数字技术的发展已经从互联网、大数据,迈入人工智能时代。在各国纷纷提出数字化转型战略的背景下,越来越多的企业开始应用各项数字化技术进行转型。在大量的实践中,企业产生了更加复杂、庞大的数据基础,以及更加开放、多元的数据应用场景,这些新变化使得企业在发展和创新中得到大量机会,同时也导致企业需要应对转型过程中的特有风险。
今年4月,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》(以下简称《意见》)对外公布,数据作为一种新型生产要素写入文件中,与土地、劳动力、资本、技术等传统要素并列为要素之一。《意见》明确,加快培育数据要素市场,推进政府数据开放共享、提升社会数据资源价值、加强数据资源整合和安全保护。与此同时,在今年上半年,多份与数据安全、个人信息保护相关的法规、监管要求及国标也陆续出台。
数据,作为生产要素,需要通过有效管理数据资产,建立数据应用的业务场景,从而发挥和提升数据资源价值。数据安全和合规,不再仅仅是从风险的角度进行管控;而是作为支撑,来真正使数据创造业务价值。举例来说,很多行业在打造垂直生态,在这过程中,可能需要用到联合建模,对接双方的客户资源、产品和渠道。但如果没有安全和合规作为基础,这种业务模式就会受到很大限制。换言之,数据的安全和合规,直接影响到了业务发展和收入提升。
伴随着人工智能、物联网和5G等新兴技术的飞速演变,数字经济正成为推动企业发展的新动力。而不同的行业在推动数字化转型的过程中,都不同程度地运用了这些新兴技术。在普华永道2019年发布的《数字信任洞察之中国报告》中可看到,在企业高管及企业IT专业团队的视角上,数字化转型所面临的最严峻风险是数据治理或隐私的问题(占据调研反馈的28%)。在下文中我将通过几个重点行业,来浅析企业的数字化转型中存在的数据安全和合规的风险。
首先以金融行业为例,金融行业近年来大力发展零售银行、金融科技以及普惠金融。这些业务大量应用数据进行用户画像、交叉营销,大数据风控,以及和第三方合作打造垂直生态。其中典型的合规风险包括催债场景的客户信息去标识化不完全,结合背景知识攻击可能导致欠债人信息泄露;高净值客户在建模及交叉营销过程中,违规使用个人信息进行直接画像和广告推送;以及大数据风控建模时,所有者不明确导致的数据分级访问控制失效等风险。
对车企而言,车企在发展数字化营销、建设移动出行场景,以及打造私域流量的过程中,通过数据湖收集潜客及车主信息,但在上传云时未能充分考虑合规和安全风险,涉及超过百万客户信息存在泄漏风险。
医药行业由于互联网诊疗、带量采购、慢病诊疗等方式的变化,带来了患者、健康档案、病历、家庭住址等信息泄漏的安全风险。以我最近亲身经历的新冠肺炎核酸检测为例,我在上海及北京的4家机构做检测时,没有一家机构提供用户信息收集同意书。
最后看地产行业,地产行业这几年从增量市场转入存量市场,地产头部企业都在加强运营精细化管理。通过大运营体系提升资金运用效率;通过大会员系统更好地利用跨业务板块的客户价值。较为典型的,商场和百货公司,通过面部信息采集、手机WI-FI热点轨迹跟踪、车流系统等,建立会员360画像,提供个性化服务。大量的会员数据,汇集后的产生的违规使用个人信息的合规风险,及数据泄露的安全风险。
通过对金融、车企、医药及地产这些重点行业的数字化转型及相关安全合规风险的分析,我们可以看出,伴随业务发展,合规风险日益加大。从中,我们也总结了导致合规风险产生的共同原因,主要有如下几个方面:
在数据安全治理层面,一方面缺乏数据确权原则,主要是内部责任的确定,即对数据所有者确认、数据的分级分类,以及数据的分级访问策略等方面存在一些不确定的因素。另一方面从组织的角度,个人信息安全的合规职责不清晰,我们建议成立结合法务、业务和安全合规及IT的整合合规组织,以更好地应对及规避风险。在管理层面,我认为存在三个“缺乏”,即缺乏数据全生命周期管控,缺乏分级访问控制原则,缺乏符合结构化数据和大数据特点的风险管理方法。在技术层面,我们发现,技术人员针对大数据的防御、感知能力薄弱,响应技术和机制缺乏。
由于日益增加的网络安全威胁,高效的网络安全和合规方案已经成为了企业在数字化转型中必需的业务要求。结合普华永道对于行业的深入洞察及多年经验累积,我们总结了以下建议:
治理方面,建立围绕数据生命周期的数据确权原则和分级标准。其中,最为重要的是,对应生命周期不同阶段和活动的确权责任和定级过程,以及充分考虑定级后的级别该如何使用。
管理方面,建立基于数据流和业务场景的风险评估方法,以及与数据定级标签相结合的基于自动化手段的分级访问控制策略。
技术方面,考虑中长期设计大数据安全合规的技术解决方案架构。其中,可以包括结合ETL、数据提取脚本的数据脱敏过程、部署应用层和存储层透明加解密工具,以及应用层的大数据使用监控和设计用户行为分析模型。并考虑采用可信计算、数据共享安全的技术和工具对数据交换、共享和交易过程进行管控。
总体而言,全球企业都在将“数字化转型”作为重要的策略,“数字化转型”发展的加速,也给企业带来了新的安全风险。企业在数字化转型过程中,大数据的合规及安全风险,与传统网络安全及信息安全所面临的挑战,解决思路和相关技术应用,有较大差异。因此在应对策略方面,建议从数据治理、管理机制,以及技术措施等方面,建立综合的大数据合规及安全管控体系,在全面、积极、有效地应对安全风险的同时,将风险转化为机遇,推进数字化转型的持续性发展。