干货 | 郭晓雷：数智安全监管机制研究与思考

最新推荐文章于 2025-05-18 20:17:36 发布

数据派THU

最新推荐文章于 2025-05-18 20:17:36 发布

阅读量661

点赞数

文章标签：人工智能大数据

本文链接：https://blog.csdn.net/tMb8Z9Vdm66wH68VX1/article/details/131078569

版权

本文由郭晓雷分享，主要内容涉及数据安全监管机制的研究，包括《数据安全法》和《个人信息保护法》等相关法规。文章讨论了数据安全的特殊性，如流动性、权属性、关联性和延展性、唯一性和真实性、易复制性，并提出了数据违规收集、滥用和失序传递三类特殊安全问题。此外，文章还探讨了数据安全分类分级保护、风险监测预警、安全审查等监管机制，以及人工智能安全监管举措。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

作者：郭晓雷

本文约4300字，建议阅读8分钟
本文报告的主要内容关于数据安全，从学术或者技术的角度，更多地认为人工智能是数据处理的新技术，其应用会产生更加丰富的数据处理活动场景。

郭晓雷：今天报告的主要内容关于数据安全，从学术或者技术的角度，更多地认为人工智能是数据处理的新技术，其应用会产生更加丰富的数据处理活动场景。

一、引言

引言部分主要说明我国数据安全战略和数据安全监管的基本思路。

《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》以及相关法律法规正逐步构建起我国数据安全监管保护机制。《数据安全法》确立了以安全促发展的原则，鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展。同时，《数安法》确立了一系列层面的数据安全管理机制，提出了开展数据处理活动应当承担的数据安全保护责任与义务，明确了违法行为的法律责任。有关主管和监管部门在遵循《数据安全法》的基础上，不断充实和完善数据安全管理机制，开展数据安全监管活动。作为数据处理者，应当把遵守《数据安全法》和相关法律法规作为组织或企业经营活动的底线。

二、数据安全相关概念

（一）数据、数据处理、数据处理者

数据在两法一条例中关于数据和个人信息的定义均采用了“对信息的记录”，我个人的理解，两法中所给出的定义更多地体现了对数据在经济社会发展中的价值和对国家安全、公共利益或个人、组织合法权益危害与影响的关注，所以两法中所称的“数据”并不是指所有物理意义上的数据。

数据处理采用列举加兜底的方式定义，把数据从产生到销毁整个生命周期中的主要活动进行了列举。数据处理活动和数据生命周期是不同范畴的概念，生命周期更注重生命价值的产生、成长、鼎盛、衰落、消亡以及再生的过程。

数据处理者在数安法中虽然没有明确给出，但是在个保法和条例中均给出一致的定义，其中“自主决定”应是在合法、正当、必要诚信的原则下，是在承担、履行法定责任和义务的前提下的自主。

（二）数据安全

从法律层面，数据安全在《数据安全法》中对数据处理者具体而言体现在：第一，承担数据安全的责任；第二，履行数据安全的义务；第三，配合数据安全的监管；第四，参照国家标准开展相关能力的建设。

从学术层面，各国对数据安全认识都是在信息安全三要素基础上或之外提出，我国主要聚焦合理性和适当性，更加强调数据安全所要实现的状态效果，不再仅强调传统信息安全中所关注的完整性、保密性和可用性，而是要求实现数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

（三）数据安全的特殊性

相对传统信息安全，数据本身具有五类特殊属性：

第一，普遍流动性。与信息系统不同，数据本身是流动的。一方面，数据源唯一，但是在流动过程中，经过加工处理，复制后的传播路径众多。另一方面，数据在流动过程中，跨主体、跨系统流动。

第二，多重权属性。信息系统权属相对比较简单明确，属于建设者与运营者，从监管的角度，更容易用“谁主管谁负责，谁运营谁负责”的理念来压实安全管理的责任。但是数据不同，个人信息、海量的个人信息、海量的去标识个人信息，以及业务数据等，仍然有交叉重复的内容，权属边界不清晰的问题也就带来责任边界模糊不清的问题，这是我们在开展数据保护工作中重点思考的问题。

第三，关联性和延展性。信息系统的每一个组件都具有确定的价值，而且每一个组件的网络安全风险、存在的漏洞后门以及脆弱性都应该得到重视。但是对于数据来说，单一原子项的存在并没有明显意义，比如“1234567890”这组数字单独看起来并没有任何意义，随着关联和延展信息越多，数据聚合的价值就越高。

第四，唯一性和真实性。信息系统要实现某些功能，可以用不同的架构、不同品牌的产品和不同的组件去实现。但是对数据来讲，它反映的是某一个时间或者空间条件下的真实情况，也就是唯一情况。比如生物特征、环境信息是唯一真实的，一旦我们的生物特征识别信息等敏感个人信息泄露，损失和影响是没有办法挽回的。

第五，易复制性。对于信息系统来讲，建设方之外的组织和个人难以复制。但是数据易于复制，可以采用多种方式，比如复制、拍照，甚至听和记的方式都可以获得相关数据。

此外，数据是核心生产要素战略资源，我们要利用好它，促进它产生价值，如何在保障数据安全的前提下最大限度的发挥数据资源的价值，这是一项挑战。

在信息系统方面，往往要从芯片、板卡、升级固件、操作系统、中间件、应用软件、应用系统以及网络流量等多层面考虑安全技术的问题。在数据安全方面，反倒聚焦，目前需要解决好三类问题：

第一类，数据违规收集。目前国家已经从法律、政策、标准和专项活动上，重点针对此类问题进行约束，取得明显成效。

第二类，数据滥用。这类问题最复杂，由数据关联性和延展性所带来的高价值造成。例如，通过业务数据关联关系，使用画像实现千人千面，进一步形成千人千价这种差别定价现象。再例如，剑桥分析事件利用用户的日常喜好、性格特点以及行为特征，预测他们的政治倾向，并定向投放广告和新闻进行潜移默化的政治宣传，这是延展性非常具象的案例。

第三类&#x

最低0.47元/天解锁文章