隨著移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)和人工智能的不斷發(fā)展和應用,世界經(jīng)濟正加速向以數(shù)字經(jīng)濟為重要發(fā)展方向的經(jīng)濟模式轉變。
數(shù)字經(jīng)濟一方面極大地促進了經(jīng)濟增長,逐漸成為經(jīng)濟增長的主要動力源泉;另一方面也提高了經(jīng)濟發(fā)展的質量,成為促進實體經(jīng)濟轉型升級、推動供給側結構性改革的重要支撐。在數(shù)據(jù)作為交換媒介實現(xiàn)巨大經(jīng)濟價值的同時,數(shù)據(jù)跨界流轉的速度越來越快,數(shù)據(jù)安全問題日益凸顯,網(wǎng)絡攻擊、信息泄露、數(shù)據(jù)篡改、數(shù)據(jù)損毀等事件屢見不鮮,嚴重制約了數(shù)字經(jīng)濟的發(fā)展,甚至危害到人民生命財產(chǎn)安全與國家安全。因此,數(shù)據(jù)安全是數(shù)據(jù)要素市場發(fā)展的重要保障,是合法、合規(guī)、有序地推動數(shù)據(jù)使用和價值變現(xiàn)的基礎。
在全面推進數(shù)字經(jīng)濟發(fā)展過程中,必須要加強數(shù)據(jù)安全能力建設,以高水平安全來保障數(shù)字經(jīng)濟的高質量發(fā)展。
數(shù)據(jù)安全保障能力是國家競爭力直接體現(xiàn)
(一)數(shù)據(jù)安全是實現(xiàn)數(shù)字經(jīng)濟高質量發(fā)展的重要保障
隨著數(shù)字中國戰(zhàn)略的深入實施,中國數(shù)字經(jīng)濟發(fā)展迅猛。根據(jù)國家稅務總局公布的數(shù)據(jù),2023年中國數(shù)字經(jīng)濟核心產(chǎn)業(yè)銷售收入同比增長8.7%,較2022年增長2.1個百分點。數(shù)字經(jīng)濟正在邁向實體產(chǎn)業(yè)之間雙融合的高質量發(fā)展階段。這就要求數(shù)據(jù)要素加速共享與流通,有效發(fā)揮數(shù)據(jù)價值,實現(xiàn)從數(shù)據(jù)資源到數(shù)據(jù)要素,最后到數(shù)據(jù)資產(chǎn),再到數(shù)據(jù)資本的轉變。但是,數(shù)據(jù)權屬關系、估值定價機制、流通規(guī)則、數(shù)據(jù)安全等問題形成了數(shù)據(jù)流通的技術壁壘與區(qū)域壁壘。因此,完善數(shù)據(jù)安全治理、保障數(shù)據(jù)安全是筑牢數(shù)字安全屏障的重要內容,是促進數(shù)字經(jīng)濟健康發(fā)展的重要保障。
(二)數(shù)據(jù)安全治理成為全球數(shù)據(jù)資源競爭的有效手段
數(shù)據(jù)作為數(shù)字經(jīng)濟的核心組成部分,對于塑造國家的核心競爭力至關重要?,F(xiàn)階段,一個國家數(shù)據(jù)資源的多少與利用情況成為新形勢下國際競爭力的關鍵要素之一,能夠直接影響到該國在全球的經(jīng)濟政治影響力,各主權國家均意識到數(shù)據(jù)資源背后所蘊含的戰(zhàn)略價值。為了更有效獲取數(shù)據(jù)資源、提升國際競爭力,全球各國已將數(shù)據(jù)安全治理納入政治議題,各國競相完善數(shù)據(jù)安全相關法律法規(guī),在數(shù)據(jù)安全領域開展戰(zhàn)略博弈,保護或爭奪數(shù)據(jù)資源,以爭取更多的數(shù)據(jù)控制權。現(xiàn)階段全球數(shù)據(jù)安全治理機制已無法有效協(xié)調各主權國家之間差異化的治理需求與理念,全球數(shù)據(jù)安全治理體系面臨多元博弈的局面。
(三)國家政策持續(xù)加碼,推動數(shù)據(jù)安全能力和體系建設
2023年2月27日,中共中央、國務院印發(fā)的《數(shù)字中國建設整體布局規(guī)劃》中明確,數(shù)字中國建設要夯實數(shù)字基礎設施和數(shù)據(jù)資源體系“兩大基礎”,要筑牢可信可控的數(shù)字安全屏障。近幾年來,我國加快出臺數(shù)據(jù)安全方面的立法進程,加強防范數(shù)據(jù)安全風險。相繼出臺了《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《密碼法》《關鍵信息基礎設施安全保護條例》《個人信息保護法》《數(shù)據(jù)安全管理辦法》等多項政策法規(guī),以及《信息安全技術個人信息安全規(guī)范》《數(shù)據(jù)安全風險評估管理辦法》等行業(yè)規(guī)章制度,為數(shù)據(jù)安全行業(yè)的規(guī)范化發(fā)展、數(shù)據(jù)安全領域的技術發(fā)展和應用深化提供了指導和參考,為數(shù)據(jù)安全產(chǎn)業(yè)的發(fā)展提供了良好的政策保障。
