杜跃进：对数据安全的六大误解

从这几个关键字开始说起，什么是数字经济？什么是数据恐慌？什么是数据安全的混乱状态？从发展的角度来说，可以看到里面特别关键、具有一定共性的东西就是数字化，所有的东西都会数据驱动。对于整个数据安全从业者和普通的老百姓，数据安全很重要，因为关系到对于数字经济的信心。为什么会造成这样的混乱？今天主要分享的是数据安全的六大误解。

误解一：限制数据采集就能保护数据安全

我们不能认为限制数据采集能够解决我们数据安全保护的全部的事情。当前更加重要的其实是数据保护和使用，当然它必须得是合法采集的，采集之后的数据，是不是被正确的使用，是不是被一定合适的保护，才是更重要的。而这部分事情，很多是需要学术界和产业界更多的去探索的。

误解二：精准服务等于隐私侵犯

第二个误解，精准服务等于隐私侵犯。现在有一种现象，只要一说个性化推荐，就是说有个人在后面看着我。隐私本身这个概念还有很多争议，然而不管如何定义隐私，最后你担心的就是隐私侵犯。所以隐私侵犯里面一定是需要一个行为主体的，也就是一个自然人。这个主体如果没有，没有一个自然人来看你的东西，你其实不用担心。从技术上来说有非常多办法解决，能够在做到个性化推荐的同时没有行为主体看到个人数据。如果后面是一个机器人，他看了你的数据，跟你把数据放在你的笔记本里面，没有任何区别。但是这个信息没有传递给老百姓和普通大众，没有跟广大消费者讲清楚。

误解三：“大数据”安全能防止我们的数据被偷

我们现在遇到的很多的数据安全事件，其实都不算大数据安全的范畴。比如徐玉玉案件是因为数据泄露导致的悲剧，但并不是大数据。数据是在不同平台、不同组织之间快速流动的，数据传输的链条很长，而数据泄露往往发生在链条中最薄弱的环节。过去95%以上的数据都是从独立软件供应商（简称ISV）偷的，这些ISV大都不被人熟知，大多数注意力都集中在大企业大平台上，以为大平台、大数据、云计算平台或者是能够看得见的东西，就是数据安全保护的重要地方，其实不是的，恰恰相反，很多看不见的地方反而是需要进行数据保护的重点。

误解四：DT时代和IT时代一样，先有应用后有数据

现在我们是大数据时代，是DT时代（Data Technology）。DT时代有很多东西是跟IT时代非常不同的，区别之一是IT时代先有应用才有数据。打个比方，就像我们先有一个菜谱，然后按照菜谱的要求一步步准备原材料，最后形成一道菜。然而，DT时代的创新不是这样的，DT时代是先有数据后有应用，就像先有一大堆原材料，然后尝试做出很多新菜，这些新菜一开始是没有菜谱可依的。实际上在DT时代，数据跟IT时代的意义是非常不一样的，IT时代是已经定义好了生产的流程，整个的程序全部都是清楚的，那个叫信息的时代，我是把数据填到固定的生产流程里面，来提高它的效率，减少它的出错率，这是过去的信息化时代。DT时代不一样，如果试图要求每一个产品或者公司在收集你的数据的时候就讲清楚，可能在逻辑上来说是有问题的。

误解五：过去的思路和方法，能够解决今天的数据安全问题

第四次工业革命在颠覆所有的行业，没有例外，只是说颠覆的程度早晚的问题，安全行业也一样，数据安全是个新的概念。过去做的安全是以信息系统为中心的安全，我们关注一个APP软件的安全，关注一个应用软件的安全，关注操作系统软件的安全，我们关注手机、设备、服务器、通信协议、DNS服务器安全，关注整个网络的运行等等，我们关注这一切东西都是一个系统，不管是一个软件也好，还是一个硬件也好，还是一个网络也好，关注的是一个系统。数据是在不同系统之间快速流动，高频变化的，需要的是以数据为中心的安全。比方说以前以系统为中心的安全做的是白宫的安全，但是白宫安全不等于住在里面的美国总统是安全的。我们现在要解决的是美国总统是安全的，这就是以数据为中心的安全。所以我们今天的数据安全既不能用过去的信息系统为中心的安全，也不能用过去的数据安全的概念来说。其中数据安全怎么做，也是需要被重新思考、重新定义的，而不是简单的把过去的东西拿来说我这个就能解决问题。

误解六：应该像保护石油一样保护数据

很多人把数据比喻成石油，这是非常容易理解的，但是如果是按照这样的思路来做安全会发现问题特别大，因为数据和石油的在很多属性上区别非常大。比如石油是天然资源，总量有限，此消彼长；而数据是人为产生的资源，总量无限，而且越来越多，越流动价值越大。所以，数据从这个角度来讲更像血液，它是需要流动的，它是各个器官会共用数据，会不断的在里面做更新，做清洗等等，应该像保护血液一样保护数据。

数据安全发展的几点思考

1、要用试点迭代、小步试错的方式自主创新

第四次工业革命时代，它的特点是快速变化、不确定性很强，很多新事物新问题无法用过去的经验处理。同时，全世界最领先的两个数字经济国家是中国和美国，而且中国增长率最快，中国和美国的形势非常不一样，在数字经济领域里面，在数字经济下面的数字安全里面，中国是领导者，无人可抄，必须依靠自主创新。在这种情况下，无论是做学术研究，做政策制定，法律、标准，一定要更多的和一线结合，试点迭代。不可一个规则不做试点验证就大规模放开，因为它的损失可能会太大，可能会扼杀大量创新，在最关键的竞争时代付出惨痛代价。所以，我们建议试点迭代，小规模的尝试，快速的迭代，在不断实践中完善规则，抓住这次中国换道超车美国的机会。

2、数据安全需要重新定义

看待数据安全，应该以数据为中心，以组织为单位，以能力成熟度为抓手。做安全的目的不只是为了合规，比合规更进一步的是控制风险，比控制风险再进一步的是能力。只有把能力做上去了，才能更好的适应变化，才能更好的去做合规，才能真正保护好数据安全。阿里巴巴根据多年实践经验沉淀得到的数据安全能力成熟度模型（DSMM）就是为了在能力方面推进工作，这项工作还在不断的完善和改进中。

3、数据安全需要从管理转变为治理

数据安全不只是安全行业的问题，而是所有行业都面临的问题。中国有多至少五千万家企业，所有的企业都将面临数据安全问题。如果还依靠之前的管理思路，如何才能检查五千万家企业，而且还是瞬息万变的检查他们的安全呢？所以今天是一定要走到治理的方式，一定是所有产业里面的人，各个地方的人不断进来，不断的积累，不断的创新，不断的尝试和快速的小步迭代才可以做到这样。

4、数据安全要促进数字经济发展

数据安全治理最重要的目标是要看发展，安全的发展肯定是平衡的，最终一定是个良性循环，安全做好之后是有利于数据的流动和使用的，而不是反过来。安全和业务机会挂钩，让安全变成内在动力，让安全变成内在动力，才会提高能力。安全能力全面保障数字经济持续增长。

5、数据安全要关注社会需求

数据安全不只关乎国家安全，也和企业安全息息相关，应像保护知识产权一样，企业的数据安全利益也需要保护。安全市场也不只是党政军市场，整个产业界的市场需求会很大，解决普遍的社会需求，是数据安全市场空间。在制定政策时，针对数据安全问题不能只考虑惩罚，应当帮助弱的、教育错的、处罚恶的。

声明：本文来自阿里巴巴数据安全研究院，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。