数据智能的安全困境，如何用 AI 破解？

来源：大数据技术标准推进委员会

一、高安全防护护航数据与智能融合新范式

（一） 智能化数据安全治理体系加速升级

政策层面，2024年来，全球数据安全治理政策法规加速向“精细化”演进。国家数据局成立后，推动数据要素市场化配套政策加速落地，如《数据要素×三年行动计划》进一步深化，促进数据流通与安全协同发展，明确数据分类分级、跨境流动等细则。《网络数据安全管理条例》于2025年1月1日正式施行，构建起以《网络安全法》《数据安全法》《个人信息保护法》为核心的“三驾马车”监管体系，并细化重要数据目录申报、跨境流动安全评估等要求。国际层面，全球范围内人工智能治理框架逐步成型。欧盟《人工智能法案》于2024年全面生效，将AI系统风险等级从“不可接受”到“低风险”分为四类，要求高风险系统（如生物识别、关键基础设施）实施严格监管，要求数据训练透明化。美国通过行政令强化AI数据安全审查，推动跨境数据流动规则标准化。这些政策既为数据安全治理提供了制度保障，也鞭策企业加快合规能力建设。

技术层面，智能化技术正从“单点突破”转向“体系化渗透”，智能化数据安全技术覆盖率显著提升。在单点能力方面，基于多模态AI（文本、图像、音视频）的敏感信息检测正在逐步提升准确率，智能化分类分级工具已实现半自动化标签生成，并探索解决非结构化数据分类分级能力。在综合类能力方面，智能化的数据安全运营管控平台成为企业新关注点，在政务、金融等行业已有技术应用实践，支持实时风险分析、监测与响应。隐私计算在金融联合风控、医疗科研等场景试点应用，保障数据“可用不可见”。

（二） 数据智能浪潮中面临三大安全挑战

1. 安全技术瓶颈仍未突破

面临席卷而来的新场景、新应用引入的安全风险，安全技术虽持续加强，但在应对复杂多变的安全威胁时，仍难以完美应对。从技术层面来看，自动化防护系统应对场景有限、AI对抗攻防能力失衡、新兴技术融合应用的安全适配性不足等问题凸显，成为数据安全防护体系升级的阻碍。一是自动化防护难以应对复杂攻击场景。当前主流自动化防御工具依赖预设规则库与静态策略，面对零日漏洞、新型勒索软件变种等未知威胁时，因缺乏动态行为建模能力，误报与漏报时有发生。尤其在云原生、IoT边缘计算等异构环境中，传统规则引擎难以覆盖碎片化攻击面，导致防护效能断崖式下降。二是AI对抗攻防能力失衡，防御体系存在技术代差。在AI驱动的攻防博弈中，防御方技术迭代速度滞后于攻击创新。攻击方利用生成式AI批量制造深度伪造钓鱼攻击、自适应恶意代码，使攻击效率呈指数级提升，可系统性突破传统安全边界。而防御方的AI安全应用仍停留在威胁日志分析、异常模式识别等被动响应阶段。攻防双方在技术迭代速度和资源投入比等方面的不对称性，使得防御方在智能化对抗中长期处于被动局面。

2. 新业态治理复杂度飙升

伴随数据驱动型新业态的爆发式增长，安全管理机制与业务创新速度脱节。管理颗粒度及动态性不足、跨部门协同低效等系统性缺陷导致传统治理框架在敏捷业务场景中效果不佳。一是数智新业态迅速发展但动态管理能力滞后。当前企业安全管理体系难以适应多模态数据的复杂流转特性。文本、图像、音频等多类型数据在业务场景中交叉流动，其敏感度、使用场景差异显著，传统基于静态角色或固定规则的权限管理模式已无法满足动态管控需求。另外，权限策略更新速度远低于数据接口增长量，“僵尸权限”不能及时回收，形成持续性泄露隐患。管理的组织架构上，跨部门协作机制缺失进一步加剧问题——在数智发展的新领域，IT部门与业务部门权责边界模糊，权限管理、审计、撤销流程冗长，形成安全管理盲区。二是安全策略与创新迭代速度脱节。智能化驱动型业务的快速迭代与安全策略的后置流程形成结构性矛盾，企业迅速开展数智实践并推出新业务功能（如实时数据分析、AI客服等），但安全策略制定需经历跨部门评审、合规评估、技术适配等多环节，更新周期长，导致创新业务采用“安全后置”上线模式，安全治理缺乏原生适配能力。这种滞后性导致新业务上线时，访问控制、数据加密等安全策略未完全覆盖新应用数据交互模式的风险点。若数据处理活动涉及到上下游流动，供应链安全管理可能进一步暴露体系缺陷，上下游安全策略将左右数据合作过程能力短板，企业自身缺乏对供应链数据事前、事中、事后的监控管理能力。

