摘要
本文通过约字的篇幅,希望系统呈现数据安全这一热点领域未来的发展趋势及产品赛道的变迁。作为传统信息化不可或缺的一部分,传统意义上我们理解的数据安全,是通过充分利用包括数据加密、匿名化、数据库审计等IT手段从而保护企业数据不遭到破坏、更改和泄露。但随着公民数据在互联网的爆炸性生成,导致了“剑桥分析门”等触目惊心的数据泄露事件,让各国监管层清醒地看到数据安全事件的“外部性”——海量公民数据的泄露,将威胁到公民权利甚至国家安全,各类GDPR等监管法规纷纷出台。为此未来的数据安全,需要在传统IT数据安全的基础上,结合监管意志从“安全”、“控制”、“占有”三大层面去理解:
在本文后半部分,基于上述框架并结合隐私专员国际协会(IAPP)提出的隐私成熟度模型PrivacyProgramMaturityModel(PM2),尝试对未来数据安全企业服务领域进行重构与分析,结论包括数据分级保护将会是一个显著的增长点,同时数据最小化以及用户数据权利(DSR)实施是两个未来应对监管的关键能力。最后致敬Gartner的hypecycle制作了一张数据安全企业服务领域的产品技术成熟度曲线以供参考:
序言:数据殖民与GDPR
乾隆5年,盛世末期闭关锁国的清兵还在镇压台湾林爽文起义时,大洋彼岸另外一个帝国——大不列颠已经派出第一艘载满囚犯的远洋帆船穿越大西洋抵达澳大利亚,建立起英格兰海外首个殖民地,自此殖民时代来临。
两百多年后,最后一个领土意义的殖民地纳米比亚共和国独立,这宣布着殖民时代的正式结束。然而,帝国时代的殖民主义并未消亡,而是转化为经济、金融殖民等更隐蔽方式进行,美元霸权充斥着全球化的每一个角落。
帝国主义的本质,是对矿产、贵金属、石油、人口及货币等资源的垄断性霸权。但随着互联网革命带来前所未有的生产力提升,数据资源已经比肩黄金与石油,成为资源争夺竞赛天平的重要砝码。
在大数据技术下,传统领土概念在互联网空间中土崩瓦解。
以欧盟为例,由于欧洲在互联网长期积弱,缺乏互联网企业巨头,在90年代开始,欧盟逐渐成为了世界上最大的数据净输出国——欧洲公民的数据,不断通过大西洋海底光纤,被谷歌、Facebook等美国互联网巨头获取,欧盟的数据“逆差”不仅因Facebook“剑桥分析”等臭名远著的数据泄露事件不断威胁到欧洲公民的权利,更对整个欧洲防务与国土安全造成越来越严峻的威胁——倘若美国人可通过互联网数据定位到本拉登,那何况普通欧洲公民甚至领导人?
在此背景下,欧盟首先推出了最为严厉的GDPR,对于能获取到欧盟公民数据的境外公司,强制性要求接受欧盟管辖,并提供与GDPR相当的数据保护水平。这实质等同于在互联网空间中扩张了欧盟自身的“领土”,并获得超越地理意义领土的管辖权利。
为此,对数据安全的理解应跳出数据库安全、数据加密及访问保护等狭义IT数据安全层面,从宏观监管、国家强制性要求及数据占有等角度去看待,否则容易一叶障目。
数据安全,未来不仅仅是IT层面的事情。
数据安全的三大层次剑桥分析等触目惊心的数据泄露事件,让产业、法律界及各国监管层无不都深刻洞见了数据安全事件的“外部性”——掌握海量公民数据主体的数据被拖库、黑客攻击甚至是内部主动泄露,绝不单纯是客户满意度、商誉、民事索赔或业务停顿等微观层面问题,而更涉及到公民权利、社会治理甚至国家安全。
正如银行的倒闭绝不只是股东权益问题,其外部性更影响了金融系统的稳定,因此金融成为了强监管行业,对于掌握海量公民数据的产业未来也便如此。
而GDPR等“最严法律”出台,预示着企业的数据安全外延,已经从单纯的IT层面延伸到了监管及法律义务层面。
更进一步,随着年7月我国《数据安全法》草案送交人大审议,国内类似GDPR的法律法规出台仅是时间问题。数据安全将会成为了掌握海量公民数据的互联网公司、及交通/电信等传统企业必须要审慎应对的未来挑战。为此,深刻理解国家对数据安全未来可能的监管思路非常有裨益,另外在未来数据安全领域,也必将出现大量新型的企业服务产品赛道机会。
我们该如何跳出传统IT范畴,去更深刻理解数据安全?
根据美国CloudAct法案主要智囊JenniferDaskal、美国智库国际战略研究中心高级研究员SammSacks等人的总结,包括GDPR在内的欧美数据安全战略可以从安全、控制、占有三个层次理解。
安全层面
即我们惯常理解IT层面的数据安全,包括数据脱敏、匿名化、访问控制、数据库安全等保障数据不被泄露与保密性的手段,以及企业内部配套的数据风险管理内部流程。从监管层面而言,无论是GDPR还是美国CloudAct,所倡导的是共同建立通用的国际标准,比如欧盟的《网络和信息安全指令》。
而在国内,国家质检总局和标准化委员会近年来制定了以《个人信息安全规范》为首的国家标准,整体梳理如下。总体而言,对于企业本身以及数据安全产品供应商,需要
联系电话: