(三) 百度数据安全治理实践

1.数据安全治理体系建设实践及创新

（ 1 ）治理路线实践与创新
在数据安全合规性评估实践过程中，百度百度总结了自身特点，公司归纳 成功治理的数据索汇先决条件，并制定了清晰的安全工作路线
（ 2 ）数据安全保障工具与能力建设实践及创新为支撑数据安全的治理目标、建设目标、治理总笔防护目标顺利实现，百度百度定义了数据安全技术能力三步走的公司产品建设路径，从工具化向产品化过渡，数据索汇实现管理能力提升，安全完成产品化后，治理总笔通过产品的百度整合形成成 熟的安全方案，向平台化转型，公司实现数据安全治理效能提升。数据索汇

（ 3 ）数据安全风险运营实践与创新
采取降维打击思路，安全针对数据跨越安全信任边界的治理总笔行为及关键节 点布控，实行风险闭环运营。

2.数据安全合规性评估与场景化解决方案建设实践

百度在AI创新过程中，对于数据安全、隐私保护等问题有着切身的体会和深入的理解。百度业务与数据紧密结合，基础数据的标识、模型算法的优化都离不开数据的共享、应用、流通场景。百度现有的大规模数据需要一套高效、便捷的解决方案以完成数据安全合规评估与安全保障工作，为此百度基于现有的数据安全策略及相关规范要求，集成多维安全检测和防护能力，建立了覆盖数据全生命周期的数据安全与隐私保护解决方案，可实现“事前主动识别，事中灵活控制，事 后全维追踪”的目标。
数据作为AI时代重要的生产要素，数据的存在形式、使用方式、流转共享模式都产生了巨大变化，数据价值与数据使用场景及形式紧耦合，数据只有流动和使用才能产生价值，同时也必然产生风险。因此，数据安全保护的理念也需要从传统信息安全的静态防护，向动态的风险防护转化。需要确保数据流经之地必须具有同等的风险抵御能力，这需要健全完善覆盖数据生命周期的数据安全技术保障手段。此外，数据安全是量体裁衣的过程，须从数据出发，以威胁入手， 围绕数据流进行动态评估，并制定有针对性的场景化方案。
（ 1 ）典型场景一：高价值数据资产安全评估与保障
人工智能已经成为新一轮科技革命和产业变革的核心驱动力量，而人工智能技术的高速发展，依托于算法、算力和数据的快速发展。AI 数据作为其中的基础要素，具有数据价值高、数据规模小、时效长、低频更新的特点。因此区别于传统数据安全评估及保障，需要对高价值属性数据进行更加集中严格的管控，使用数据安全域、信任边界异常检测、泄露检测、数据水印等数据安全能力，实现在正常数据分析及模型训练高效开展的情况下，对敏感数据操作及使用行为进行 规范及监控；
（ 2 ）典型场景二：敏感数据安全评估与保障
在隐私数据的合规性评估与保障中，百度将前沿的联邦学习、联邦计算平台在实际应用中部署，高效融合多方安全计算、可信执行环境、差分隐私和数据脱敏等多种领先数据安全和隐私保护技术，在各方数据不出域的基础上进行联合计算，获取各方所需的计算结果，全力打造跨组织数据合作“可用不可见，相逢不相识”的安全服务，在 保障用户权益的前提下，提供了安全合规的高效数据合作模式。
（ 3 ）典型场景三：私有化部署下数据安全评估与保障私有化部署是人工智能服务交付的重要形式之一。针对私有化部署产品的安全合规性评估，均需要在方案设计和实施阶段，从数据角度考虑基础环境、操作系统、硬件加密环境、应用层、运维等方面的 安全要素。
为了在非可控环境的私有化部署项目中，有效保护核心文件、模型、代码等敏感数据，百度在各类不同交付场景的安全评估及建设中，逐步积累了一套有针对性的防护方案，实现灵活的鉴权安全、应用安全防护及AI模型安全防护能力，从而解决私有化部署项目中常见的安全风险，如无鉴权或鉴权失效、核心代码和算法被逆向分析和破解 等，以助力业务合规、安全交付私有化项目。
百度将牢记初衷，把安全合规、伦理以及广泛的社会关怀，融入到公司的血液当中。伴随社会经济与科技产业的进一步融合，持续用科技创新回应社会需求的社会价值创造，为AI新基建发展注入新动 能，加速中国产业智能化升级步伐。

参考文档

信通院 数据安全治理实践指南-1.0