上海社会科学院互联网研究中心主任、上海赛博网络安全产业创新研究院首席研究员惠志斌

　　数据安全，不仅是保障国家安全的重要方面，而且与个人权益息息相关，需要采用“管理+技术”相结合的新范式，建立全生命周期数据安全技术体系，需要保证数据生产、存储、传输、访问、使用、销毁、公开等全过程的安全，保证数据处理过程的保密性、完整性、可用性。《中华人民共和国数据安全法》(以下简称《数据安全法》)已经实施两周年，地方政府应在哪几个方面出台更细化政策?如何更快提升公众的数据安全风险意识?企业如何更好防范数据安全风险?南都大数据研究院近日同题采访曾长期工作于我国网络安全统筹协调部门、中国科学技术大学公共事务学院、互联网空间安全学院教授左晓栋，上海社会科学院互联网研究中心主任、上海赛博网络安全产业创新研究院首席研究员惠志斌，以及安恒信息CTO刘博。

　　个人遇到数据被滥用甚至违背法律规定的行为，要及时向有关部门或者机构反馈，任何一个人都要从自己做起，才能真正构建起全社会数据安全的“免疫体系”。建议向公众提供一些简单的保护措施，例如使用强密码、开启双因素认证等。

　　南都:数据安全已成为关系国家安全和经济社会持续健康发展、关系广大人民群众切身利益的重大问题。说到数据安全，普通百姓会感觉距离自己太远。但真实的生活中各类数据泄露事件频频发生，如何更好提高公众的数据安全风险意识?

　　惠志斌:“魔高一尺，道高一丈”，现在数据滥用技术、手段以及诈骗模式很多，政府部门、头部企业拥有大量数据，对个人数据企业监管越来越严，相信会扭转数据频繁泄露的局面。但是，公民数据安全和个人隐私信息保护的数字素养亟待提升，普通百姓需要具备识别数据滥用和诈骗的基本知识与能力，这些一定要通过政府、社会组织去宣贯、去推动。例如访问网站或者使用相关应用，要想想自己是否有必要提供这一些数据，个人遇到数据被滥用甚至违背法律规定的行为，要及时向有关部门或者机构反馈，任何一个人都要从自己做起，才能真正构建起全社会数据安全的“免疫体系”。

　　左晓栋:政策密集出台政策，全社会的数据安全意识明显提高，数据安全工作格局初步建立。要加强宣传，使公众充分认识数据泄露的渠道、风险，提高自我保护能力。

　　刘博:最近在微信公众号看到一些非常“特别”的数据安全事件，被处罚对象包括一些日常生活常见的店铺，如黄金珠宝店、蛋糕店。有关部门出台数据安全法规和惩治措施，正是希望更好提高公众的数据安全风险意识，让普通百姓感受到数据安全问题正在被重视和解决。真实的生活中各类数据泄露事件频发，为更好提高公众的数据安全风险意识，建议向公众提供一些简单的保护措施，例如使用强密码、开启双因素认证等，让公众通过采取一些简单行动提高数据的安全性；建议利用各种媒体平台做宣传教育，比如网络安全宣传周，或者借助广受欢迎的网络红人进行传播，让数据安全问题以更轻松形式得到更多关注，倡导相关机构制定数据安全法规和惩治措施。总的来说，数据安全意识的提高需要政府、企业和公众多方协作，让公众意识到问题的严重性、可操作性，促使其自发重视数据安全，并在生活中采取行动。

　　建议建立数据安全治理机制，明确数据安全责任人，形成自上而下的安全治理体系。数据安全合规需要有效的技术方法或管控平台予以保障。

　　南都:近年来企业对于数据安全合规需求愈发强烈。在您看来，企业在数据安全治理、合规发展上该如何做，如何更好地防范数据风险?可以从哪些角度着手构建数据安全制度?

