从数据保护到数据流动，如今谈数据安全治理我(2)

对于中国建设银行来说，讲一个我们在这方面的实践。我们这块的数据应用也从早期的这些数据仓库开始，到后面的大数据平台，再到现在的数据湖，不断在演进。我们对数据做了整体统一管理，也成立了专门的数据治理委员会，还有专门的数据管理部门推动。整体来看，数据安全从原来保证数据不泄露、不丢，到现在我们在想怎么合法、合规地使用数据。

李少鹏：用户讲完了，请厂商讲一讲。政策可以不用讲了，讲我们自己服务了哪些用户，在数据安全治理这个领域。

刘晓韬：我们一般来看，数据安全治理可以分成国家层面、行业层面和企业层面。国家层面基本上法规制度建设在推进当中。行业层面，金融、运营商和政府侧跑的速度比较快一些。企业的落地层面目前困扰是最大的。

为什么说企业侧的困扰最大，现在一方面要促进数据共享，另一方面又要进行数据安全法规陆续的出台。如何去整合满足合规性，对于它们来讲是一个蛮大的挑战。而且过去大家更多在讲网络安全，网络安全大家现在干起来可能得心应手一些，但数据安全整个体系怎么建，大家都处于一个较为迷茫的状态。

第二，数据分类分级挺复杂的，首先跟企业、行业里数据的多样性有很重大的关系，另外和数据规模有很大关系。我们在做某些用户的时候，这个用户里面的数据库就有一万多个，再加上它里面的表，可能达到几千万个。如果再把那个字段算上之后，可能有十几亿个字段，落地的时候会紧接着面临数据打标。如何把分级分类的标签打到具体的字段上，通过什么方式实现？人工的方式还是怎么样？这是苦活累活，也是目前一个很大的挑战。

还有，随着网络安全概念和数据安全概念的进展，数据的审计、脱敏、保护等等大家都有，但体系化的概念目前还是缺乏的，统一化、平台化的概念现在还是有挑战的。特别是以前买的产品可能都是多家公司的，如何能把大家理念统一，数据之间的交互流通统一，实际上非常困难。运营商行业里有一些平台化的招标等都在落地，但是真正落到最后，有很多具体化的设备、探针如何去落，是非常大的挑战。在平台化的体系上去构建时会比较困难。

第三，在人才梯队建设的维度上，过去可能有一些网络安全的人才已经储备了，但数据安全的人才非常少，在这种情况下如何去做好整体数据安全的运营，人才培养梯度上我感觉有很大的挑战。

第四，就是数据处理的技术本身。从数据的共享流动侧来看，现在挑战还是非常大。包括今天大家都在提的隐私计算、多方计算、联邦计算、联邦学习，这些东西我个人判断，现在还处于一个技术发展的初期，它还处于学术研究层级，实用化、产业化的程度不是很高。我觉得这是一个值得我们去调研的话题。

李少鹏：来到今天的第二个问题，现在的数据保护或者数据安全和过去比最大的区别是什么？数字社会、数据时代，各地建立了政数局、大数据局，但过去其实很少或者没有数据交换场景。这时候我们可以用网络DLP、NDLP或者邮件DLP或者一些数据库的访问技术来控制。剩下的就是数据存储，还有数据库加密，类似这样的事情。现在数据要交换了，但像多方计算、安全联邦计算、同态加密等等还是概念市场，连新兴市场都到不了。所以，现状是我们要求数据流动交换给我们带来经济价值，但是现在又没办法用合适的技术来保护数据。那么在这种状况下我们目前的解决方法是什么？

刘晓韬：刚才少鹏提到的数据要流动，也是发挥数据价值最关键的地方。我在前面已经发表了一个观点，我认为联邦学习、多方计算、隐私处理、区块链和数据的结合，都还处于一个比较早期、不成熟的阶段。这一块直接成为对于这个方向的解决方案，我觉得会有一点早。我们可以有一些补救的措施，比如对数据的流动进行监控，清楚它的流向是哪里，起到追踪的作用。我们需要对数据的采集、存储、使用等整个环节，建立起监控追踪的体系。从数据库侧的访问，一直到业务侧的数据访问再到终端侧的访问，建立一个一整套联动式的追踪体系。还有一种，就是我们说的数据水印，如果发生泄露，我们能定义清楚到底谁泄露的，在追责上可以进一步去落地。这几个方向有可能成为多方计算还没有完全成熟情况下的一个补救措施。

陈德锋：数据流动起来挺难管的，讲讲我们的实践。一个是我们对于自己内部的数据使用，尽量限制在一个封闭的环境里，因为流动肯定要跟外界交互。以前像办业务时，要查一个人的学历信息，比如办信用卡提交的学历信息，判断真假要去学信网，还要有身份证号、姓名。虽然办卡时我们跟客户说，我们需要利用这些信息去核实你提交的信息，客户授权我们。但是跟提交的时候，是不是全部信息都给，可能也不太合适。

文章来源：《治理研究》 网址: http://www.zlyjzz.cn/zonghexinwen/2021/0520/1783.html