此前,网络安全公司发生了一起影响较大的数据泄露事件 — — Cyble 报告显示,七个主流云服务平台上,有 66 万个未做好保护的存储桶,里面约 2000 亿份文件因为配置问题暴露在公共网络上,这些文件里包括源代码、登录密码、医疗影像等敏感信息。这起事件像个提醒,说明云计算时代数据防护还存在漏洞,也让大家意识到数据安全治理需要从 “被动遵守规定” 转向 “主动做好防御”。就在这个背景下,工信部发布了《互联网数据中心客户数据安全保护通知》,给数据全生命周期的保护划定了清晰的合规范围,推动数据安全治理进一步深化。
法律红线
自从《数据安全法》实施后,数据安全就从企业可做可不做的选项,变成了必须完成的任务。2024 年,国内有家信息科技公司,帮境外非法采集铁路信号数据,一个月就采了 500G,这些数据后来被认定为情报,相关人员最终被判了刑,还被剥夺了政治权利。这是《数据安全法》实施以来,第一起涉案数据被认定为情报的案子,能看出国家对核心数据保护的重视程度。
行政处罚的例子也不少。江苏宿迁有家医学检验机构,因为没建立数据安全管理制度,还存在 SQL 注入漏洞,被罚款 10 万元;广州有家科技公司,因为驾培平台的数据泄露,被警告还罚了 5 万元。这些例子清楚地划了条 “法律红线”:处理数据的企业必须履行安全保护义务,建全管理制度,用必要的技术手段防护。
跨国企业也不能例外。2025 年 7 月,路易威登有近 42 万名香港客户的资料泄露,包括姓名、护照号码等敏感信息,这件事还引发了香港个人资料私隐专员公署的调查。这提醒企业,不管是在国内还是国外运营,数据安全合规都是必须满足的条件,要是抱有侥幸心理,可能会面临严重的法律处罚,还会损害品牌口碑。
技术防线
面对越来越复杂的数据安全问题,过去那种 “出了问题再补” 的防护方式已经不够用了。360 安全大模型的应用给行业提供了新思路 —— 借助 AI 技术,某市政府的数据湖示范工程,把政务数据管理效率提高了 75%,某区政府的网络安全运营效率也翻了倍。这种靠智能化提升防护能力的做法,正在慢慢改变数据安全防护的模式。
在数据采集阶段,用 AI 驱动的分类分级工具,能自动识别敏感内容并标记加密,从源头减少泄露风险。到了存储环节,动态权限模型加上无服务器函数,可以实现实时验证权限,避免再出现像宝马 Azure 存储桶那样,因为权限继承机制有漏洞,导致 JWT 私钥泄露的情况。数据传输的时候,数据空间技术解决了 “数据能用但不能随便看” 的问题,比如粤澳医疗可信数据空间,就是靠这个技术实现了病历、影像等医疗数据的安全跨境共享。
数据使用环节的防护更关键。360 安全大模型通过机器学习建立动态模型,能准确识别那些没见过的风险场景里的异常行为,它采用的 “人工加机器配合、持续监测” 的模式,提高了数据安全风险的检出率和判断准确率。而到了数据销毁阶段,用符合《数据安全技术 电子产品信息清除技术要求》的专业工具,能确保敏感信息被彻底删除,不会留下隐患。
生态协同
数据安全治理不是某一家企业能单独做好的,需要多方合作建立防护生态。国际数据空间协会和下一代互联网国家工程中心合作,成立了 “国际跨境可信数据空间 —— 澳琴站”,这个平台为跨境数据流动提供了技术支持和规则互认的框架。这种把分散的安全能力整合起来,形成体系化防护网络的模式,值得在更多领域推广。
云服务商在生态建设里起到了关键作用。天翼云的高可用关系型数据库 TeleDB 通过了 “可信数据库” 安全测试,中国电信搭建的云网安全中台,整合了 50 多项安全能力,能看出运营商在关键基础设施保护中的核心作用。不过 Cyble 的报告也提到,AWS、Azure 这些主流云平台,都存在存储桶配置方面的风险,这也提醒云服务商,要简化权限模型的设计,提供 “打开就能用” 的安全默认配置。
企业作为处理数据的主体,更需要树立 “安全提前考虑” 的理念,把配置管理融入到开发阶段。比如用 Terraform 这类工具实现 “策略写成代码”,强制落实存储桶加密等安全规则;用 CSPM 工具扫描可能暴露的风险,靠机器学习给风险分级,还提供修复建议。只有把安全要求变成开发流程里的一部分,才能从根本上减少因为人为操作失误带来的安全风险。
风险预警
现在数据安全的形势还比较严峻。2025 年 3 月,Oracle 云服务发生了泄露事件,影响到 14 万租户,其中包括 1000 多个中国企业和个人,而且厂商一开始还回避问题,这进一步加剧了大家的不信任。这也提醒我们,数据安全治理既需要靠技术保障刚性,也需要靠管理保持灵活。
企业现在就可以行动起来:第一步先梳理自己的数据资产,明确哪些是核心数据,该怎么分级保护;第二步对照《数据安全法》和工信部的通知要求,检查自己有没有遗漏的合规项,及时补充完善;第三步部署自动化的安全工具,实现从 “被动补救” 到 “主动免疫” 的转变。要记住,数据安全不是只会增加成本的环节,而是数字经济时代里,企业必须具备的基础设施和核心竞争力。
接下来国家网络安全宣传周还会发布《人工智能安全治理框架》2.0 版,数据安全治理会朝着更精细、更智能的方向发展。在数据安全这件事上,只有把法律、技术、生态这几方面结合起来,才能建好坚实的防护墙,为数字经济的高质量发展提供保障。
关注我们