基于主动安全的AIGC数据安全建设

面对AIGC带来的数据安全新问题，是不是就应该一刀切禁止AIGC的研究利用呢？答案是否定的。要发展AIGC，也要主动积极地对AIGC的数据安全进行建设。让AIGC更加安全、可靠的为用户服务。为达到此目的，应该从三个方面来开展AIGC的数据安全建设。

点击下载AIGC峰会资料合集

点击下载AIGC技术资料合集

AIGC数据安全建设的整体思路

数据安全建设需要一套科学的、完整的、行之有效的建设思路。新华三基于多年的数网安全建设经验，参考国家有关标准，制定了一套AIGC数据安全整体治理思路，如下图所示。从方法论到实践标准，从需求分析到安全设计再到技术实现，从产品建设到产品运营，完整覆盖了AIGC数据安全建设的全生命周期，有力保障和指导AIGC的数据安全建设。

AIGC数据安全建设顶层设计

依托于新华三AIGC数据安全建设整体思路，具体落实在每一个细节才能充分发挥数据安全建设的效能。如下图所示，组织建设是AIGC数据安全能真正实施的政治保障，高层指导、管理实施、具体执行、监督体系都是不可或缺的重要元素；而制度建设则提供有规可循的具体建设流程。

AIGC数据安全仍然要以数据资产为核心，全面梳理所管辖的数据资产，进一步制定分类分级，有区别、有针对的建设数据安全。在数据资产梳理清楚的基础上，利用多种技术手段、多个维度、多个阶段的数据安全防护，有效进行数据安全风险的评估与发现。结合数网安全专业的安全知识，对数据安全风险制定风险管控策略，自动/半自动的消除数据安全风险，从而完成AIGC整体的数据安全，使得数据可以更大范围、更大程度的发挥价值。

AIGC数据安全建设的技术体系

先进的技术体系是实现数据安全高质量发展的支撑。对AIGC的数据安全建设需要从数据、模型的全生命周期的角度进行监管和防护。如下图所示，在不同的阶段分别采用针对性较强的数据安全监管防御产品，例如在数据采集阶段，AIGC需要大规模训练数据，采集的用户数据和信息需要坚持最小化原则和用户同意原则，不应该收集用户未同意或与使用无关的数据；同时应该对数据进行分类分级划分，通过分类分级进行有区分的数据安全防护；在使用阶段，需要对数据和模型进行必要的权限管控，更加细粒度的划分数据和模型的使用权限，并做好相关审计。在交换阶段，对访问无关的数据需要进行脱敏和过滤，防止访问到敏感数据。

每个生命周期做好数据安全防护以外，需要构建一个AIGC数据安全威胁发现与运营平台，全面统筹AIGC全生命周期的安全监测和运营，对AIGC系统的数据和模型进行资产盘点、风险识别、影响分析、处置闭环和持续运营，保证AIGC始终处于安全的运行环境。