以数据风险管控为中心的 数据安全范式

数字经济时代的数据安全，就是既要确保数据密集流动中数据的保密性、完整性和可用性，也要防范数据大规模聚合和分析引发的安全风险。本文将前者称为数据自身安全也即“狭义的数据安全”，后者称为数据利用安全，二者统称为“广义的数据安全”。下文如无特别说明，“数据安全”都是指“广义的数据安全”。由此，结合前文所述，可以得出数据安全与信息安全、网络安全之间的概念关系：数据安全与信息安全的交集，在于数据形式信息的自身安全和数据聚合分析导致的信息内容安全；数据安全与网络安全的交集，在于网络数据的自身安全；网络安全和信息安全的交集在于网络数据的自身安全以及网络信息内容安全；网络数据安全也是三者的交集所在。

虽然传统信息安全范式的“保密性、完整性、可用性”三要素对于数据价值周期某一节点的数据自身安全仍然适用，但对于流动性数据的利用安全而言，传统信息安全范式和网络安全范式下静态的安全边界防护方法已经难以满足安全需求。应该发展一种动态的以数据为中心的新的数据安全范式。目前从全球来看，这种新范式尚处在探索之中。例如，经济合作与发展组织（OECD）于2015年9月发布了《理事会关于为了经济和社会繁荣的数字安全风险管理的建议》，认为：数字安全风险是“在任何活动过程中与数字环境的使用、开发和管理相关的一类风险”；通过妨碍活动和/或环境的保密性、完整性和可用性，可以危害经济或社会目标的达成。可以看出，OECD还是侧重基于网络信息系统的数字环境的安全，沿用了传统的保密性、完整性、可用性三要素。

本文认为，以数据为中心的数据安全范式革新，核心是要管控好数据大规模流动、聚合和分析所致风险即大数据安全风险，在充分释放数字经济数据价值的同时，将不确定性的潜在不利影响降至最低。本文将这一新的安全要求概括为“可控性”（Controllability），并界定为“在数据大规模流动、聚合和分析的过程中，将安全风险维持在一种可接受水平的能力”。此外由前所述，滥用数据分析有可能造成危害信息内容安全等后果，那么管控数据安全风险还应该要求数据利用合乎“正当性”。

文章摘自网络，如有侵权，请联系删除