绿盟君的咖啡时间|激活新质生产力,关注数据要素安全
绿盟科技 2025-05-27 11:03 湖南
在数字中国、数据要素化与人工智能驱动的新质生产力时代,数据的战略价值被推向前台。
在数字中国、数据要素化与人工智能驱动的新质生产力时代,数据的战略价值被推向前台。从“数据上链、数据入表”,到“可控流通、可信确权”,再到生成式AI赋能的智能治理,数据不再只是信息资源,更是重构经济逻辑的关键生产要素。如何打破“数据孤岛”?如何实现“可用不可见”的安全流通?如何建立多方信任机制,让数据真正“动起来”?这不仅是产业发展的核心命题,更是国家治理体系现代化的关键一环。
为回应这一时代课题,绿盟科技重磅推出《数据要素安全:新技术、新安全激活新质生产力》一书,系统梳理数据安全与数据要素化融合的最新趋势、关键技术路径与实战落地经验。在最新一期《绿盟君的咖啡时间》中,绿盟科技集团首席创新官刘文懋博士对该书内容进行了深入解读,围绕“数据是否合规”“是否有价值”“如何走向要素化”等核心问题,带来一系列专业、前沿且极具落地性的洞见。
点击观看视频
问题1: 在如今的数据治理体系中,我们常听到两个问题:是否合规,是否有价值。您怎么看?
是否有价值,取决于怎么看“合规”这件事情,是为了合规而合规,还是为了业务而合规,这两者的区别非常大。
在实践中,最大的风险仍然是数据泄露,所以需要用网络安全的思路做数据安全,例如防止勒索、防止数据泄露等。同时也要用数据安全治理的方法,如数据分类分级、数据风险评估等。
而要真正释放数据的价值,就必须用“发展业务”的思路来做数据要素安全,核心是:如何在流通过程中保障数据的机密性、完整性、可用性,是否有合规方式来背书这些保障?
监管方在这个过程里不仅是裁判员,还是推动者。就像智能驾驶领域,只有合规性明确,老百姓才敢放心使用。合规如何制定,当然要基于当前的技术成熟度和行业实践。
因此我们编写了《数据要素安全:新技术、新安全激活新质生产力》这本书,希望为读者提供一套看清趋势、理解系统、指导落地的思维框架。在书中,我们提出了四类典型场景,帮助读者理解未来的合规与价值,不是由某一方“说了算”,而是由制度、平台、技术共同“协同演化”出来的。
问题2: 这本书的读者群体主要是面向哪些人?他们能从中获得什么?
这本书是为所有希望在“数据安全”基础上走向“数据要素化”的专业人群写的,核心读者群体包括了企业决策者、数据流通业务推动者、技术开发者和企业数据安全团队。
· 对企业决策者来说,本书提供介绍了数据要素化对于企业业务发展的意义,以及安全对于数据要素的意义,帮助他们从战略层面理解数据要素如何赋能业务价值转化与数字化转型,做出面向未来的技术布局与制度安排。
· 对数据流通业务推动者而言,本书解析了核心安全技术如何服务于数据共享和跨域使用,比如零信任架构、数据脱敏、合成数据等,助力他们降低数据合作中的法律和技术风险,提升合规性与业务敏捷度。
· 技术开发者将在本书中深入掌握同态加密、联邦学习、差分隐私、可信执行环境等关键技术实现逻辑,并结合主流开源工具获得工程化实践参考。
· 企业数据安全团队,尤其是负责安全运营、合规审计、数据保护的团队成员,则可以基于本书建立起“从数据防护到数据增值”的思维跃迁。我们详细解读了传统合规能力如何逐步演化为可度量、可追责的数据要素安全体系,特别适合需要推动组织内部安全能力升级的技术负责人和CISO群体参考。
此外,本书采用了多个篇章的设计,既有趋势总览和结构化思维,也有实战细节与开源项目操作说明,能满足初学者、架构师、治理者在不同阶段的学习与部署需求。一句话总结:不管你是从管理视角、业务视角还是技术视角切入,只要你关心“数据是否可用、是否可信、是否可变现”,这本书都能帮你建立完整认知,并给出技术与治理路径的答案。
问题3: 现在讲数据安全的书很多,我要是做研究或者工作很忙,如何高效地读这本书?能不能帮我们按角色推荐一下重点章节?
