2023年开年以来最热门的话题无疑是ChatGPT，这款归属于AI的新产品被很多人认为是不亚于蒸汽机，铁路，电报及互联网的新一轮时代巨浪，微软的CEO纳德拉甚至认为这是一次全新的“工业革命”。

人工智能是把双刃剑，其带来了风险，也带来了新的安全技术。在风险之下，我们要如何保护数据安全？在机会之中，我们又需要如何抓住机遇，“乘风而上”呢？

AI的更新迭代对飞速发展的互联网时代而言，也存在很多弊端，如：三星电子就因引入了ChatGPT而导致了机密资料外泄事件，相应的，欧洲如意大利、西班牙、法国等国家也都对OpenAI公司展开了调查，并暂停了AI相关的服务。

由此可见，AI带来了新的数据安全风险，其让信息安全工作变得越发困难，无论是AI其本身所引发的安全问题，还是攻击者可利用AI造成新的攻击，都为互联网环境带来了无法预估的风险和威胁。

杨明非对此表示，人工智能在使用时所带来的数据安全风险主要表现为三种，分别为数据泄露、数据投毒和数据跨境风险。而从ChatGPT导致的安全事件中可以看到，人工智能发生“故障”，会导致机密数据、源代码、个人敏感信息、会议内容的泄露。对此，杨明非介绍天空卫士专门设计出了防护产品统一内容安全审查平台(UCWI)。

那UCWI是怎样“工作”的？

在人工智能中，可能最大的问题就来自于人本身，所以需要有相应的技术和手段，对所有内容进行保护，目的是为了防止提交到人工智能的这些原始数据存在敏感内容。UCWI通过API的方式，可以对用户提交到ChatGPT的内容进行自动审计和核查，发现违规数据之后，对不同级别的数据执行不同的响应动作，比如对含有个人隐私信息的数据进行脱敏，或对关键数据、敏感数据进行阻止，这样就能避免其中关于人的问题。

杨明非介绍，用户可以利用人工智能去解决数据安全治理上的诸多问题，比如数据的分类分级，数据的风险评估，威胁的检测与响应等。用户也可以利用人工智能对人的行为进行分析，将人群进行一个风险的划分。最主要的作用是对整个安全保护的态势进行及时的调整，随时预防、阻止数据安全问题的发生。

乘人工智能之“风”在天空卫士的整个体系里，通过人工智能技术的使用，可帮助用户快速完成数据的分类分级、应用以及应急响应。还可以用人工智能技术对人员、数据安全风险进行评估，发现潜藏的安全风险，包括外部渗透、内部信息窃取、恶意的代码泄露、钓鱼邮件等。

当下，在数字化转型的过程中，AI的使用一定会快速普及，对此我们要做好预防措施，务必合规使用各种数据，同时对AI持积极态度。AI作为一种工具，我们在衡量它时就一定只看用工具的人，而不是专注于工具本身，归根结底，怎样的人就会输出怎样的结果，若使用恰当，AI就一定会为我们保驾护航。

除了AI和安全外，本次的直播内容还关注到了数据跨境这一热门话题。数据跨境流动在当今数字经济中扮演重要角色，各国都将其上升到数据主权的高度，我国对此也高度重视，通过《网络安全法》《个人信息保护法》《数据安全法》对重要数据、个人信息的跨境流动，建立起了符合我国实际和国际大环境的基本监管制度。在如此背景下，2022年9月1日，国家互联网信息办公室正式实施《数据出境安全评估办法》。

数据出境的具体含义可以从三个方面去理解。第一个方面是数据跨境的类型，如果涉及到了境内产生的重要数据和个人信息，就需要纳入监管；其次，数据出境跨越两个区域以上需要纳入监管；第三是数据出境的方式，一种是物理跨越，比如从境内携带硬盘出国，另一种叫软跨越，即数据在境内服务器存储，然后通过授权的方式，让境外的组织、个人可以查询、调取、下载、导出，以上这些情况都需要纳入监管。

数据跨境是需要长效管理的，企业应该把数据跨境当做项目去管理。陈际红表示，可按照七步法的方式来执行：

在评估过程中，技术和管理缺一不可。管理方面主要是管理制度、管理流程、组织建设，而实现这些制度的是基础措施；技术支撑方面，要具备数据盘点、持续监控、企业自证、风险阻断等能力。

数字时代下，数据是新兴的生产要素，也是社会经济发展的重要引擎，在深度数字化与经济全球化的叠加下，数据会大规模流动，而且日益频繁，这就是为什么数据跨境流动在蓬勃发展的全球数字经济中，有着至关重要的作用，数据跨境流动是国际经济合作的重要基础，因此如何处理好数据跨境安全问题是开展相关活动的前提，所有企业需对此保持重视和关注。

安在线下的几次研讨会中，有不少专家曾对数据跨境做出过解读，结合他们的建议，可主要归纳为几点。首先是一定梳理好相关的法律法规和标准；其次要根据企业场景的情况去做合法性、正当性、必要性的分析；最后要审查企业自身数据传输的目的、数据传输的类型和数据传输的数量情况。

为此，不少甲方用户曾提出过相关难点。而此次直播黄鹏华就“该如何认定部分场景是否属于数据出境”等问题产生疑惑，同时黄鹏华表示，自己企业在做数据出境的过程中，往往会面临选择机制的困境。

