权证链解决方案I 区块链技术在数据安全与合规中应用场景

美国电信巨头Verizon公司发布的81个国家参与调研的《2020年数据泄露调查报告》数据：58%的数据泄露事件涉及个人隐私泄露；72%的受害者为大型企业；企业内部攻击占 30%，外部攻击占 70%；55%的泄露事件和有组织犯罪有关。

一、数据安全与合规风险与挑战

数字化背景下，数据以电子数据形式存储为主，数据来源于业务系统、研发系统、财务系统、运维管理系统等核心业务部门。《数据安全治理白皮书3.0》介绍了组织数据安全面临来自内外部两方面的威胁：

（一）数据安全的外部风险

当前全球黑产规模达到千亿美元，新的攻击和外部数据安全威胁，包括“通过软件中植入木马窃取数据、利用网络爬虫抓取和分析隐私数据、用勒索病毒和加密数据敲诈赎金、数据委托处理时被合作方盗用数据、关联已经泄露数据撞库攻击”。

（二）数据安全的内部风险

业务人员违规篡改数据牟利（篡改考试成绩、交通违章记录）、内部人员窃取商业秘密非法牟利、研发人员向业务系统中放置后门（在编写代码时放置后门，系统上线后悄悄利用后门盗取或篡改数据、运维人员为泄愤恶意破坏数据、员工亲友冒用员工身份窃取数据。

（三） 数据意外丢失风险

数据本身存储安全不容忽视，云平台故障、服务器故障、软件故障、设备老化、人为误操作、病毒入侵、火灾漏水等。2018年某云因云硬盘故障，导致“前沿数控”存放的数据全部丢失。

数据安全事件依据数据敏感重要程度、安全事件影响范围带给国家、企业、社会公众利益不同程度的破坏及伤害，数据安全立法和监管不断加强。2015年信息技术领域全球著名的研究和咨询公司高德纳在其发布德《2015年数据安全技术成熟度曲线》报告中，开始使用”数据安全治理“说法。

2021年9月中国《数据安全法》实施，数据定义为“是指任何以电子或者其他方式对信息的记录”。在第27条提出“开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。《网络安全法》、《个人信息保护法》也对数据安全防护进行要求。

另外，其他相关法律法规对于数据安全做了相应规范：2019 年 8 月，国标 GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》正式发布。2020 年 12 月，工信部正式发布《电信和互联网行业数据安全标准体系建设指南》。

数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力；必要措施包括管理措施和技术措施。数据安全与合规，指对数据安全所适用的法律法规的符合程度，是数据全流程安全管理，包括数据采集安全、传输安全、存储安全、数据处理安全、数据交换安全、数据销毁安全。

二、新型数据安全保护技术区块链应用

据 Gartner《2020 年数据安全技术成熟度曲线》预测，数据安全治理仍处于创新萌芽期，属于新兴技术，市场渗透率约为 1%至 5%，全球在数据安全治理方面的技术和产品还不太成熟。

《区块链与数据安全治理白皮书》（2021）数据：2018 年中国数据安全市场达到 29.7 亿元，增速 29.6%， 2019 年增速进一步提升至 32.7%，规模达到 39.4 亿元。预计 2023 年数据安全市场规模将达到 97.5 亿元。目前，政务、金融、能源、电信、医疗、互联网、文创教育等关键信息基础设施所在行业和敏感领域普遍在加快推进数据安全治理相关工作。

企业或其他组织采用技术措施对数据安全进行保护，包括“使用技术手段对数据内容安全管控，即保护数据完整性（防篡改）、保密性（防泄露、防滥用）、可用性（防勒索、防破坏）；以及在发生安全事件时使用技术手段对事故追溯，对事件的原因、经过和责任人等进行追查和取证。”

传统数据安全治理常用技术手段有”数据访问权限控制、数据加密、数据脱敏、数据备份、数据水印溯源、数据安全审计“等。做为新兴数据安全保护技术手段，区块链在不同行业和领域的数据安全治理工作中逐步发挥数据确权、数据存证、数据追溯、构建开放透明生态等作用。

当前企业以数据为中心的数据安全治理理念，覆盖数据生命周期的全部环节，构筑一体化的数据安全策略和风险防护方案。任何单一数据安全设备或方案都已经无法实现在数据被使用和共享的所有环节中无缝保护数据的安全。企业需基于组织人员架构和拟定的制度规范，选择和实施适宜的数据安全产品、服务等技术手段。