數(shù)字經(jīng)濟發(fā)展過程中的安全風險日益凸顯
(一)數(shù)據(jù)泄露事件呈現(xiàn)愈演愈烈之勢
當前,大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等新興前沿技術快速發(fā)展,已經(jīng)衍生出更具有持續(xù)性和隱蔽性的數(shù)據(jù)安全風險,給數(shù)字經(jīng)濟安全保障工作帶來極大的挑戰(zhàn)。數(shù)據(jù)安全威脅的爆發(fā)性、危害性與日俱增,對國家安全、經(jīng)濟發(fā)展、社會發(fā)展和個人隱私都帶來了嚴峻挑戰(zhàn)。在各行業(yè)數(shù)字化轉型的大背景下,互聯(lián)網(wǎng)承載的數(shù)據(jù)越來越豐富,數(shù)據(jù)作為新型生產(chǎn)要素,只有流動才能創(chuàng)造更大價值。然而,隨著跨行業(yè)、跨部門、跨層級、跨地域、跨系統(tǒng)、跨業(yè)務的數(shù)據(jù)采集、存儲、傳輸、使用等場景的與日俱增,數(shù)據(jù)在創(chuàng)造更大價值的同時,重要數(shù)據(jù)和個人隱私信息遭篡改、泄露等問題也越發(fā)突出,數(shù)據(jù)濫用、暗網(wǎng)交易等黑灰產(chǎn)活動日益猖獗,對個人財產(chǎn)、經(jīng)濟運行、公共利益和國家安全都帶來了嚴重威脅。
(二)數(shù)據(jù)共享交易過程需要解決交易可信的問題
數(shù)字經(jīng)濟經(jīng)過不斷演進和發(fā)展,現(xiàn)已步入數(shù)據(jù)驅動的發(fā)展階段。數(shù)據(jù)開放利用可以將數(shù)據(jù)作為資產(chǎn)直接變現(xiàn),實現(xiàn)數(shù)據(jù)增值和收益,繼而形成重要的競爭優(yōu)勢。但由于相關數(shù)據(jù)共享交易規(guī)則不透明、法律法規(guī)約束不充分、數(shù)據(jù)安全防護技術措施不到位,海量數(shù)據(jù)在共享交易過程中必然潛伏著各種危機。一方面,濫用信息、倒賣個人數(shù)據(jù)的情況屢見不鮮,這是由于數(shù)據(jù)采集、流通與共享等環(huán)節(jié)缺乏個人信息收集使用的規(guī)范標準、數(shù)據(jù)使用主體的權責界定不清、數(shù)據(jù)安全保障制度與技術措施不完善,引發(fā)的違規(guī)使用個人信息或數(shù)據(jù)濫用的問題。另一方面,數(shù)據(jù)逆向分析等技術給數(shù)據(jù)脫敏清洗帶來更大的挑戰(zhàn),即便是經(jīng)過脫敏、匿名化處理后可視化的數(shù)據(jù)商品,依然存在被關聯(lián)分析得到原始數(shù)據(jù)信息的可能性。此外,由于數(shù)據(jù)交易和使用的合法性很難界定,阻礙了數(shù)據(jù)流通,而面對市場上數(shù)據(jù)供需矛盾突出的問題,地下數(shù)據(jù)交易市場規(guī)模卻不斷壯大,針對個人信息的違規(guī)收集和惡意利用等行為也變得日益猖獗。
(三)數(shù)字貿易背景下的數(shù)據(jù)跨境流動風險
隨著經(jīng)濟全球化發(fā)展,國際合作交流更為頻繁,數(shù)據(jù)跨境傳輸、訪問和使用的頻次大幅提升,推動數(shù)據(jù)跨境流動不再局限于個人數(shù)據(jù),政府和企業(yè)等所有主體都有數(shù)據(jù)跨境流動的可能。由于技術漏洞以及各國立法監(jiān)管不完善等因素,數(shù)據(jù)跨境流動帶來的風險滲透于數(shù)據(jù)全生命周期的各個環(huán)節(jié)。在跨境電商、跨境普惠金融變得更加頻繁,虛擬世界與現(xiàn)實世界交互性加強的同時,海量數(shù)據(jù)不斷匯聚積累,這些數(shù)據(jù)遍布金融、能源、測繪、地圖、通信等各個行業(yè)。在數(shù)據(jù)跨境流動過程中,如何對海量數(shù)據(jù)進行全面梳理分類和有效監(jiān)管仍是挑戰(zhàn)。數(shù)據(jù)規(guī)模龐大與技術環(huán)境實時變化疊加,增加了數(shù)據(jù)分類分級難度。數(shù)據(jù)價值評估基準不統(tǒng)一,對重復加工生成的衍生數(shù)據(jù)狀態(tài)判斷不明,使得數(shù)據(jù)跨境流動風險難以有效預測。此外,以數(shù)據(jù)為目標的跨境攻擊也變得更為頻繁,這些經(jīng)由網(wǎng)絡攻擊獲取的數(shù)據(jù),以黑灰產(chǎn)形式流入地下數(shù)據(jù)交易市場,將進一步加劇數(shù)據(jù)跨境流動風險。
