以AI制衡AI 是行業大方向

在數字經濟快速發展的背景下，個人信息等數據的應用場景和處理主體日益多樣化，數據安全的外延不斷擴展，個人信息保護面臨着前所未有的挑戰。近年備受關注的人工智能技術既是加強數據安全防護的重要工具，也成爲安全風險的一大來源。面對層出不窮的數據安全威脅，企業應該如何做好個人信息安全防護工作?作爲數字化企業在網絡世界的安全防線構築者，網絡安全企業有何看法?廣州競遠安全技術股份有限公司董事長林殿魁日前接受了南都大數據研究院專訪。

重視員工內部管理　落實“最小範圍”原則

南都:對企業開展數據安全、個人信息保護工作有哪些建議?

林殿魁:企業在個人信息保護方面應該做好四方面的工作。

第一要開展全面的風險評估。通過定期的安全評估、滲透測試、模擬攻擊，提前發現系統漏洞和潛在風險，及時做相應整改和漏洞堵塞。

第二是強化內部控制。實際案例中，很多情況是員工的數據訪問權限設置不當，導致一些員工獲得了非工作必需的數據。《個人信息保護法》中很重要的一項原則是“最小範圍”，即只提供實現處理目的的最小範圍數據。另外，企業應當建立日誌審計、異常行爲監測等機制，及時發現並處置內部異常情況。

第三是員工個人信息保護意識和技能的提升。很多個人信息泄露源於員工在這方面意識的淡薄，如果通過培訓提升他們的個人信息保護意識和專業技能，可以構建防範內部風險的第一道防線。

最後是供應鏈的安全管理。現在絕大部分企業都會有很多第三方合作伙伴和供應商，一些個人信息可能會通過供應商泄露。我們認爲應該對供應商的安全管理建立嚴格的審查機制、准入機制和要求規範，確保個人信息安全防線的安全可靠。

必須將防禦手段與AI相結合

南都:近年業內不少同行嘗試以AI制衡AI，如何看待這條技術路線?

林殿魁:這個是目前行業的大方向。因爲目前很多網絡數據安全的攻擊威脅，也運用了AI技術。作爲網絡安全的服務機構，我們也必須將防禦手段與AI相結合，實現服務的智能化、自動化，才能夠去應對AI的新威脅。競遠安全也在基於AI大模型研發網絡安全的相關應用。

南都:今年以來，我們看到國內相關部門適當放寬了數據跨境流動條件，即將施行的《網絡數據安全管理條例》也較徵求意見稿做了較大調整，減輕了平臺合規負擔。如何看待這一變化?

林殿魁:發展和安全是一體兩翼，二者相輔相成。在現階段，爲了促進我國數據產業發展，建議相關部門應當有一定的寬容性、容忍度。但是在發展的過程中，我們也要及時發現和處置個人信息保護過程出現的問題，包括國家安全的問題，及時採取相關措施，這樣才能促進產業的健康發展。

知法律懂技術重管理　三者缺一不可

南都:隨着技術的不斷革新，個人信息保護領域可能出現哪些變化?

林殿魁:可能呈現四大趨勢。一是隱私保護技術的深化應用。隨着數據資產的交易流通越來越廣泛，諸如隱私計算、聯邦學習、差分隱私這些技術也將得到廣泛利用，幫助企業在數據共享和協作的過程中保護個人信息。

二是零信任安全模型普及。因爲傳統的安全邊界正在被打破，零信任的安全架構將會成爲主流。所謂零信任，就是針對每個訪問請求，它都需要進行嚴格驗證，從而降低潛在的風險。

三是數據合規的全球化。隨着國際業務的拓展，企業需要同時滿足不同國家和地區的個人信息保護法規。例如一些希望在國外上市的中國企業，國外的監管機構對企業有數據披露的要求，但我國對數據跨境也有相關規定，企業需要同時滿足多方面的合規要求。

四是人工智能倫理與合規。因爲AI技術的應用，引發對算法公平性、透明性和可解釋性的更高要求，企業需要在技術與倫理層面做好平衡。

南都:對未來的這些變化趨勢，企業應該如何做相應準備?

林殿魁:首先是技術的儲備和投入。企業應該加大對新型隱私保護技術和安全架構的研究和投入，保持技術的領先優勢。其次要建立完善的合規體系，培養熟悉國內外法規的專業團隊，確保業務拓展的合規性。第三是人才培養和團隊建設，企業要注重培養既懂技術又懂法律的複合型人才，提升整體的專業水平。第四是企業文化建設，數字經濟領域的企業，應該把個人信息保護的理念融入到企業文化當中，提升全員的責任意識，使之成爲一個自覺的行動。

個人信息保護不僅僅是技術問題，也有業務、法律、合規等問題。我們認爲，企業安全方案一定要有多部門、全鏈條的參與，既滿足業務發展需要，又符合合規的要求。

南都:請分享一句你認爲最重要的、關於個人信息保護的建議或觀點?

林殿魁:對個人信息處理者來說，“知法”是非常重要的一點，當下很多案例是個人信息處理者不知法，觸碰到法律邊界，給自己帶來風險。其次是技術和管理要相結合，不能只注重技術防護而忽視內部管理。“知法”以及技術和管理相結合是我認爲個人信息處理者應該重視的方面。

採寫:南都記者 李偉鋒 實習生 紀依