“如果大數據殺熟、侵犯用戶隱私等數據安全問題不能得到控制，數字經濟的整個社會秩序便會受到影響。”7月28日，三六零(601360.SH，下稱“360”)集團副總裁、首席安全官、大數據協(xié)同安全技術國家工程實驗室常務副主任杜躍進博士，在ISC 2021數據安全與隱私保護戰(zhàn)略峰會上作題為《數據安全與人才培養(yǎng)》的演講。

 杜躍進指出，數據安全，是當前最恐慌、最混亂的新問題，企業(yè)不能假裝看不見當前數據被濫用、被誤用等數據安全問題。

“在此背景下，數據安全專業(yè)人員將成為保障企業(yè)或組織數據安全與依法合規(guī)的關鍵因素。”杜躍進表示，每個企業(yè)都需要數據安全官，以提升企業(yè)數據安全整體能力，并以達到保障數據安全效果為最終目標。 

[[414190]]

（360集團副總裁、首席安全官、大數據協(xié)同安全技術國家工程實驗室常務副主任杜躍進博士）

大數據殺熟也是一種數據濫用

“數據安全，是當前最恐慌、最混亂的新問題。”在杜躍進看來，數據安全不是傳統(tǒng)數據文件保密、數據版權保護、數據庫安全等，更不是大數據平臺安全、云計算安全和傳統(tǒng)網絡信息系統(tǒng)安全，而是大數據和智能化時代下，從不同視角關注的數據防竊取/破壞、防濫用和防誤用。

具體來說，數據破壞，即黑客潛入其他主體的電腦，對文件加密、竊取或者刪除；數據濫用，即別人的個人隱私或信息在自己手里，自己違背別人的意愿訪問或使用這些信息，危害別人的利益；數據誤用，即擁有大數據的主體對大數據的使用方法不當，導致隱私泄露等用戶權益受損。

杜躍進舉例說，如果擁有數據的企業(yè)，因為某個消費者消費高，便將同一個商品漲價30%售賣給他，便侵犯了消費者利益，這就是大數據殺熟，其本質也是一種數據濫用，也在客觀上讓消費者遭受了不公平待遇。

“如果企業(yè)等機構不能控制濫用和誤用數據等安全風險，用戶就無法放心。普通老百姓都很關注這件事情，監(jiān)管部門對此也有回應，企業(yè)等機構不能假裝沒看見。”杜躍進指出。

而從不同視角來看，數據安全面臨不同的問題。比如，在電商平臺購物，從個人視角來看，注冊信息以及購物相關行為數據構成消費者隱私，從企業(yè)視角來看，涉及企業(yè)利益問題，從監(jiān)管視角來看，一定情況下則涉及國家安全問題。因此，如果大數據殺熟、侵犯用戶隱私等數據濫用和誤用問題不能得到控制，消費者、企業(yè)、監(jiān)管部門相互之間不能放心，數字經濟的整個社會秩序便會受到影響。

圍繞真實場景迭代數據安全解決方案

傳統(tǒng)的數據安全概念和方案已經不適用于數字經濟時代的數據安全，需要新理念和新框架。

杜躍進指出，技術上，要跳出傳統(tǒng)IT安全的限制，從“以系統(tǒng)為中心”，轉到“以數據為中心”；管理上，要改變原來自上而下的單一模式，從特定行業(yè)的強化“管理”方式，轉到面對普遍問題的多方“治理”模式，建立多方參與的數據安全治理生態(tài)；機制上，要調整只會處罰的一刀切做法，從“處罰一招鮮”，轉到有處罰有激勵有幫助，充分調動積極性。 