3. 安全治理落地实践不足

尽管数据安全领域在政策法规与技术探索上持续推进，但在实际落地过程中，企业缺乏成熟、普适的治理范式，标准规范难以转化为可持续执行的落地实践。从行业视角出发，新兴应用场景的合规标准未形成体系、行业间协同治理模式缺位，导致安全治理存在落地盲区。企业智能化场景安全治理能力未形成明晰体系。以生成式AI为例，从训练数据集的采集、使用安全，到算法的透明度与可解释性要求，再到内容生成和交互合规性，各个环节都有规范指引，但缺乏明确且统一体系化要求。企业在实际应用中只能“摸着石头过河”，逐步搭建体系，这导致企业面临较高的安全合规风险。

（三） 智能驱动的下一代数据安全呈现出两大趋势

1. AI安全治理从“合规达标”向“主动治理”转型

AI安全治理加速从“合规达标”向“主动治理”跃迁。针对AIGC等新兴场景的应用逐步落地，人工智能安全治理体系应逐步完善。通过搭建包含数据安全、模型算法安全、应用安全、服务安全及通用安全的全局治理框架，全面支撑大模型全生命周期安全管理，确保其技术应用符合安全与合规要求，实现安全能力与业务创新的同步进化。企业治理模式亦发生结构性变革，安全责任从模型责任部门向全员渗透，通过流程规范性提升，构建覆盖“决策层-管理层-实施层-监督层”的立体化治理网络，最终实现安全能力与业务价值的共生共长。

2. AI赋能基础技术融合发展

智能化技术正推动数据安全基础能力的精细化升级。在数据分类分级领域，基于自然语言处理和计算机视觉的多模态识别模型，可实现非结构化数据（如文本、图像、音视频）的自动化标签标注与敏感信息定位，降低人工标注成本并提升分类准确性。动态脱敏、访问控制等核心环节同步进化，通过持续学习用户行为，可生成细粒度权限策略，在保障隐私的同时最大化数据可用性。单点技术能力的智能化跃迁，为数智安全治理奠定基础。

在体系化安全能力方面，人工智能进一步向安全运营全流程赋能，推动“被动响应”向“智能防御”转型。通过整合威胁情报、日志审计、行为分析等多源数据，AI驱动的安全运营平台将逐步构建企业数据资产的全局风险画像，实现攻击路径预测、异常行为溯源等能力。

二、总结和展望

近年来，数据智能产业蓬勃发展，已成为推动数字经济创新与增长的核心引擎。在数据领域，各行业企业积极投身高质量数据集建设工作，为上层模型训练和应用开发筑牢根基；在算法领域，以大模型为代表的人工智能技术加速渗透，诞生出GPT-4o、DeepSeek-R1等标志性成果；在应用领域，智能体的出现进一步降低了数智技术的应用门槛，推动数据智能应用在更广泛的行业及场景中落地生根；在安全领域，在政策规章要求与技术应用突破的双重驱动下，智能化数据安全治理体系加速升级，为数据与智能融合新范式保驾护航。

展望未来，数据智能产业必将持续焕发蓬勃生机，保持强劲的发展势头。随着技术的不断突破和创新，数据智能将进一步提升数据处理与应用的效率和安全性，同时，加速向医疗、农业、能源、交通等传统行业渗透，深度赋能各领域数字化转型。数据智能产业将进一步解放个体生产力，驱动企业业务创新，重塑生产关系和产业格局，推动全社会实现跨越式进步，助力我国抢占未来发展制高点，开启智能化发展的崭新篇章。

本文节选自大数据技术标准委员会于2025年6月18日在“2025数据智能大会”上发布的《数据智能研究报告（2025年）》。

报告介绍及全文下载链接如下：

《数据智能研究报告（2025年）》解读