在数据安全重要性不断提高，数据安全合规性管理不断加强的前提下，本次研讨会重点讨论了“流动中的数据如何有效管控”，并为参会者答疑解惑。本次会议由CCF TF安全SIG主席谭晓生主持。

图1：CCF TF安全SIG主席谭晓生致辞

谭晓生在开场介绍了三位讲者的背景和他们在数据安全工作方面的经历，以及数据安全在数字化转型背景下的重要性。

图2：王文宇分享内容

主题分享开始后，王文宇首先做了题为《DataSecOps——数字化背景下流动数据的全流程安全》的报告。过去对数据采取“封锁”“隔离”的安全管控方法虽然在数据保护中起了作用，但已无法满足数字化转型的要求，数据泄露事故频发。面对数据的无限复制与形态不断改变两大挑战，引入DataSecOps一体化运营平台概念，用统一的数据安全策略，给数据发放“身份证”，实现数据安全从“囚笼”式向“平台化”转换。然后从发展的推动力、演进的路径、开发利用和安全防护的平衡、对未来数据安全发展的展望四个部分展开论述。

图3：王文宇分享内容

DataSecOps保障流动数据的安全，将IT分为了三个平面，第一个平面是基础设施，包括存储、主机、各类业务系统以及终端。在这一过程中我们可以看到数据存储流转的业务流与数据流。

第二个平面，则是关注在基础设施上所运行的数据，数据可能来自不同的数据源，拥有不同的数据类型、不同的用户以及不同的API接口，可能是隐私类数据、商业类数据等，因此第二个平面是从数据的角度来考量的。

第三个平面，是最为核心的技术落地，也就是数据安全平面，其有着不同的数据主体请求以及个人隐私管理，这是《个人信息保护法》中对隐私类数据的要求，包括敏感数据的自适应防护、安全监测以及对数据安全风险评估。建立自动化数据安全和防护诊疗一体的平台，就是未来DataSecOps类产品发展演进的逻辑与路径。

在讲到DataSecOps理念时，王文宇认为，DataSecOps的核心维度是数据安全的左移，在数据处理的第一现场持续对数据处理和使用的过程进行追踪，这样才能监测数据流转的整个过程，并发掘数据风险的真正源头，因此数据安全左移是数据安全未来演进中的一个核心方向。

方兴先介绍了一下自己先后创办三家安全公司的从业经历，然后以“数据安全是什么？”“数据跟信息到底是什么关系？今天讲数据安全，它的差异性在哪里？”作为开场问题。

 图4：方兴分享内容

以某电商企业新商家保证金诈骗当作具体案例，分析了数据、信息、知识、情报的关联关系和不同点，提出“我们的信息安全保护的是什么？本质上是保护的知识和情报，那知识和情报会用数据的方式存储，数据又变成信息的载体。我们传统讲的数据安全，本质上是保护高价值的信息在数据载体上的安全。”，然后提出了在大数据与AI时代数据安全面临的挑战，我们从海量数据中计算出知识和情报，这海量的数据你也不知道会产生什么，提出“数据需要流动，在生产的过程中去产生安全，本质上要安全放到生产的环境”的观点。

 图5：方兴分享内容

在讲到如何做好流动中的数据安全管控的时候，方兴对DSMM提出了不同见解，认为DSMM通过过程管控的方法难以解决数据安全的问题。

图6：方兴分享内容

 图7：方兴分享内容

方兴最后拿防疫做类比，描述了构建一个能看见数据和风险的模型，通过API、应用的数据、终端上面的文件沙箱或者VDM云桌面来对它进行管控的方法，通过这样的技术组合，紧密结合数据的知识，对数据流动的刻画，搞清楚数据到底在哪里，暴露面在哪里，数据流是怎样的，来对数据实施整个的风险识别和相应数据的管控，来建立起构建起真正的数据流动的风控体系。

图8：方兴分享内容

图9：方兴分享内容

刘新凯的分享聚焦在“数据隐私治理在落地的时候会遇到哪些痛点和问题，我们如何去解决这些问题和难点”，从法律合规的角度，最小数据采集合规、二次确认、所有的数据采集和隐私声明是否一定吻合？在数据的共享侧有没有得到原始数据被收集用户方的授权？有没有超范围的使用？在数据跨境传输的时候，有没有进行数据隐私合规管控？数据主体请求，不管是获取权、携带权、删除权等等，在实施的过程中，如何去落地？