“同時，解決數字經濟時代的數據安全問題不能閉門造車，一定要從產業(yè)中來，到產業(yè)中去，在產業(yè)實踐中找問題、找方法，并不斷迭代和完善。”杜躍進舉例稱，數字經濟的技術和業(yè)務依然在快速發(fā)展變化，不同行業(yè)不同企業(yè)中數據是什么形態(tài)、如何應用的有很多不同，在這些場景中究竟面臨哪些數據安全威脅和風險也在快速變化，黑灰產規(guī)模龐大人數眾多，對這些內容沒有充分了解，就難以找到真正科學有效的數據安全應對方案。因此，對數字經濟時代的數據安全問題，亟需各行各業(yè)總結經驗，包括亟需將安全公司與攻擊者對抗的經驗進行總結提煉，并再運用到產業(yè)中去。

此外，僅靠安全產業(yè)界現有的力量是遠遠不夠的，要開放創(chuàng)新，建立數據安全生態(tài)，從而廣泛依靠社會力量共同探索，才能提高數據安全水平，提高數據安全整體能力。

快速變化和充滿不確定性將伴隨數字工業(yè)革命時代，要適應這個特點，應遵循場景為王，并保持持續(xù)迭代。“所有的研究都不能停留在理論證明層面，而是要圍繞真實的場景和問題，依靠真實的效果評價進行檢驗，并且要保持快速迭代和改進。”杜躍進表示。 

每個企業(yè)都要有數據安全官 

“安全不僅是技術問題已經成為常識，但是對組織和管理的要求卻經常被忽略。”杜躍進指出，目前很多企業(yè)給出的數據安全方案中忽略了組織和管理的部分，并解釋了為什么數據安全能力成熟度標準（DSMM）中的能力要素專門增加了“組織建設”的部分：構建能力的要素一般共識是技術、人員、流程（含資源），但數字經濟時代的數據安全必須“以組織為單位”，組織中的數據安全設計必須考慮到數據安全組織結構的匹配問題，否則就無法保證數據安全能力體系的良好實踐。

數據安全問題當前最緊迫的問題是人才不足，一個組織的數據安全能力也離不開組織中人員的能力，在企業(yè)內設計數據安全崗位勢在必行，國家法律其實也提出了要求。杜躍進表示，該崗位需要理解法律要求、業(yè)務情況、數據安全風險和技術等，按照數據在組織內的生命周期進行梳理，并根據不同的數據生命周期階段的安全需求，對可能涉及的崗位的數據安全能力作出不同要求。 

因此，數據安全官也將成為企業(yè)的必要崗位。在杜躍進博士看來，數據安全官相當于“數據風險的治理者”，要負責統(tǒng)籌規(guī)劃數據安全戰(zhàn)略目標，協(xié)調各部門共同協(xié)作進行體系化建設，以提升組織的數據安全整體能力，并以達到保障數據安全效果為最終目標。 

在此背景下，數據安全人才能力培養(yǎng)成為當前數據安全領域最緊迫的問題。據悉，大數據協(xié)同安全技術國家工程實驗室已聯(lián)合廣泛的合作伙伴，充分吸取產業(yè)界的經驗，推出注冊數據安全官、注冊數據安全工程師、DSMM（數據安全能力成熟度模型）測評師三類人才培訓。 

 此外，杜躍進博士現場宣布，中國計算機學會大數據與計算智能大賽（CCF-BDCI）組委會、大數據協(xié)同安全技術國家工程實驗室將聯(lián)合360集團，首度開設“CCF大數據與計算智能大賽大安全專題賽道“數字安全公開賽”，圍繞數據安全、人工智能安全、工業(yè)互聯(lián)網安全等方向，持續(xù)開展開放創(chuàng)新活動。大賽將于8月22日正式開賽，用眾研眾創(chuàng)的生態(tài)力量，尋找真問題，探尋最優(yōu)解，開放數據集，共建大生態(tài)，也為社會發(fā)現更多高質量數據安全人才。 

實際上，《網絡安全法》、《數據安全法》和將發(fā)布的《個人信息保護法》等法規(guī)標準早已對數據安全人才培養(yǎng)、人員能力提出明確要求，尤其是《數據安全法》指出，重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。擁有專業(yè)的數據安全管理和技術人才，將成為現代企業(yè)不可或缺的重要安全保障。