揭秘数据安全风险评估①—企业为何要开展风险评估？

本文节选于数据安全推进计划（DSI）与CCSA TC601联合发布的，主要总结了国际、国内数据安全风险形势，分析广大组织面临的各类数据安全风险以及日趋严格的监管合规要求，阐述组织加强数据安全风险防范的必要性。

一、数据安全风险形势日益严峻

全球数据泄露、数据破坏、数据窃取、数据滥用等安全事件频繁发生，严重危害了国家、社会公众安全。针对各国政府机构、关键信息基础设施的网络攻击、数据窃取等违法活动明显增多，数据安全事件涉及的数据以及用户体量也在持续加大。如何有效防范数据安全风险与事件，是全球数字经济发展下的重点问题。

1.数据泄露：持续呈现高发态势

全球数据泄露事件持续高发。统计数据显示，仅2021年全球范围内公开披露的数据泄露事件已超过四千起，涉及超过200亿条数据。进入2023年，数据泄露的趋势似乎并未得到缓解：2023年4月，威胁猎人发布的《2023年Q1数据资产泄露分析报告》显示，仅2023年第一季度就已发生近千余起数据泄露事件，这些事件涉及上千家组织、近四十个行业。例如，Twitter在2023年1月遭遇了数据泄露事件，包括用户电子邮件地址、姓名等2亿条个人信息被泄露。2023年2月，全美最大的综合医疗服务网络Heritage Provider Network遭遇勒索软件攻击，导致多个医疗机构大量敏感信息泄露。2023年2月，Telegram各大频道突然大面积转发某隐私查询机器人链接，该机器人泄露了大量来自我国各快递、电商平台的个人信息，包含了用户的真实姓名、电话与住址等，数据量高达45亿条。

组织数据安全保障压力倍增。2020年，某电商的客户数据泄露导致不法分子冒充客服对全国二十多个城市的受害者进行了电话诈骗，受害者的被骗金额为几千到十几万元不等。2023年8月，公安部公布了打击侵犯公民个人信息犯罪的十大典型案例，其中黑灰产组织窃取、利用组织掌握的用户个人信息实施犯罪的案例高居榜首。随着个人信息成为黑灰产组织逐利的“重灾区”，组织面对无孔不入的黑灰产组织，在数据安全风险应对上压力倍增。

数据泄露事件为组织带来的损失也在逐年走高。组织数字化转型加快，对数据依赖程度随之加深，数据一旦泄露给组织带来的损失也更加严重。根据IBM《2023年数据泄露成本报告》显示，组织数据泄露事件平均成本达到445万美元，较2022年的435万美元增长2.3%，而较2020年的386万美元则足足增长了15.3%，现已创下历史新高。

2.数据破坏：勒索攻击危害显著

有针对性的数据勒索与破坏事件愈演愈烈。随着全球各行业领域的组织数字化转型程度加深，其系统及承载的数据重要程度也随之提升，其中的关键数据更是组织业务运行命脉，一旦这些关键数据遭到破坏，将面临业务中断、信息系统或网络服务瘫痪，严重的后果可能是长期业务受损，客户信息、商业机密等重要数据泄露，给组织带来重大的经济损失和声誉损失。而近年来，针对政府机构、知名组织的数据勒索、破坏事件也持续增加：2022年，哥斯达黎加政府遭遇Conti勒索软件团伙攻击，国家财政部数TB的数据以及800多台服务器受到此次攻击影响，国内数字税务服务、海关控制IT系统以及医疗保健系统在多轮攻击下接连瘫痪、被迫下线，导致国内医疗保健系统陷入混乱。同年，法国巴黎的一家医院Center Hospitalier Sud Francilien（以下简称CHSF）遭遇网络攻击并被勒索1000万美元作为解密密钥的赎金。此次攻击直接导致了CHSF多个业务软件、医学影像存储系统无法访问，大量医疗数据被加密迫使医院推迟多台手术计划，大量患者被临时转诊至其他机构，这严重威胁了当地的急、重病患者生命安全。

3.数据窃取：组织“内鬼”作案猖獗

来自“内鬼”的数据窃取也令组织防不胜防。2023年6月6日，Verizon发布了《2023年度数据泄露调查报告》（2023 Data Breach Investigations Report，简称DBIR），分析了从2017年以来的16312起安全事件和5199起数据泄露事件，指出74%的泄露事件由人为因素造成的，约五分之一的数据泄露事件来自于组织的内部。组织收集、存储了大量用户的个人信息数据，一旦组织内部出现了特权账号滥用、数据权限分配不清、人员利用越权访问漏洞等问题，将直接导致拥有内部人员对其获取的数据进行不正当的使用或者窃取。2023年5月，特斯拉两名员工违规挪用、泄露了包括员工个人信息、客户银行信息、生产信息在内的100GB数据，影响超过7.5万人。无独有偶，2023年7月，日本通信运营商NTT DOCOMO的承包商员工盗取了包括用户个人信息在内的596万条商业信息，这些案件均有力证明了组织“内鬼”窃取数据的危害。

二、组织风险防范面临监管考验

面对日益严峻的网络数据安全风险，各国政府倡导国际、国内或地区内的公私部门开展网络数据安全风险防范合作。例如，2023年《联合国打击网络犯罪公约》结合新型网络犯罪情况，要求缔约国将黑客攻击、非法数据获取等犯罪行为纳入本国刑法执法范围，倡导加强网络数据安全风险的跨国协作与应对。再例如，欧盟《数据治理法案》（2022）提出欧盟境内的公共和私营组织在共享数据时，应遵守的安全与可靠性要求，要求及时报告数据泄露事件，防范全球数据流通带来的数据共享风险。美国《网络安全信息分享法案（CISA）》（2015）也曾鼓励国内的私营组织与政府进行网络威胁情报共享，增强其网络数据安全风险防御能力。

