近年来,人工智能技术的不断迭代与持续演进,离不开算法的突破与算力的提升,更是得益于近几十年来信息化技术应用与发展过程中持续积累的海量数据资产。伴随着数据仓库、数据湖、云服务等数据管理平台与技术对数据质量提升、数据规模积累、数据可用性与应用成本的持续改善,数据资产的本身价值以及其在数字化转型业务中带来的经济效益与社会价值,数据要素逐渐成为各行各业的重要生产资料。
然而,数据资产价值的体现,主要得益于数据在参与生产活动的过程中易流通、易交易的特性。数据通常被使用于信息展示、公开披露、共享转让、委托处理、加工处理、开发测试等生产活动中,而这一系列过程往往存在数据盗用、滥用、泄露的风险。国家法律法规以及行业监管,已经对数据安全责任与技术规范提出了明确要求,并开展了专项的治理与整治活动。
对于企业尤其是金融机构来说,不时被外力“逼停”数字化业务的日子不宜久恋,想要更好的释放数据产能,在数据中“又快又稳”地驱使业务的发展,装上业务内生的数据安全“刹车”才是长久之计。
风险、损失与红线
频发的数据安全事件仅是冰山一角。近年来,国内外数据安全事件频发,出现在公众视野中的安全事件往往也只是冰山一角。大规模的数据泄露和违规事件,对企业来说不仅会造成巨大的财产损失和用户信任度下跌,更是危害到用户的个人隐私与信息安全,对用户的个人财产安全造成了极大风险。
来源:IBM Security 《2022年数据泄露成本报告》
数据泄露带来的损失及影响逐年增加。根据 IBM Security 发布的《2022年数据泄露成本报告》显示,2022年数据泄露的平均成本达435万美元,相比2021年增长2.6%,相比2020年增长12.7%。对于企业来说,数据泄露事件除了带来经济上的巨大损失以外,还会对企业产品和服务成本等造成一系列影响,更有可能导致 25% 的中小企业面临破产风险。
来源:IBM Security 《2022年数据泄露成本报告》
其中,医疗保健连续12年成为数据泄露成本最高的行业,紧随医疗保健行业之后的是金融、制药、科技、能源等行业。医疗保健与金融行业之所以泄露成本更高,主要是由于它们均是受监管程度较高的行业,主要成本除业务本身损失与泄露后的响应成本之外,还伴有高昂的法律监管与罚处金额。
数据安全与合规是基本红线。随着数据安全相关法律体系的不断迭代与逐步完善,企业在保障数据安全的落地过程中,数据安全与合规成为基本红线。一方面,需要同时满足来自强监管下的安全合规以及技术考核等要求;另一方面,还需要适应不断发展变化的法律法规,包括已经生效的、即将生效的数据合规等新要求。如 4 月 11 日国家互联网信息办公室发布《生成式人工智能服务管理办法(征求意见稿)》对生成式人工智能服务提供者及其产品提出了多项规制。此外,中国支付清算协会发布《关于支付行业从业人员谨慎使用 ChatGPT 等工具的倡议》,倡议相关单位不上传关键敏感信息,包括国家及金融行业涉密文件及数据、公司非公开的材料及数据、客户资料、支付清算基础设施或系统的核心代码等。明确要求“生成式人工智能服务提供者应对用户的输入信息和使用记录承担保护义务。”
如何安全合规地释放数据产能?
企业在积累数字生产资料的过程中已然意识到了数据要素的价值,如通过数据分析的信息和结果来促进日常经营活动与支撑业务发展,并通过数据可视化等技术手段来揭示业务规律助力企业决策。诸多企业在受益于数据使用的野蛮生长过程中,数据安全保护问题日益凸显,数据滥用、泄露等风险问题引发监管关注,甚至在经济利益的驱使下对信息数据进行干预,从而给数据安全带来极大风险。数据作为个人信息载体,侵犯数据安全也就意味着侵犯个人信息安全。数据安全不仅关乎个人隐私、社会福祉,更事关经济发展和国家安全。
国家对于网络安全和信息化工作的高度重视,致使安全合规要求持续增加,监管力度不断加大,监管内容不断细化,企业业务发展与数据使用场景受到了监管的限制,也伴随着数据产能价值的降低。合理的监管与合规要求,不仅是为了防止数据相关产业野蛮生长,同时也是为了保护公众个人隐私安全,维护社会稳定与国家安全。企业想要安全合规地使用数据,数据安全不仅是释放数据价值的重要引擎,也是业务安全之路的必备“刹车”。数据安全管理能力越强,企业应对监管的压力则越小,数据产能才能释放得更多,业务自然跑得更快。
其次,很多企业对于数据安全工作的认知停留在法律法规层面,在数据安全工作开展过程中,将满足监管合规要求作为第一驱动力,成为“被监督、被检查、被要求”等应付检查的工作,其实不然。数据在企业的生产经营活动中发挥重要作用,许多关键数据信息则是企业生存发展的命脉,成为商业机密。“内鬼泄密”、“另立门户”……等侵害企业商业信息进行不正当竞争的典型案例时有发生。作为企业,一方面要从自身数据价值与业务发展驱动出发,培养长期的数据安全运营意识;另一方面,要有数据安全“刹车”意识,做好数据动态脱敏、数据访问控制、数据流转轨迹、数据安全审计等工作,防患于未然,积极履行企业责任与义务,保护企业自身资产。
最后,数据要素的流通与价值产能的释放,离不开技术手段的发展与创新。我国数据安全管理进度相比国外起步较晚,大部分企业在数据安全管理工作中面临着诸多难题:短期数据治理与持续保障需求的矛盾、已有应用改造与持续应用迭代的矛盾、安全管理要求与安全技术措施的矛盾、安全性能瓶颈与业务弹性扩张的矛盾等。
传统的安全产品往往需要改造现有的业务系统,改造成本高,还伴随着影响系统性能与稳定性的风险。同时,企业内部存在业务竖井、数据孤岛,不同业务系统对数据字段、名称、类型等存在不统一的情况,现有的技术措施与手段无法满足数据安全保护策略与监管合规要求,导致企业在业务发展需求、数据安全风险与监管合规要求之间难以平衡。基于此,企业需要去将常态化的数据安全管理工作在一体化的数据安全管理平台完成,将数据资产封装为数据访问安全层,使安全内生于业务,达到免改造、自适应、安全合规的贴源保护效果。
安全“可控”,业务才能行稳致远
企业业务发展在踩下“油门”的同时,需要意识到,数据安全工作的价值与意义如同车辆的“刹车”这样的安全配置;安全“可控”,业务才能行稳致远。只有当数据安全意识成为企业制度、管理、文化与意识中的一环,成长为企业发展内部驱动力的一部分,企业才能充分释放数据产能价值,实现数据资源的价值最大化。