专家学者

2020-01-14期03版

三六零科技有限公司首席安全官杜跃进

我从数据安全相关的法律、方法、机制和战略层面谈几点个人看法。

从法律层面看,现在全世界在数据安全法律领域主要做的是数据采集合法性方面的工作。数据安全出问题,主要是出在数据采集之后的保护、使用和流转环节。在这些环节里,数据安全更主要是和企业能力、方法以及机制设计有关系,法律起到的作用有限。

从方法层面看,企业现在重点做App检查,重点看App是不是合法收集了用户数据。但即便数据是合法收集的,里面也有大量的个人信息,而这些个人信息并不在这些App里面,这些信息会流转到一个企业后台各种各样的系统、设备和数据库里面。因此,App的安全或者信息系统的安全不等于数据安全。

从机制层面看。未来企业的每一个服务其实都需要数据在不同组织间流动才能完成,这个流动过程是一个链条,个人信息有可能在这里泄露,有些信息一旦泄露,会造成无法弥补的损失。我们需要的数据安全治理体系,应该是所有企业有提高数据安全能力的积极性,第三方安全机构给他们提供服务支持和权威认定,行业主管部门出台政策规定明确保护数据的安全能力水平。

从战略层面看,中国在数据安全领域是有优势的,但是缺乏战略设计和坚定的执行力。