ISC 战略up主杨志维：大数据时代的公共安全精准管理——数据协同利用和数据安全治理

作者|杨志维 360集团董事长助理、未来安全研究院资深专家

        数字化加速转型，国际格局多变，网络空间治理重要性进一步凸显。新冠疫情背景下，大国战略博弈出现显著区别。同时，数字技术的大规模应用引起了人们对于数据安全、个人隐私保护的新一轮关注。在ISC 2020互联网安全大会战略日网络空间战略与治理论坛中，六位专家对趋势战略、发展变革进行了主题分享

       ISC 战略up主系列栏目，直击专家演讲全文内容，精彩观点巨量放送

       今日解读，ISC 战略up主杨志维：大数据时代的公共安全精准管理——数据协同利用和数据安全治理

以下是专家分享全文内容：

大数据在疫情防控中大显身手

       各个国家在抗疫的过程中使用各种方式的大数据技术来实现精准防控，为控制疫情发挥了关键的作用。主要体现在四个方面：

        一、进行综合分析风险。利用包括身份信息、健康信息、地理位置、交通出行、住宿、电子交易等数据，以这些数据为原料，基于不同数据的组合和分析，能够不同尺度的风险综合分析，例如城市的风险态势综合分析、个人的健康风险综合分析等等。

        二是进行人员流动监测预警。通过利用跨区域交通出行信息、电信数据、导航信息等建立人员流动态势的监测，以及对潜在风险的预警。

        三是进行疫点接触人员追踪。通过锁定特定疫点特定时间区间接触人群以及二次接触人群，快速识别可能感染人员的范围，为实行观察隔离、控制疫情扩散提供决策支撑。

        四是进行密切接触人员回溯。根据病例人员的出行、交通轨迹的数据回溯接触人群，更快地发现传染源和切断传染链。

        中央多次提到要运用大数据这样的数字技术来支持疫情防控，包括鼓励运用大数据、人工智能、云计算等数字技术在疫情监测分析，病毒溯源，防控救治，资源调配等方面发挥支撑的作用。所以，这样就让我们很容易联想到另外一个问题，大数据除了在疫情防控这样的公共卫生领域，在更大更广泛的公共安全领域，是否已经到了发挥作用，支持精准防控的时间呢？

        我们国家现在处于社会转型时期，公共安全是提升国家治理能力特别关键的领域。大数据精准管理在公共安全领域事前、事中、事后都是有非常大的用武之地。而推进公共安全大数据精准管理，同步构建数据利用和数据安全框架至关重要。

数据利用与数据安全之间的平衡

       目前，在数据的利用方面还存在一些障碍：一方面，公共安全需要政府从国家层面到地方层面强有力的介入和管制；另一方面，数据又是分散的，政府拥有大量数据但并不拥有全部的数据。因此，数据的价值需要融合才能够得以体现，数据只有经过在不同机构业务之间的流动和聚合，才能够释放出它真正的价值。

       我们在数据利用方面要解决的核心思想是尊重政府在公共安全事务主导作用的同时，保证数据采集、开发、使用的有序进行；同时要发挥科技企业、非营利机构、社区组织的技术能力，开发运营经验和创新活力，形成多元主体的协同开发利用模式。因此，在数据利用这个大的主题下，核心要把握的原则有三个：

        一、多方参与：公共安全管理需要多方主体参与，大数据利用的过程当中需要国家层面的主管部门、地方政府、基层组织、企业、非营利类机构和社会公众这6个方面主体的参与。

        二、纵横协同：要兼顾垂直管理和属地管理的衔接与协同。在公共安全领域内，垂直渠道上需要发挥国家层面管理的职能，同时也应该兼顾更多地发挥地方政府在属地管理当中的职能。

        三、政企协同：政府要把企业这样的民间力量纳入到公共安全管理的框架。国家层面的主管部门发挥主体作用，科技企业、大数据技术类企业以及互联网公司也应积极开展面向公共安全的大数据应用服务，给社会公众提供更加方便易用的公共安全服务。

        这三个方向去建立以事件应对为中心的大数据协同开发利用体系。贯穿公共安全事件预防、识别、反应、决策、处理、评价这样的全过程，通过利用大数据提升公共突发事件的预警能力，降低事件产生的冲击力度及破坏效果。

       如果说大数据为公共安全精准管理描绘了光明图景，那么数据安全问题则是遮挡在这一光明图景前面的阴云。这是因为，政府、社会对包括个人信息在内的数据安全问题的焦虑，已成为阻碍数据流通、数据利用的头号因素。特别是在公共安全领域，因为既涉及个人信息的采集和使用，又涉及关系到公共安全的敏感信息，使得数据利用面临强大的因数据安全而引起的阻力。

        数据安全领域面临的问题更多，包括数据安全的恐慌，因为恐慌不敢流通和使用数据，也因为安全问题过于依赖对数据收集的管控，而忽视了对数据全生命周期的管理，以及缺乏对全生命周期的管理方法。因此，在数据安全方面需要把握三个核心要点。

        一、构建“以数据为中心”的数据安全技术思想。在数据全生命周期内，将各个环节所涉及到的信息系统运行环境、业务场景和操作人员作为数据安全的支撑。

        二、建立“以组织为单位”的数据安全管理思想。在传统信息安全或网络安全强调产品系统安全以及人的安全基础上，以组织作为数据全生命周期内安全的责任主体。

        三、形成“以能力成熟度为抓手”的数据安全治理生态。借鉴能力成熟度模型的思想，基于数据的生命周期以及通用安全的过程来定义数据安全基本的实践，指导组织机构满足目标能力成熟度等级以及对应的安全要求。

       数据安全治理的最终目标是实现数据安全以及数据应用、流通、利用之间的平衡。为了达到这种平衡，需要注意两点:一、让数据安全成为组织的竞争力，而不是成本；二、让提升数据安全水平成为自发需求，而不是被动合规。