2.1.2 对传统数据安全的思考

在Facebook公司信息泄露事件中，Facebook网站上超过5000万用户的信息被一家名为“剑桥分析”（Cambridge Analytica）的公司泄露。这起事件的焦点在于，数千万名Facebook用户的信息在用户本人不知情的情况下，被政治数据公司“剑桥分析”获取并利用，向这些用户精准投放广告内容，帮助总统竞选。而且Facebook在两年前就知晓该事件，却并未及时对外披露。

Facebook信息泄露事件让我们看到数据的可复制性和非消耗性，数据一旦离开组织边界进行流动，就极易出现组织失去对数据控制的局面，传统数据安全保护理念已经到了需要变革的时候。

企业强调了对数据自身安全的保护，漠视了对数据流动风险的控制。从风险的角度来看，有3个核心要素：受影响的资产、不确定事件概率、潜在不确定损失。应对风险一般有3种手段：安全保护、风险控制、风险转移。其中，安全保护应更多地从资产自身角度出发化解风险，适合较静态的场景，对于动态变化的场景，成本、效率和可落地性较差。风险控制是站在危害事件和危害影响的角度，降低事件发生概率或者事件发生后的影响程度。对于业务、数据这样动态的场景更多需要的是风险控制手段。

企业重视数据的资产价值属性而漠视了数据的业务价值属性，对企业而言，数据资产是要转化为生产要素才能产生价值，生产资料的属性（业务价值）远大于资产属性，保护业务价值的核心是控制业务过程风险，而非仅仅控制数据资产自身损失的风险。从Facebook信息泄露事件可知，该事件不是数据泄露而是数据滥用，是一种业务过程风险而非数据资产风险。

企业强调了数据的静态安全策略和保护手段，漠视了对数据使用流动各环节风险的实时动态性感知，数据风险的一个典型特征是可关联推理，很难事前完全枚举风险的可能性。例如，Facebook事件中，点赞的数据用于选举广告，采集数据种类和以前Facebook许可的商业采集是一样的，只是通过关联分析用于其他用途，因此，用户很难预判到这样的风险，即使知道这个风险出现了，如果只是不再许可这种数据的采集，那很多有价值的商业模式就会受到影响。

企业强调了外部的威胁，漠视了内部、合作伙伴及生态链的威胁与风险。数据是企业内部的基层生产要素，在产业链里流动，已经获得授权的人对这些数据并非基于可信，而是基于生产和业务需要。很多企业建立了很多防御外部威胁的体系，而内部基本失控，例如，Facebook事件的问题来自生态体系，并在Facebook规则内获取数据。

企业强调了对数据安全的存储访问层安全，漠视了数据应用层和治理层安全。以数据为中心是因为数据流动带来的保护边界的消失，但流动最多的数据来自应用层，对应用层的安全保护也是缺失的。站在数据风险治理角度，数据分类分级、数据责任人、数据细粒度权限、数据来源去向和授权用途等，这些动态风险控制的基础层信息也是缺失的。例如，Facebook事件是在数据应用层出现的问题。

企业缺乏对数据安全事件的溯源体系的建设，事前预防很重要，但是事后可溯源更经济。企业需要建立可溯源追责机制，事件的损失虽然不能靠溯源弥补，但大事件之前一定有很多小事件，通过对小事件溯源追责形成威慑力，可以大大降低整体事件包括大事件的发生概率，在我们的现实生活，依赖这样的体系实现了成本更低廉、更易接受的安全管理。Facebook如果具备这种处理能力，并能对每次数据违规使用行为进行追责惩处，那么发生这种数据泄露的概率就会低很多。

企业缺乏对数据的传递追踪能力（一个是不同系统之间数据的传递，一个是授权访问的传递）。a授权b，b可以访问a的数据，b再授权c，c可以访问b看到a的数据，b是否有资格授权是一个法理问题，但a能否知道其他人员使用数据和是否能够控制数据是一个技术问题。是采用技术监管措施，加强对用户隐私数据的保护。