存储用户数据时,是否向用户准确告知意图,中间的信息处理环节是否有针对性进行告知。
第二,通过大数据,能够反向溯源到个人的信息,则应该加密、抽象化处理,避免内部产品在与第三方合作时无意泄漏。
第三,针对广告推荐、AI算法等场景,则要获得用户授权和同意。在用户可能不愿意接受的场景中,是否清晰明确向告知。
丁珂坦言,在《个人信息保护法》落地实施后,对企业来说,改造的工作量并不少。
业界也乐见,随着《个人信息保护法》落地,行业发展重新回到良性发展的正轨上,与此同时,相关公司都在追加数据安全投入,围绕个人信息保护与数据治理,包括数据加密、分类治理、安全管控等技术在未来或成为企业的标配。
丁珂指出,疫情让企业意识到,数据已经成为企业核心的生产资料。在数据“马斯洛模型”中,其价值从“业务数据化”、“数据化生产”、“用户数字化营销”、“数字资产价值挖掘”最终到“数字化产品能力”逐级攀升。
他解释,伴随着新零售、工业等领域的业务数据化,货物流转、工业传感器带来的数据,每年都在翻番,如果企业的数据和用户行为数据发生联动,用户营销只是一个开始,到数字资产价值挖掘再到数字化产品能力建设,就会带来更高的安全要求,企业也会面临更大的压力。
首先是“接”。疫情之后,企业传统VPN管理效率不高的弱点逐渐暴露出来,各种终端在不同网络环境下接入,大量远程办公需求、应对分布式办公需求,都会对企业管理造成困扰。对于这些痛点,企业可以采用“零信任”架构:持续验证、永不信任,构建身份安全基石。
其次是“防”。应该如何给员工授权,如何判断正常行为和异常行为的区别,对异常行为及时发出警示。
再次是“管”。很多企业如像富士康,一个厂动辄数百万终端接入,接入之后传统IT安全防护思路,难以满足需要;出现漏洞,该怎么样快速把系统升级?“管”也是一个新课题。
最后是“控”。安全永远是动态的,对抗时刻都发生,碰到新的问题就要推出新策略。
丁珂总结,“黑产”比大家预想的要活跃,即便新的法律实施,也会想尽各种办法逃避,而企业为了适应法律要求,甚至会有一些束手束脚。“零信任”是一个很好的应对思路。
在数据治理方面,隐私计算越来越受到关注。丁珂表示,布局隐私计算,归根到底还是要看行业需求,看甲方买不买得起。
丁珂坦言,目前该技术还处于实验室模型阶段,个别高端模型已经可以落地应用,但如果想让普通行业甚至行业的头部也用上,还有一个相当长的过程,要想大规模商用,还是要在成本收益上达到动态平衡。
而要达到动态平衡,目前技术流派非常多,迁移学习、安全多方计算等等,如果形成产品化让客户来购买,目前价格依然居高不下,离商业化有点过早。
本文为澎湃号作者或机构在澎湃新闻上传并发布,仅代表该作者或机构观点,不代表澎湃新闻的观点或立场,澎湃新闻仅提供信息发布平台。申请澎湃号请用电脑访问。