（一）传统数据安全保护技术手段及应用

1、访问权限控制：对系统数据访问及操作，依据最小、必要原则授权、限制用户对数据访问范围；

2、数据加密：将信息明文数据经加密钥匙及加密函数转换成无意义密文数据，如需获得信息内容，需将密文经过解密密钥处理恢复成明文。主要用于数据传输、存储环节；

3、数据脱敏：对数据中包含的秘密或隐私信息进行数据变形处理，使得恶意攻击者获取脱敏数据后无法识别重要机密信息，是个人信息等隐私保护主要手段；

4、数据备份：为防止系统出现操作失误或系统故障导致数据丢失，将全部或部分数据集合从应用主机的硬盘复制到其它的存储介质的过

5、数据水印和溯源：向数据中嵌入类似水印的特征而实现事后能对数据违规使用行为进行溯源和稽查；

6、数据安全审计：企业业务系统中组件，用于审计、存储和跟踪对数据所做的更改。

（二）区块链技术数据安全保护及优势

传统数据加密、数据脱敏、数据备份等保护技术手段以“系统为中心”、保护“静态数据”，是企业内部行为。区块链技术实现实时、动态的数据保护，将数据保护与可信扩展至组织生态系统。

《人民法院在线诉讼规则》规定区块链存证的效力范围，明确了区块链存储的数据上链后推定未经篡改的效力。2022年5月《最高人民法院关于加强区块链司法应用的意见》提出到2025年，建成人民法院与社会各行各业互通共享的区块链联盟，形成较为完备的区块链司法领域应用标准体系……提升司法效率。2020年2月国人民银行正式发布《金融分布式账本技术安全规范》（JR/T 0184—2020）金融行业标准。2020 年 5 月浙江省电子商务促进会发布《电子商务商品交易信息区块链存取证平台服务规范》，2022年1月《山东省大数据发展促进条例》鼓励运用区块链、人工智能等新技术创新数据共享模式，探索通过数据比对、核查等方式提供数据服务。

区块链分布式账本，保证数据不可篡改、可追溯性，解决数据安全可信问题，应用数据安全治理三个场景。

1、数据确权存证。数据文本上链确权后，在数据全生命周期做为可信凭证关联各种权利、义务、责任；区块链确权证书也是数据资产权益归属的证明。

2、数据流转轨迹记录。对数据来源、数据加工、数据访问及操作、数据交易全生命周期关键节点数据文本及操作日志上链存证，形成数据生命周期账本记录全轨迹；

3、安全事件调查及举证。利用存储在区块链中的数据流转轨迹记录信息，对数据安全事件进行调查、分析和举证，客观准确地还原事件经过，公平公正地判定各相关实体的具体责任。

区块链技术对数据安全防护有效性提升，表现在如下方面。

1、区块链存证验证，消除全生命周期数据真实性质疑

企业依据传统技术管控手段，部署安全保护工具，依然无法完全规避内外部风险，诸如备份数据、数据安全审计日志仍有被篡改删除风险，无法确认数据原始性。数据在区块链存证后，生成唯一区块地址、哈希值、上链时间并永久保存，可用于数据采集、加工、流转、交易、删除以及安全事件中等各个环节中真实性验证。鉴于区块链存证可信，数据相关主体对链上数据具有一致性确认。

案例：瑞幸咖啡财务数据区块链存证。自财务造假事件后，面对公众对瑞幸咖啡财务数据不信任，瑞幸咖啡利用区块链技术增强企业业财数据的可信，将公司核心业财数据上链，利用相关第三方做交叉验证强化增信效能。

2、自定义数据保护“颗粒度”，降低资源消耗

企业海量数据，数据安全保护是一项巨大系统工程，通常为了防范1%风险，降低99%用户在线体验，带给企业巨大人力、时间、费用消耗。区块链技术针对专项场景，自定义数据保护“颗粒度”范围，降低资源消耗。依据业务场景、敏感数据分类、技术可操作性、预算成本以及企业合规管理发展阶段，对所保护的数据，即上链的数据的颗粒度可以自定义。结构化数据，上链源数据可以为“数据库、数据表、单条字段” ；非结构化数据，上链源数据可以选定任意“文本、图片、音频、视频、源代码、系统日志等”。

3、业务合规流程嵌入数据上链节点设计，增强数据价值

《中央企业合规管理办法》：第三十四条中央企业应当定期梳理业务流程，查找合规风险点，运用信息化手段将合规要求和防控措施嵌入流程，针对关键节点加强合规审查，强化过程管控。在不同企业合规专项管理中，依据内外部法律规章制度，系统化设计上链数据关键节点，在区块链上实时记录业务合规关键流程或完整流程，即“谁，在什么时间，在什么地点，进行何种行为，产生什么结果”；实现上链数据满足内部管理、司法要求完整的证据链，并在后续数据资产开发中证明数据资产质量。

4、区块链与组织信息化系统无感对接，数据不外泄

区块链技术对数据安全保护具有高度友好性，不需要修改或替换企业现有的信息安全管理系统或者IT治理流程，通过调用区块链技术平台数据存证验证接口，即可满足或增强数据安全与合规性要求。企业将内部数据文件计算哈希值，将哈希值通过区块链服务平台（如，权证链第三方存证平台）进行上链存储，内部源数据在本地存储，数据上链验真同时不泄密。

