“如果大數據殺熟、侵犯用戶隱私等數據安全問題不能得到控制，數字經濟的整個社會秩序便會受到影響。”7月28日，三六零(601360.SH，下稱“360”)集團副總裁、首席安全官、大數據協同安全技術國家工程實驗室常務副主任杜躍進博士，在ISC 2021數據安全與隱私保護戰略峰會上作題為《數據安全與人才培養》的演講。

 杜躍進指出，數據安全，是當前最恐慌、最混亂的新問題，企業不能假裝看不見當前數據被濫用、被誤用等數據安全問題。

“在此背景下，數據安全專業人員將成為保障企業或組織數據安全與依法合規的關鍵因素。”杜躍進表示，每個企業都需要數據安全官，以提升企業數據安全整體能力，并以達到保障數據安全效果為最終目標。 

[[414190]]

（360集團副總裁、首席安全官、大數據協同安全技術國家工程實驗室常務副主任杜躍進博士）

大數據殺熟也是一種數據濫用

“數據安全，是當前最恐慌、最混亂的新問題。”在杜躍進看來，數據安全不是傳統數據文件保密、數據版權保護、數據庫安全等，更不是大數據平臺安全、云計算安全和傳統網絡信息系統安全，而是大數據和智能化時代下，從不同視角關注的數據防竊取/破壞、防濫用和防誤用。

具體來說，數據破壞，即黑客潛入其他主體的電腦，對文件加密、竊取或者刪除；數據濫用，即別人的個人隱私或信息在自己手里，自己違背別人的意愿訪問或使用這些信息，危害別人的利益；數據誤用，即擁有大數據的主體對大數據的使用方法不當，導致隱私泄露等用戶權益受損。

杜躍進舉例說，如果擁有數據的企業，因為某個消費者消費高，便將同一個商品漲價30%售賣給他，便侵犯了消費者利益，這就是大數據殺熟，其本質也是一種數據濫用，也在客觀上讓消費者遭受了不公平待遇。

“如果企業等機構不能控制濫用和誤用數據等安全風險，用戶就無法放心。普通老百姓都很關注這件事情，監管部門對此也有回應，企業等機構不能假裝沒看見。”杜躍進指出。

而從不同視角來看，數據安全面臨不同的問題。比如，在電商平臺購物，從個人視角來看，注冊信息以及購物相關行為數據構成消費者隱私，從企業視角來看，涉及企業利益問題，從監管視角來看，一定情況下則涉及國家安全問題。因此，如果大數據殺熟、侵犯用戶隱私等數據濫用和誤用問題不能得到控制，消費者、企業、監管部門相互之間不能放心，數字經濟的整個社會秩序便會受到影響。

圍繞真實場景迭代數據安全解決方案

傳統的數據安全概念和方案已經不適用于數字經濟時代的數據安全，需要新理念和新框架。

杜躍進指出，技術上，要跳出傳統IT安全的限制，從“以系統為中心”，轉到“以數據為中心”；管理上，要改變原來自上而下的單一模式，從特定行業的強化“管理”方式，轉到面對普遍問題的多方“治理”模式，建立多方參與的數據安全治理生態；機制上，要調整只會處罰的一刀切做法，從“處罰一招鮮”，轉到有處罰有激勵有幫助，充分調動積極性。 

“同時，解決數字經濟時代的數據安全問題不能閉門造車，一定要從產業中來，到產業中去，在產業實踐中找問題、找方法，并不斷迭代和完善。”杜躍進舉例稱，數字經濟的技術和業務依然在快速發展變化，不同行業不同企業中數據是什么形態、如何應用的有很多不同，在這些場景中究竟面臨哪些數據安全威脅和風險也在快速變化，黑灰產規模龐大人數眾多，對這些內容沒有充分了解，就難以找到真正科學有效的數據安全應對方案。因此，對數字經濟時代的數據安全問題，亟需各行各業總結經驗，包括亟需將安全公司與攻擊者對抗的經驗進行總結提煉，并再運用到產業中去。

此外，僅靠安全產業界現有的力量是遠遠不夠的，要開放創新，建立數據安全生態，從而廣泛依靠社會力量共同探索，才能提高數據安全水平，提高數據安全整體能力。

快速變化和充滿不確定性將伴隨數字工業革命時代，要適應這個特點，應遵循場景為王，并保持持續迭代。“所有的研究都不能停留在理論證明層面，而是要圍繞真實的場景和問題，依靠真實的效果評價進行檢驗，并且要保持快速迭代和改進。”杜躍進表示。 

每個企業都要有數據安全官 

“安全不僅是技術問題已經成為常識，但是對組織和管理的要求卻經常被忽略。”杜躍進指出，目前很多企業給出的數據安全方案中忽略了組織和管理的部分，并解釋了為什么數據安全能力成熟度標準（DSMM）中的能力要素專門增加了“組織建設”的部分：構建能力的要素一般共識是技術、人員、流程（含資源），但數字經濟時代的數據安全必須“以組織為單位”，組織中的數據安全設計必須考慮到數據安全組織結構的匹配問題，否則就無法保證數據安全能力體系的良好實踐。

數據安全問題當前最緊迫的問題是人才不足，一個組織的數據安全能力也離不開組織中人員的能力，在企業內設計數據安全崗位勢在必行，國家法律其實也提出了要求。杜躍進表示，該崗位需要理解法律要求、業務情況、數據安全風險和技術等，按照數據在組織內的生命周期進行梳理，并根據不同的數據生命周期階段的安全需求，對可能涉及的崗位的數據安全能力作出不同要求。 

因此，數據安全官也將成為企業的必要崗位。在杜躍進博士看來，數據安全官相當于“數據風險的治理者”，要負責統籌規劃數據安全戰略目標，協調各部門共同協作進行體系化建設，以提升組織的數據安全整體能力，并以達到保障數據安全效果為最終目標。 

在此背景下，數據安全人才能力培養成為當前數據安全領域最緊迫的問題。據悉，大數據協同安全技術國家工程實驗室已聯合廣泛的合作伙伴，充分吸取產業界的經驗，推出注冊數據安全官、注冊數據安全工程師、DSMM（數據安全能力成熟度模型）測評師三類人才培訓。 

 此外，杜躍進博士現場宣布，中國計算機學會大數據與計算智能大賽（CCF-BDCI）組委會、大數據協同安全技術國家工程實驗室將聯合360集團，首度開設“CCF大數據與計算智能大賽大安全專題賽道“數字安全公開賽”，圍繞數據安全、人工智能安全、工業互聯網安全等方向，持續開展開放創新活動。大賽將于8月22日正式開賽，用眾研眾創的生態力量，尋找真問題，探尋最優解，開放數據集，共建大生態，也為社會發現更多高質量數據安全人才。 

實際上，《網絡安全法》、《數據安全法》和將發布的《個人信息保護法》等法規標準早已對數據安全人才培養、人員能力提出明確要求，尤其是《數據安全法》指出，重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。擁有專業的數據安全管理和技術人才，將成為現代企業不可或缺的重要安全保障。