　　左晓栋:要严格遵守法律的规定，积极落实国家数据安全标准规范。《数据安全法》提出，要构建数据安全制度，目前关于数据安全制度的范围和主要内容，已经基本有共识，各类机构要积极履行这项法定义务。

　　惠志斌:对企业而言，数据安全治理是一个系统性工程。首先，各类企业都要将数据安全合规上升到企业战略高度予以重视。不仅是具体业务部门，而且包括董事会、高管等管理层，有必要了解国家、行业层面数据安全、个人隐私信息保护相关的法律和法规、政策趋势，因为数字化的经济时代，企业数据安全合规的能力、水平决定企业的生存与发展。

　　其次，要在体制机制层面予以保障。企业要围绕数据采集、开发利用和流转的全生命周期建立安全、合规的制度体系，设置相应负责人，包括首席数据官、数据安全官、个人隐私信息保护负责人等，统领企业内部数据安全合规工作，落实具体职责，制定相应配套制度。例如，华为等头部企业很早就设立了网络安全与数据隐私保护办公室，直接向最高层负责，办公室相当于总体协调部门，各业务线有相应部门与办公室衔接，组织架构很重要。此外，要把职责在企业内部各业务板块、层级进行分解和落实。

　　最后，数据安全合规需要有效的技术方法或管控平台予以保障。例如，针对企业数据的盘点、数据的分类分级、数据脱敏、隐私计算等技术方法都是企业的刚需，需要在国家、行业相关法律政策总体框架下，紧密围绕企业业务发展需要，进行系列技术方法的集合。

　　刘博:我们提议分“六步走”，从咨询规划、风险评估、管控加固、威胁检测、审计溯源、到安全运营，通过PDCA循环，持续优化安全策略、扩展业务场景，让安全更好地赋能业务。

　　第一步，咨询规划。建议首先要维持业务需求与风险/威胁/合规性之间的平衡关系，包括经营策略、治理、合规、IT策略和风险容忍度。优先对重要数据来进行安全治理工作，如将数据分类分级作为整体计划第一环，提高数据安全合规治理的效率与投入产出比。这一步仅为可选步骤；当有明确安全风险痛点时，可以跳过此步骤直接部署有明确的目的性的安全措施进行管控加固。

　　第二步，风险评估。通过自动化检测工具、调研访谈两种方式出发，快速、全面检测梳理各项数据安全风险，如弱口令、API未授权访问、数据库暴露在互联网等。

　　第三步，管控加固。对于不同的风险场景，有明确的目的性部署相应数据安全工具进行管控加固。如通过自动化数据分类分级工具，基于行业模板进行敏感数据识别和分类分级打标，通过静态脱敏工具对敏感数据进行自动化脱敏，在降低数据敏感程度同时，最大限度保留原始数据集所具备的数据内在关联性等可挖掘价值。

　　第四步，威胁检测。进行管控加固的各类数据安全工具，作为数据安全原子能力/探针，既能解决具体场景化的安全风险，也可以互相联动形成合力。以统一的数据安全管控平台对各探针进行统一纳管、策略打通和态势感知，实现敏感数据安全防护的生命周期过程全覆盖。从云网数用端全链路地对当前环境进行实时威胁检测，第一时间洞察异常和风险。

　　第五步，审计溯源。数据安全审计能检查数据处理活动是不是满足组织的安全性和合规性政策，如果出现数据安全事件，通过审计溯源能快速确认问题出现在哪个环节，有利于有明确的目的性采取更正措施和追究相应责任，来提升数据管理体系的安全性、可信度。

　　第六步，常态化数据安全运营。通过风险识别、安全防护、持续检测、响应处置，IPDR进行可持续改进、闭环管理的常态化安全运营。不断迭代优化数据安全整体防护能力和效果。

　　而构建数据安全制度方面，建议建立数据安全治理机制，明确数据安全责任人，形成自上而下的安全治理体系。制定完善的数据安全管理制度，包括数据采集、分类分级、存储、使用、共享、销毁等所有的环节的规范和操作的过程。加强员工数据安全意识培训，对重要核心数据实施分级保护，根据敏感程度采取加密、权限控制、审计等技术方法，对内外部数据传输进行安全监控，防止泄露，建立安全漏洞和事件应急处理机制，定时进行安全评估和审计，评估制度执行效果、发现安全隐患。

　　南都:数据安全领域人才需求更细化，数据安全工程技术人员等新职业有了国家标准，您认为如何优化数据安全人才教育培训路径?

