面对AIGC带来的数据安全新问题,是不是就应该一刀切禁止AIGC的研究利用呢?答案是否定的。要发展AIGC,也要主动积极地对AIGC的数据安全进行建设。让AIGC更加安全、可靠的为用户服务。为达到此目的,应该从三个方面来开展AIGC的数据安全建设。
AIGC数据安全建设的整体思路
数据安全建设需要一套科学的、完整的、行之有效的建设思路。新华三基于多年的数网安全建设经验,参考国家有关标准,制定了一套AIGC数据安全整体治理思路,如下图所示。从方法论到实践标准,从需求分析到安全设计再到技术实现,从产品建设到产品运营,完整覆盖了AIGC数据安全建设的全生命周期,有力保障和指导AIGC的数据安全建设。
AIGC数据安全建设顶层设计
依托于新华三AIGC数据安全建设整体思路,具体落实在每一个细节才能充分发挥数据安全建设的效能。如下图所示,组织建设是AIGC数据安全能真正实施的政治保障,高层指导、管理实施、具体执行、监督体系都是不可或缺的重要元素;而制度建设则提供有规可循的具体建设流程。
AIGC数据安全仍然要以数据资产为核心,全面梳理所管辖的数据资产,进一步制定分类分级,有区别、有针对的建设数据安全。在数据资产梳理清楚的基础上,利用多种技术手段、多个维度、多个阶段的数据安全防护,有效进行数据安全风险的评估与发现。结合数网安全专业的安全知识,对数据安全风险制定风险管控策略,自动/半自动的消除数据安全风险,从而完成AIGC整体的数据安全,使得数据可以更大范围、更大程度的发挥价值。
AIGC数据安全建设的技术体系
先进的技术体系是实现数据安全高质量发展的支撑。对AIGC的数据安全建设需要从数据、模型的全生命周期的角度进行监管和防护。如下图所示,在不同的阶段分别采用针对性较强的数据安全监管防御产品,例如在数据采集阶段,AIGC需要大规模训练数据,采集的用户数据和信息需要坚持最小化原则和用户同意原则,不应该收集用户未同意或与使用无关的数据;同时应该对数据进行分类分级划分,通过分类分级进行有区分的数据安全防护;在使用阶段,需要对数据和模型进行必要的权限管控,更加细粒度的划分数据和模型的使用权限,并做好相关审计。在交换阶段,对访问无关的数据需要进行脱敏和过滤,防止访问到敏感数据。
每个生命周期做好数据安全防护以外,需要构建一个AIGC数据安全威胁发现与运营平台,全面统筹AIGC全生命周期的安全监测和运营,对AIGC系统的数据和模型进行资产盘点、风险识别、影响分析、处置闭环和持续运营,保证AIGC始终处于安全的运行环境。