5、安全事件中第三方存证平台高效、可信出证、验证

当安全事件发生时，无论是外部公证人员、司法鉴定人员还是内部数据安全审计，安全事件中“数据篡改、删除、恢复”取证过程繁琐、二次泄密风险、费用高、司法采信具有不确定性、出证周期长。区块链技术首次实现实时、动态的数据保护，一经发生安全事件，可以随时从区块链及第三方平台出证、验证数据真实性，并且可针对“单条字符串”、“某一用户ID”等细颗粒度数据出证验证，控制数据接触范围。

三、权证链数据安全与合规一站式服务方案

随着《数据安全法》、《个人信息保护法》及其他标准密集出台，数据安全保护意识从国家层面到个人个体空前加强，与此同时企业数据保护技术措施具有一定滞后性。2021年至2022年数据合规涉案企业增多、高标的额商业秘密案件增多、大量数据收集不合规APP被整改下架。

当企业发生数据安全事件时，企业声誉受损，公众对企业产生不信任导致市场收益减少、股价下跌；同时企业也面临来自上下游受害者诉讼风险，严重时则有可能被行政机关暂停业务。

权证链，第三方区块链电子证据平台，北京互联网法院天平链存证应用接入，为企业及各类型组织提供数据安全与合规一站式服务方案，助力企业数据安全与合规管理。

（一）权证链数据安全保护产品“哈希值存证”

权证链，提供“源文件哈希值存证产品”满足企业数据“真实性、合法性、一致性及可溯源”证明目的实现。权证链提供API接口接入、本地部署权证链系统两种接入方式，在不改变企业原信息系统条件下，无感完成接入，接入周期3-5天。企业所有上链源数据保存本地不泄露。

企业在线数据平台或者信息管理系统在本地计算源文件对应哈希值，通过权证链API接口，将哈希值上传到权证链平台，权证链存储该哈希值及相关附属信息（实名认证信息、文件名、接口IP地址、上传时间等）并将哈希值同步上链北京互联网法院天平链并接收返还天平链存证编号（区块地址）至权证链平台。权证链生成用户存证电子证书并将天平链存证编号、电子证书返还至企业系统。在天平链上实时记录上链数据哈希值及生成时间。如需验证数据真实性，在权证链平台或者北京互联网法院验证页面输入“上链数据、天平链存证编号”，可验证“存证用户、区块地址、存证时间、存证哈希值”；如数据被篡改则不能通过验证。

通过利用区块链本身技术特点实现了企业数据可信存证、高效验证，实现数据相关权益主体之间、监管部门、司法部门数据一致性确认。

案例：二手车交易APP在线数据溯源性存证。电商平台调用权证链存证接口，将“客户管理信息、产品信息及在线营销、订单签署、合同签署、支付/还款等过程日志文件等”对应唯一哈希值，按照业务流程、证据链完整性及时间排序写入天平链，防篡改存储，实现电商平台业务全流程追溯、数据在交易各方之间公开透明。在线存证推进证据真实性判断前置、创新企业内部数据溯源治理

（二）权证链数据安全产品服务流程

1、权证链与客户合规部门、律师共同确认应用场景

数据安全治理是在具体业务场景下完成，不同业务场景有不同访问用户、访问途径、数据使用操作过程。典型应用场景有：在线业务数据安全、个人信息保护数据安全、产品研发及商业秘密保护、财务数据数据安全、电子合同数据安全、OA系统数据安全、营销数据安全、供应商管理数据安全等。企业所属行业特性决定企业数据安全保护侧重点。权证链建议从数据敏感性强、诉讼风险高且迫切的场景启动专项数据保护。

2、权证链与合规部门、律师共同设计数据上链节点

针对外部适用的法律法规及内部规章制度要求，设计业务场景数据上链存证节点。如在线业务数据、NFT平台数据、大数据交易平台数据上链节点遵循《电子商务法》、《民法典》等法律法规要求；商业秘密场景下数据上链节点设计遵循《商业秘密合规管理指引》等规范；个人信息保护场景数据上链存证节点遵循《个人信息保护法》以及相关规范等。权证链与合规部门、律师共同设计数据上链节点，满足数据安全及合规管理监管要求及诉讼证据留痕。

3、权证链与合规部门、技术部门共同设计数据上链技术方案

针对特定应用场景，进行合规要求的数据上链节点设计后，权证链与合规部门、技术部门共同设计数据上链的技术实现方案，包括：

（1）数据上链存证验证方式：API接口方式或者本地部署权证链系统方式；

（2）上链哈希值对应源数据文件格式：结构化数据或者非结构化数据；

（3）数据上链顺序：依据数据产生时间顺序或者依据业务逻辑顺

（4）数据验证方案：存证编号验证或者存证编号+源文件验证等。

权证链，运用区块链技术“以数据为中心”，为客户构建贯穿数据流转各个环节的一体化安全策略，做到数据自由流动同时，数据走到哪里，留痕记录覆盖到哪里，在区块链上形成一套难以篡改、删除、可信的账本。权证链做为司法联盟链北京互联网法院一级节点，司法链存证相较于一般企业区块链更具有权威性，满足企业诉讼、涉案企业合规不起诉监管、上下游合作伙伴关于数据一致性信任。