现在关于数据安全的书很多,有的偏政策,有的偏技术,有的偏落地。但这本书的优势是,它把“数据要素安全”这件事从政策—技术—产业—落地四个层面串成了一条线,讲清楚了如何做有中国特色的、理论结合实践的数据要素安全。
同时还根据“数据使用场景”划分了不同安全模型,非常适合按角色、按关注点选择性阅读。
· 如果你是企业决策者,我建议你重点看:第1章:数据要素的演进逻辑,了解为什么数据会从“资源”变成“要素”;第2章:法律政策与标准体系,了解监管边界;第3章:确权与治理架构,有助于顶层设计;第8章:大模型与数据安全结合趋势,了解未来三年值得投入的方向。
· 如果你是数据流通业务推动者(如运营商、平台方、地方政府等):第5章:“数据可信确权”技术洞察,涵盖区块链、DID、数字水印;第6章:“数据可控流通”场景分析,聚焦脱敏、差分隐私、合成数据;补充看第10~11章,每种机制都有真实案例解析,便于和你自己的业务做类比。
· 如果你是技术开发者/架构师:那就直奔第4章到第7章,每一章都是一个独立的安全技术体系场景;比如你对“传输态加密”感兴趣,看第4章;想研究“同态加密、MPC、TEE”,看第7章;每个技术模块后面还附了开源项目推荐(比如:FATE、Hyperledger、Presidio、DIDKit等),非常适合你快速上手。
· 如果你是企业的数据安全团队/CISO/合规岗:建议看第4章的数据“自用安全”技术方案,覆盖分类分级、零信任、UEBA等实战技术;对应的第9章实践案例直接呈现“如何落地”,可以拿来对标你的项目;此外第6章关于API安全、脱敏评估的内容,也常常是审计和整改中遇到的高频问题。
问题4:作为服务了大量客户的数据安全专家,您怎么看从“数据安全合规”走向“数据要素价值释放”的这条路径?这是一条自然发生的过程吗?中间需要经历什么样的蜕变?
首先,从数据合规到数据价值释放,应该说中国的数字化水平达到了一个新的高度,各行各业的数据储备,特别是有加工利用价值的数据已经到了一定量级,可以支撑其他单位、行业做基于业务层面的分析,进而产生可以用钱来度量的价值了。
从监管的角度来看,数据被当做了新型生产要素,国家数据局于去年11月提出了可信数据空间,可信两个字凸显了数据要素流通的关键所在。可信是支撑数据要素释放的核心支撑。
从企业角度来看,我们服务的客户,最初关注的是“数据不泄露”“满足合规”,但当他们意识到数据是一种资产、可以入表、可以流通甚至交易,才会开始真正关心数据的“可控使用”和“可得收益”。
安全已经从单个的IT部门的网络安全团队,或数据部门的数据安全治理团队,上升到了公司业务决策部门,如何确保数据被安全地被采集、加工、上架和经营,最终换回实实在在的收入和利润。
这个过程通常会包含几个阶段:
1. 被动合规阶段:满足监管要求,部署DLP、加密、审计等合规手段;
2. 主动治理阶段:开始建设数据资产台账、分类分级、访问控制体系;
3. 可信共享阶段:部署零信任、脱敏、差分隐私等技术,探索“安全流通”;
4. 价值兑现阶段:通过确权机制、安全计算等手段,将数据转化为可交易的要素资源,支撑业务协同、智能应用和数据资产化。
这本书其实就是在总结我们过去几年从“数据合规”走向“数据价值”这条服务路径上的所见所思,也希望它能为更多行业提供可参考的框架。
问题5: 为什么要按“自用、确权、流通、协同”四个场景划分技术路径?
我们在讨论数据安全落地的时候,通常会考虑两方面的因素。第一是需求是什么,第二是我们有什么技术,所以通过梳理这两类因素,就可以得到这四个场景:
· 自用阶段:机构避免大规模数据泄露事件。强调“摸清家底、管好内控”,涉及敏感数据识别、分类分级、零信任访问、行为分析等,确保数据资产可用但不滥用;
· 确权阶段:解决数据的产权问题,如何确保参与方的数据持有权、加工权、经营权等,中间一定有很多交叉学科的问题,如法律、会计等,但支撑性的技术也很重要,包括DID、区块链、数字水印等,让数据的权属、变更、转移可以可信记录与验证;
· 流通阶段:数据要素生产过程中程序不动数据动,确保数据能够可控、安全地流通,包括数据脱敏、差分隐私、合成数据、API保护等,使数据能开放但不泄露;
· 协同计算阶段:数据要素生产过程中数据不动程序动,数据很机密不能外流,多个机构间在算法层面进行协同”,涉及联邦学习、MPC、同态加密、TEE等先进技术,构建多边信任机制。
所以读者可以先分析自己有什么数据,想要做什么,再从相应的场景中评估各种技术的优劣势,没有最好的技术路线,只有最适合自己的技术路线。