对于甲方用户所遭遇的这些现状问题，陈际红给出了解答，他表示：“企业场景是否构成法律上的数据跨境，首先要看具体业务中，企业有无给境外人员权限，如果境外人员具备了获取国内数据的能力，那么这就属于软跨境。”

在企业该如何选择机制方面，陈际红强调，安全评估是法定要求，也就是说凡关基运营者都需要申报安全评估，而企业若不是关基运营者就需要看具体处理的数据量，向境外传输数据量达到100万，还有累计向境外传输达到1万条敏感个人信息或10万条一般个人信息的，都需要申报安全评估。

而数据量不达标的可以选择标准合同和认证。合同是一种最高效、最便捷的机制；认证则更为长效。

AI对数据安全带来了新的风险，但是也提供了新的助力

从数据安全的角度来看，AI安全和场景的结合度是非常高的，所以其带来的全新的安全挑战和机遇并不会慢慢显露，而是会在各个层面不断涌现，三星泄露事件就是最好的例子，当然，天空卫士的AI产品也同样佐证了机遇就在眼前。

深入研究后发现，在数据安全方面，一如杨明非所说的那样，AI所带来的数据泄露问题主要体现在两个方面。一是我们在应用AI的过程中，会向AI递送一些数据材料，比如向ChatGPT提问获取答案，所提问的内容就是泄露出去的数据。

还有一个方面是潜在的，比如ChatGPT，其于历史上已经存储了海量的数据和信息，过去向大众开放数据库中的数据皆已成为了它的囊中之物，并在其后台成为了训练素材，而这些素材最终会变成一种知识沉淀，很显然，这就是一种变相的数据泄露。

机遇方面，除了天空卫士的AI产品，黄鹏华指出，只要为AI关联足够多的信息，其在告警方面就能极大的节省人力成本；杨明非补充，他举例部分用户会记录下所有外发office文档的动作，因此产生大量的事件和日志是无法靠人筛选的，只有通过AI才能做到非机线异常行为的发现。

与AI相结合固然先进，但要完全能适应AI技术却非易事。对AI而言，最重要的三个点是算法、数据和算力，拿现今最火的ChatGPT举例，其重要的不是那些大多公开的算法，而是数据量和算力，也就是说，目前而言，国内几乎没有什么安全厂商能耗得起这么大的算力，也就意味着无法完全匹配ChatGPT。

杨明非对此表示认同，他指出，要想真正把AI大模型的模式做好，就一定需要全流量的数据，而不是日志型的数据，这是安全厂商当下所面临的难题。因此，大部分安全厂商目前对AI的使用还是在算法、规则或方式上做着改变，比如对数据的流动做区块之间的分析和处理，这样就能在应用、实用和安全保护之间找到平衡点。

如此看来，AI就像是一把双刃剑，一方面众人都想用AI去做更多的事，另一方面又怕AI会带来意料之外的风险。对此，我们可以做的是规范好自己的行为，牢记自己做安全的初心，不要让任何工具在我们手中失了本意，约束好自己之后，其他的无非是期待业内外能在技术手段或法律法规上对AI发展出更好的管控。

数字化时代，新的场景、新的应用不断涌现，AI、数据跨境等都为行业带来了新的趋势和发展方向，从正负两方面来看，可以理解为是从政策角度、技术角度为我们带来了压力，当然也可以理解为这是全新的驱动力。

而无论是数据跨境还是AI应用，最终都会归结到“安全治理”这个大主题上。说到数据安全治理，给人的感觉更像是玄学，可以解读出好几个方面，又似乎怎么也无法落地。那在这样的时代背景下，数据安全治理一定也会发展出全新的形式和改变。

杨明非对此解读：“治理比起管理和技术支撑，其所在的层面更高，就像国家治理，也一定是从上往下落实到每个省、每个市、每个部门，最后才是我们每个人。所以数据治理最重要的是，我们需要一个坚实的基础，无论是出境合规、数据安全审查、大数据，还是人工智能，其围绕的核心就是‘对数据资产的梳理’。”

比如数据跨境，首先要做的就是数据资产盘点，再比如人工智能，或任何形式的数据安全，所有这些措施的首要步骤就是资产盘点。

从此概念中可以看到，数据安全作为一种能力建设，要把它牢牢扣在整个数据上，以数据为核心，使整个数据安全体系做到能识别、能控制、能阻断、能追溯、能审计，这样再使其涵盖身份管理、身份控制、网络安全隔离、跨区域的划分和其他的安全技术手段，就能将数据安全治理做成一个大的框架，并可通过统一的模式去考虑数据治理问题。这是当下数据安全治理变化中最明显的一点，具体表现为智能化、平台化、流程自动化等。

当然，数据安全治理不只是平台，平台可被理解为一种载体或抓手，因为就像专家们说的那样，所有工具背后，其实最主要的还是人，还是组织。因此，对其企业来说，在日益复杂的互联网环境下，常设性的治理组织是需要的，跨部门甚至跨地区，能从上至下进行协调的组织会是数据安全治理方面非常关键的一环，因为只有涵盖法律、技术、业务、安全等各方面的职能，才能彻底解决治理方面的问题，这样无论是在研讨、会议、培训，还是在策略上，都能更有效的落实。