2019年12月14日,2019互联网安全与刑事法制高峰论坛在北京举行,论坛由中国犯罪学学会、中国人民大学刑事法律科学研究中心、腾讯公司安全管理部共同主办。

中国信息通信研究院安全所副所长覃庆玲指出技术的发展、企业变革的影响使现今的数据成为核心要素,云计算为数据经济提供基础设施,云平台数据安全责任需结合数据类型、内容、权属以及承载环境来区分责任,分担共力,法律和技术保障云上用户数据控制权。

今天分享的题目是云平台的数据安全与治理,这个问题在产业界也是非常关注的,也是颇具争议的。短短十分钟可能不能给出一个明确的答案,因为这个问题也是非常复杂的问题,关系到平台责任。比如剑桥分析事件,持续了将近一年的时间后暂时落下了帷幕,在整个过程中争议一直存在。我就这个话题做一些粗浅的思考。

从大的背景来谈起,我们处于信息革命时代,全球经济和社会格局全方位重塑,信息技术作为创新最为活跃的因素,在整个过程中发挥着非常重要的作用。例如云计算、大数据、人工智能以及网络侧的5G等等。如果从数据资源的角度来看在信息技术的发展,所有的技术,包括网络层、应用层,互联网社交等等各方面的应用、区块链,都为数据要素的有效开发利用提供了很好的技术条件。这也是今天数据成为核心要素,能够推动经济社会转型发展的很关键的原因。

除了技术的发展,还应看到产业变革的影响。传统产业不断数字化,社会治理也越来越多地向数字化转变。这也是各国不断地把数据安全作为重要的战略资源的原因,我们在这样的大背景下来看数据安全的问题,会有一个更宏观的视角。

近年来国家以及国际层面不断出台相关政策,聚焦云平台的数据安全问题。云计算的发展进入了全新的阶段,今天云的规模,包括云的应用,已经较为庞大了。政务云、企业云、社区云等等相继发展,云平台上承载的数据价值剧增。云计算、云平台的也成为关键信息基础设施的重要组成部分,作用越来越凸显。随着互联网的发展,云平台承载的内容也更加丰富和重要。过去,云上可能承载了很多的网站、应用等数据。现在,对云上的数据越来越关切安全问题,用户所考虑的已经不是如何上云,而是更关注云的安全,如何安全上云这样的话题。

对此,无论是产业界还是政府治理方面,都有了诸多举措。例如,有很多合规性要求,来自多方面的——既有横向的要求,出台了《网络安全法》、《数据安全管理办法(征求意见稿)》,同时也有一些垂直领域的要求,例如金融领域等等,都有合规性的要求和标准。工信部作为电信与互联网行业主管部门,对云平台类业务作为增值业务管理进行管理,叫做互联网协作资源的业务,需要获得电信业务经营许可,并在技术能力、技术措施、安全评估提出了合规性要求。云平台的数据泄露等安全风险仍然十分严峻。因为技术在不断发展,云计算的技术日益创新,云的形态更加复杂和广泛。智能云、混合云、边缘云等等都在呈现不同的应用形态,对数据安全治理提出了挑战,传统的网络安全防护也不能完全满足数据安全的需求。

一个基础的问题是云平台的数据权责问题,云平台上涉及的数据,大致有三类。第一类是客户的账号信息,包括企业客户和个人客户。第二类是运维过程当中产生的运维信息,日志、访问记录等等。第三类是云上的内容数据,内容数据是客户自己能控制的,数据控制者是客户本身。在分清楚了权属之后,才能清晰地分析数据安全的责任问题。对于这三类数据,安全责任可能各有侧重。

谈到数据安全,需要从数据全生命周期的视角来分析风险点。如果要分析云平台的数据责任,是需要结合数据生命周期各个环节,各方面的要求去梳理。同时,要根据云平台的具体形态具体梳理。

最后,数据安全的整体趋势,过去更多讲网络安全防护。今天如果把数据作为核心的要素,我们要建立新的理念,以数据和资产为核心的安全防护的理念,特别是对于云平台来说,物理环境、网络环境的计算资源、应用层、数据层分层的环境。如果我们把数据其中的隐私作为核心来重点关注,需要在采集、存储、传输、流通各个环节以数据为核心加强安全防护,企业应不断提升这方面能力。

 往期回顾