数据安全与隐私保护法规的发展对广大数据处理者的风险防范能力提出了新要求。除了网络数据安全风险的跨国协作与应对，各国的法律法规也明确规定了国内数据处理者的数据安全义务、责任，要求其开展数据保护影响评估等活动，加强对用户个人信息的保护。

中国方面。2021年，中国《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）相继颁布、实施。作为数据安全领域的基础性法律，《数据安全法》指出数据处理者开展数据处理活动应依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。其中，重要数据处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。《个人信息保护法》则进一步强调了个人信息处理者的责任与义务，提出个人信息处理者应对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。在处理敏感个人信息等情形下，个人信息处理者还应当事前进行个人信息保护影响评估，并对处理情况进行记录。

欧盟方面。2018年，欧盟《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）正式生效。GDPR基于其域外效力及严厉的行政处罚措施，提出了个人同意、隐私权影响评估等多项数据处理合规要求，并警示其适用范围内的数据处理主体严格履行合规义务。针对可能会为自然人权利与自由带来高度风险的数据处理方式，GDPR提出数据处理主体应事先进行影响评估，加强对个人敏感信息的保护，限制对个人信息的非授权使用。

美国方面。2023年1月，美国《加州隐私权法案》（California Privacy Rights Act，以下简称CPRA）正式生效。CPRA在《加州消费者隐私法案》（California Consumer Privacy Act，简称CCPA）的基础上进行了修订，要求组织开展数据处理活动风险评估，并定期向当地隐私局提交评估报告。此外，美国的《弗吉尼亚州消费者保护法》与《科罗拉多州隐私法》也要求，针对可能对消费者带来重大风险的行为，信息处理者应开展数据保护影响评估（Data Protection Impact Assessment，简称DPIA），并在评估期间对消费者的信息进行去标识处置。

新加坡、俄罗斯、印度、巴西、韩国等多个国家也通过立法明确了数据处理者的数据保护、风险防范以及数据保护影响评估活动等方面的要求，加强了数据处理者的监督和处罚，极大地推动了以上国家、地区的数据处理者提升数据安全风险防范能力，切实保护数据、用户个人信息的安全。

三、新技术应用暗藏新型风险

新技术应用衍生新型安全风险。5G、人工智能、云计算、移动互联网、大数据分析等新兴技术应用极大地推动了各行业领域的组织发展与创新，为广大用户提供了更为智能、便利的服务，但同时也带来了大量的安全漏洞、风险。以云计算为例。云计算通过互联网为组织提供了更加灵活、可扩展的计算和存储服务，实现了资源池化、按需扩缩容的能力，但云平台的复杂性以及多租户环境也存在数据隔离失效的问题，存在内部人员越权访问的可能，增加了组织数据泄露的风险。再例如，5G技术的典型应用场景eMBB（增强移动带宽），由于在增强现实（AR）、虚拟现实（VR）、高清视频直播、大视频等对带宽有极高要求的业务场景下衍生的海量数据往往涉及个人隐私数据，而传统的安全基础设施难以适应超大流量的5G网络防护以及海量用户隐私数据保护的安全需求。

新兴技术的监管措施与规范的不完善也可能导致数据安全风险。部分处于萌芽期的新兴技术可能因其配套的监管措施与技术规范尚未完善，在实际应用过程中为组织、个人带来尚未被公众充分认识的数据安全风险，导致安全事件一旦发生，出现责任主体判定难、治理成本高等问题。以生成式AI为例。其在文本、图片或视频生成等领域中得到了广泛的应用，但如果在学习训练阶段缺乏监管，该技术可能会因其对个人信息进行深度加工、价值挖掘，导致个人信息被违规利用或个人信息主体的权益遭到侵害，带来个人信息泄露的安全风险。针对这一问题，2023年7月我国国家互联网信息办公室（以下简称“国家网信办”）发布了《生成式人工智能服务管理暂行办法》，明确了数据训练的要求，强调涉及个人信息的训练数据处理活动须遵守法律和监管要求——这一定程度上推动了生成式AI技术的安全、合规应用，但对于如何防范其可能引发的数据安全风险问题，仍需产业界的持续探索。

结语

随着数字化时代的到来，数据已成为企业的核心资产。保障数据安全，防范安全风险是企业创新与发展面临的重要课题。

为了更好地识别数据安全风险，开展数据安全风险评估，推动数据安全风险的处置、监控以及后续改进等工作，建立健全基于风险评估的数据安全风险治理框架建设：中国信息通信研究院云大所数据安全团队深耕数据安全风险领域的理论研究，携手业内积极开展了数据安全风险评估以及治理实践探索。

中国信息通信研究院云大所数据安全团队（简称：云大所数据安全团队）具备丰富的数据安全风险评估以及治理服务经验，先后服务国有六大行、商业银行以及国央企等大型客户，助力客户开展数据安全风险评估，排查客户面临的数据安全风险隐患问题，加强数据安全保障措施，统筹业务发展与数据安全，树立数据安全合规观念，切实防范数据安全风险。

2022年，云大所数据安全团队基于CCSA TC601组织近三十家业内头部企业，开展预研，2023年基于一线服务实践，再次携手业内数十家知名企业以及百余名专家，形成《电信互联网数据风险治理成熟度评估模型》标准草案和研究报告等优质研究成果。

众行者远。未来，云大所数据安全团队将持续探索数据安全风险评估、分析、监测等诸多领域，积极赋能企业客户强化数据安全风险防范与治理，欢迎业内共同致力于数据安全风险相关研究的专家、学者、同仁咨询数据安全风险评估以及治理服务，共话数据安全风险评估实务，携手护航企业数据安全。

联系方式：[email protected] 15645106927

往期回顾