近日,中关村网络安全与信息化产业联盟数据安全治理专业委员会发布了《数据安全治理白皮书5.0》及行业数据安全治理实践集。
白皮书整理并收录很多前沿的理论、技术、案例等内容,解读了相关法律法规标准要求,推广与宣传数据安全体系化建设、持续改善的建设思路,汇集新形势下的数据安全治理主要实践案例及典型数据安全事件,使数据安全治理逐步成为数据安全建设的共识,《数据安全治理白皮书》也成为数据安全行业较为全面且具有影响力的数据安全治理参考书。
数据安全的重要性前所未有
以生成式AI服务为例,白皮书指出,要充分重视人工智能的应用和对抗,以新技术防范和化解新业态的风险。同时,白皮书提出的数据安全治理理念还强调多元共治、关注数据处理互动安全、重视管理与技术并举等。
生成式AI又带来了数据非法获取、数据泄露及恶意滥用等数据安全问题。例如,ChatGPT不设限爬取、采集重要媒体、电商等平台中的敏感数据、用户行为轨迹等信息,深度训练分析社情民意,危害国家安全;在应用ChatGPT进行双向互动请求过程中,会被要求输入个人敏感信息、业务数据或涉及商业秘密等内容,加剧了数据泄露的风险。
对抗与反对抗的博弈
面对生成式AI带来的数据安全新问题,数据安全治理应该如何应对?
中国科学院院士冯登国认为,欲达到治理的最佳效果,必须坚持综合治理的原则,持续践行以下三个关键要素:一是一体化的治理理念,二是全维度的顶层设计,三是先进的技术体系。
白皮书指出,数据安全治理协同能力的创新需求日益迫切。从立法和政策引导角度,应建立、健全面向人工智能算法安全的管理要求与监管措施,从防护技术角度,应深入研究与实践抗量子密码技术、人工智能算法监测技术、轻量级加密通信协议、区块链及隐私计算技术等安全技术创新,通过对抗与反对抗的博弈,持续促进数据开发利用与安全防护的平衡发展。
整个白皮书由主册和典型行业数据安全,其中:主册共分为五个正文章节和一个附录章节。
第一章 数据安全治理概念及内涵:
对当前数据安全形势进行整体分析、梳理,厘清与相似概念的关系,梳理数据安全治理需求,进一步完善治理愿景、目标及理念。
第二章 数据安全整体框架:
依据数据安全治理理念,围绕以数据为中心的治理体系不断演进、深化,组织在整体安全战略指导下,形成以数据分类分级为治理基石,数据安全管理体系、技术体系与运营体系为治理核心,监督评价体系为效能促进,形成更为完善、 合理、全面的治理框架,并给出治理规划建设实施路径。
第三章 数据安全相关法律法规解读:
在数据安全治理过程中,满足监管合规要求是重要驱动力之一,重点解读数据安全相关上位法及2022年以来新颁布的法律法规及技术 标准等监管合规要求。
第四章 数据安全技术需求与主流工具:
安全技术措施是数据安全治理的重要支撑, 通过从需求和供给两侧对数据安全技术需求和安全技术工具进行全面性、系统化梳理与介 绍,并对数据安全技术的发展趋势进行简述。
第五章 未来展望与倡议:
面对数据安全治理实践涉及的管理、技术与运营过程中的 问题,短期内尚无法有效解决的,以展望与倡议的形式予以表述,供行业内人士进行探讨。
附 录
作为本白皮书惯例,结合技术创新进一步对主流数据安全技术工具进行详述, 对数据安全相关标准、国际数据安全政策法规进行介绍,并对近年以来重大数据安全事件与法律案件进行分析,为业内人士提供借鉴和参考。
典型行业治理实践篇:
汇集了金融、政务、医疗、电信、电力、教育、工业七个领域,由行业内治理专家及 领军企业牵头,从数据安全治理现状与需求、治理思路与内容、治理实践案例等多个维度 论述各行业的数据安全治理实践,希望为各行业开展数据安全治理工作起到先行的示范作用。
白皮书中标注了该书籍面向的读者对象,包括:组织内部数据安全治理相关人员、数据安全治理相关产品\服务提供商、数据安全治理相关服务支持者。对于数据安全领域研究人员、从业人员都有着一定的参考价值。
(内容来自:《数据安全治理白皮书5.0》)