【干货分享】数世咨询李少鹏:数据(安全)流通的核心逻辑与价值实现
今年政府工作报告提出,发展新质生产力,深入推进数字经济创新发展。数据作为形成新质生产力的优质生产要素正受到前所未有的重视。充分释放数据要素价值,激发数据要素的乘数效应,是促进全要素生产率不断提升,赋能新质生产力发展的关键举措。
2024年6月16日,在由CIO时代主办、新基建创新研究院作为智库支持的“基于数据要素的新质生产力——科技至卓 同行至远 | 2024 CIO百人会高峰论坛”主论坛上,数世咨询创始人兼CEO李少鹏带来了主题为《数据(安全)流通的核心逻辑与价值实现》的精彩演讲。
李少鹏 数世咨询创始人兼CEO
以下为主题演讲的精华内容,经编辑后的文字实录:
1994年,《计算机信息系统安全保护条例》的颁布,标志着我国在数字安全这一领域的初步规范。25年后,数世咨询正式成立,一家以调研为核心的数字产业独立咨询机构,多年来深耕于数字安全领域,广泛涵盖网络安全与信息安全。
安全从业者不仅需要精通安全技术与策略,更需深刻理解信息化乃至数字化、智能化的全貌,以及它们如何与业务深度融合。脱离对保护对象的深入理解而空谈保护,无异于“缘木求鱼”。在过往的网络安全实践中,部分安全厂商往往忽视了对客户业务系统与信息系统的全面认知,过分聚焦于技术层面的病毒查杀、漏洞扫描及高级攻防演练,却忽略了安全策略应如何与具体业务场景相适配。
真正的安全,应当是深入信息化、数字化乃至业务核心的,它不仅要服务于业务系统的顺畅运行,更要成为其坚实后盾,确保信息化进程中的每一步都稳健可靠。正如信息化技术旨在提升业务效率与创新能力,安全工作也应同步进化,以更加智能、灵活的方式融入业务生态,共同推动企业的可持续发展。
中国信息通信研究院发布的《中国数字经济发展研究报告(2023年)》指出,2022年我国数字经济规模首次突破50万亿元,数字经济在国民经济中重要支柱地位更加凸显。而数据作为与土地、劳动力、资本、技术等生产要素并列的“第五要素”,在促进新质生产力发展方面实力渐显。
数据流动是数字经济的“血液循环”。数据想要流动,其前提条件或基础条件,就是数字要素化。而数据的良性流动,数据安全是关键前提。
《数据安全法》的出台实施,提升了行业对安全问题的重视程度;而“数据二十条”的出台,则更为根本性地指导了数据流动与保护的方向。两者虽各有侧重,但共同促进了安全产业的健康发展。强调在发展中保障安全,通过明确数据的持有权、加工使用权及经营交易权等,淡化了复杂且难以界定的所有权问题,为数据的合法、有序流动提供了新路径。
数字经济的繁荣依赖于数据的安全流动,而数据的安全流动又需通过要素化、法律保障及明确权益划分等多方面措施共同实现。在发展与安全的辩证关系中,我们应寻求平衡点,既促进数据的高效利用,又确保其在流动过程中的安全性与合法性。
在当今数字化时代,数据的流动已成为推动经济社会发展的重要动力。围绕数据的持有权、经营权、交易权以及加工权,一个旨在促进数据流通与利用的新理念正在逐步成型。这一理念的核心在于,通过明确各项权利归属,鼓励数据的自由流动,进而激发数据的安全需求,为安全行业创造广阔的发展空间。这一思路不仅体现了对数据价值的深刻洞察,也指出了数据流通过程中不可忽视的安全问题。
从顶层设计来看,数据流动的框架已经构建完毕。其中,最为关键的是“三权分置”原则,即资源持有权、加工使用权和产品经营权。这一原则明确了数据在不同环节中的权利归属,为数据流通提供了清晰的路径。同时,为了保障数据流通的顺利进行,监管机构、经信局、数科公司以及数据交易所等机构相继设立,形成了较为完善的组织体系。
数据需要经过加工、格式化、标准化等一系列复杂过程,才能转化为可交易的产品。因此,数据治理成为数据流通的关键环节,它直接关系到数据的质量和价值。
尽管数据流通的顶层设计已经构建完毕,但在实际操作中仍面临诸多挑战。一方面,数据的买卖双方都需要进行深入的治理工作,以确保数据的合规性和可用性;另一方面,数据交易所虽然被寄予厚望,但在实际操作中往往难以完全满足数据预处理、需求匹配及产品上架等要求。因此,目前大量数据交易仍在场外进行,这在一定程度上限制了数据流通的效率和规范性。
数据入表作为数据价值评估的一种方式,也存在一定的局限性。目前的数据入表工作大多由财务或审计咨询公司完成,他们往往只关注合规性要求而忽略了数据的实际价值。因此,这种入表方式往往只具有形式意义而无法真正体现数据的经济价值。为了解决这个问题,需要建立更加科学、合理的数据价值评估体系和方法论。
综上所述,数据流动的核心逻辑在于明确权利归属、加强数据治理、完善机构设置以及提高交易效率。然而,在实际操作中仍面临诸多挑战和局限性。因此,我们需要不断探索和创新以推动数据流通的健康发展并充分发挥其在经济社会发展中的重要作用。
在数据安全领域,DSMM(数据安全成熟度模型)作为我国首个数据安全国家标准,提出了基于数据生命周期的保护方法。然而,我们认为,数据并不完全适用于传统生命周期的处理方式。数据与传统生产资料及档案流程存在显著差异,主要体现在数据在每个处理阶段都可能产生新的属性和数据,且数据具有高度的动态性和可变性,这与生命周期的替代性特征不符。
鉴于数据的特殊性,数世咨询提出以数据的流动性为核心来构建安全保护策略。数据只有在流动中才能体现其价值,因此,根据数据流动的不同阶段和程度,我们应采取不同的安全措施。具体来说,对于冷数据和温数据(即不常访问的数据),可以通过加密存储和密钥管理来保障其安全性;对于在企业内部有限流动的数据,应实施数据访问安全控制,确保数据在部门间共享时的安全;而对于面向全社会开放流通的大数据,则需采用更高级的开放安全解决方案,如区块链隐私计算等,以应对更复杂的安全挑战。
为了更有效地实现数据安全治理,数世咨询提出了“安全数据治理”的理念。这一理念强调在数据安全工作的同时,构建一个精简而高效的数据治理框架。具体而言,我们主张从数据湖和数据仓库的整合入手,通过ETL(数据抽取、转换、加载)技术将分散的数据整合成数据湖,并进一步进行主目录建设、数据标注、分类分级等工作,以提升数据的安全性和可用性。同时,在数据治理过程中融入安全考量,避免重复投入和资源浪费。
为了更具体地说明这一理念的应用,我们可以参考Gartner的数据安全治理框架,但应认识到其在实际操作中的复杂性和挑战性。因此,数世咨询更倾向于采用一种更为灵活和实用的方法,即以安全为驱动,构建符合当前需求的数据治理框架。例如,通过湖仓一体化、数据标注和分类分级等措施,提升数据的安全性和价值。
作为一家数字化领域独立第三方调研咨询机构,数世咨询致力于成为国内顶级的第三方研究机构,通过每年与数百家安全厂商和用户的深入沟通,积累了丰富的行业经验和技术资源。期待在未来与更多合作伙伴携手共进,共同推动数据安全与数据流动的健康发展。