　　惠志斌:网络和数据安全专业有点像医生，是非常讲求实操实战的专业领域，除了理论学习，更多要来源于实践工作。数据安全不单单是单一的学科，还涉及数学、密码学，包括通讯等，需要基础学科支撑及相应合作，跨学科培养、产学研协同培养需要结合起来。当前，高校数据安全人才培训应尽量与产业合作联合培养。当然，人才是多层次的，有科研型、实操型。不管偏研究还是偏实战，都要有实际的运用场景，结合数据流通、利用开发中间的安全问题，才能更有明确的目的性地去解决。

　　左晓栋:要建立数据安全知识体系，明确数据安全能力范畴，编制系列教材，还要规范现有的各类数据安全认证。

　　刘博:人才始终是产业生态重要组成部分，一直以来我们在网络和数据安全这类国家战略新兴起的产业人才教育培训方面，始终以教育技术产业融合发展为导向，从人才标准到培养模式和培养要素建设，齐头并进，力争推进政校企等多主体协同，培养定位明确、专业融通的实战型人才。近年来，我们结合自己人才发展需求，积极布局数据安全人才教育培训体系建设以及数据安全领域人才教育培训路径，例如与浙大、南邮等高校联合建站培养数据识别、同态加密、隐私计算等方面博士后；与中国科学技术大学、北京邮电大学和西安电子科技大学等5所高校联合培养产教融合博士；与西安电子科技大学共建教育部大数据安全工程技术研究中心等。通过产教融合培养技能、技术和研究型多层次数据安全人才的典范和先进案例，通过行业培训、竞赛和认证培养与选拔优秀数据安全工程技术和应用型人才，还作为核心成员参加人社部数据安全工程技术人员新职业国家技能标准开发等数据安全人才教育培训顶层设计工作。

　　需要加大投入，提升基础设施建设，加强国家和行业数据安全标准的制定，在地方层面配套各项数据安全认证工作。

　　南都:数据安全产业一个显著特色是与政策强相关性，为更好促进数据安全产业高质量发展，地方政府需要在哪几个方面出台细化举措?

　　刘博:需要加大投入，提升基础设施建设，完善数据中心、网络基础设施等为数据安全产业高质量发展提供硬件保障。需要加强人才教育培训，通过师资引进、产教融合、课程建设、实训基地等措施为数据安全产业培养各类急需专业人才。需要出台扶持政策，可优先考虑给予数据安全企业税收优惠、提供创业补贴、搭建公共服务平台等措施。需要加强国家和行业数据安全标准的制定，在地方层面配套各项数据安全认证工作。需要构建公共安全治理体系，完善监管协调机制，健全数据安全责任制，为企业营造良好治理环境。需要推动应用示范，选择典型场景开展数据安全解决方案的示范应用，带动相关这类的产品和服务的推广应用。需要搭建交流平台，组织数据安全领域交流活动，促进业内交流合作，提升数据安全产业影响力。

　　左晓栋:关键是明确数据安全的内涵，将其与网络安全进行区分，真正培育数据安全业态，为数据安全保护提供强有力的产业支撑。

　　惠志斌:一个产业的发展先要有明确需求，发展数据安全产业就是要服务各种各样有数据开发和创新需求的企业。一个地方要发展数据安全产业，需要监管和产业部门相互协同，加大需求侧的牵引，例如上海推出“网络安全产业创新三年行动方案”，明确规定网络安全在信息化投入中的最低占比，例如某个政府部门或者国企当年有100万元IT或者数字化预算，依规定至少不能低于10%的预算需要用于网络数据安全领域。特殊时期，如数据泄露泛滥的时候，初期可能预算投入比例能大大的提升到15%，甚至20%，这是值得借鉴的。

　　从供给侧来看，需要加大对数据安全创新企业、人才和功能性平台的扶持。例如上海成立的数据安全协同创新实验室，就是把监管、供需、产学等各方资源汇聚起来，围绕各类数字化转型场景中的数据安全痛点问题进行协同攻关，汇聚各类创新资源推动数据安全产业创新。