中國數(shù)據(jù)安全防護與治理的技術探索
當前,隨著數(shù)字經(jīng)濟的蓬勃發(fā)展,中國始終堅持維護數(shù)據(jù)安全與促進數(shù)據(jù)開發(fā)利用并重,相互促進,來推動數(shù)據(jù)安全產(chǎn)業(yè)的快速發(fā)展、保障數(shù)字經(jīng)濟的平穩(wěn)運行。中國數(shù)據(jù)安全防護與治理的實踐經(jīng)驗凝聚著政策、制度、技術等多方面的探索,其中數(shù)據(jù)安全防護與治理技術體系是實現(xiàn)數(shù)據(jù)安全保障的重要支撐。
(一)中國數(shù)據(jù)安全防護與治理體系架構
由于數(shù)據(jù)的廣泛性、分散性、多樣性、復雜性等特性,數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)與梳理、數(shù)據(jù)分類分級、權限管控、數(shù)據(jù)合規(guī)、數(shù)據(jù)分析、數(shù)據(jù)流轉等成為眾多用戶共同面臨的難題。因此,數(shù)據(jù)安全防護與治理體系的建立要從管理體系、技術體系到運營體系形成一體化的系統(tǒng)工程。其中,管理體系更偏向于自上而下的組織、制度、流程建設,只有制度的完善才能讓組織上下全體實現(xiàn)數(shù)據(jù)安全的目標;技術體系主要是保障數(shù)據(jù)全生命周期的安全所采取的相應技術手段;運營體系旨在真正實現(xiàn)數(shù)據(jù)安全“事前、事中、事后”運營流程的過程,三者缺一不可。數(shù)據(jù)安全防護與治理應當是從建立組織架構→梳理應用需求→梳理數(shù)據(jù)資產(chǎn)→引進數(shù)據(jù)安全平臺技術→建設數(shù)據(jù)全流程管控→數(shù)據(jù)應用安全→數(shù)據(jù)安全運營的全面系統(tǒng)工程。
(二)中國數(shù)據(jù)安全防護與治理產(chǎn)品體系
隨著數(shù)字化轉型的推進,數(shù)據(jù)規(guī)模越來越龐大,數(shù)據(jù)交互越來越復雜,應用越來越多,數(shù)據(jù)安全面臨著合規(guī)監(jiān)管要求、流動共享風險、數(shù)據(jù)基礎設施安全風險等方面的挑戰(zhàn)。中國數(shù)據(jù)安全防護與治理的主要做法也是圍繞滿足數(shù)據(jù)安全合規(guī)、保障數(shù)據(jù)流動共享中的安全和數(shù)據(jù)基礎設施安全來開展的。中國數(shù)據(jù)安全防護與治理市場分為數(shù)據(jù)安全防護與治理產(chǎn)品和數(shù)據(jù)安全防護與治理服務兩部分。其中,數(shù)據(jù)安全產(chǎn)品分為安全防護類產(chǎn)品、安全治理類產(chǎn)品以及特定場景數(shù)據(jù)保護產(chǎn)品。數(shù)據(jù)安全治理類產(chǎn)品是針對數(shù)據(jù)資產(chǎn)進行識別、分析和管控的產(chǎn)品,通過掃描企業(yè)資源來識別數(shù)據(jù)資產(chǎn)并確定其資產(chǎn)數(shù)據(jù)的敏感度,將數(shù)據(jù)進行分類分級,從而實施數(shù)據(jù)治理策略。數(shù)據(jù)安全防護類產(chǎn)品分為密碼類、檢測類、防護類、訪問控制類、管控類以及溯源類6個類別。特定場景的數(shù)據(jù)保護產(chǎn)品是指在數(shù)據(jù)共享交易、數(shù)據(jù)跨境、個人隱私保護、數(shù)據(jù)銷毀、數(shù)據(jù)災備等環(huán)境下的數(shù)據(jù)安全保護類產(chǎn)品。數(shù)據(jù)安全服務指從前期規(guī)劃設計咨詢、分類分級、合規(guī)性評估,到數(shù)據(jù)風險評估、數(shù)據(jù)安全運營、數(shù)據(jù)安全第三方評估與檢測等各個環(huán)節(jié)的數(shù)據(jù)安全服務工作。
(一)加強數(shù)據(jù)安全治理機制建設
構建數(shù)據(jù)基礎制度,把數(shù)據(jù)安全治理貫穿構建數(shù)據(jù)基礎制度體系全過程,從國家、地方、行業(yè)等多個層面加強數(shù)據(jù)安全制度建設。適應數(shù)字經(jīng)濟發(fā)展要求,規(guī)范數(shù)據(jù)流通共享和數(shù)據(jù)權利義務的相關法律法規(guī),進一步健全數(shù)據(jù)安全制度頂層設計,推動頂層設計與基礎制度相輔相成。在地方層面,重點圍繞公共數(shù)據(jù)采集、共享、開發(fā)應用等,依法出臺數(shù)據(jù)安全方面的地方性法規(guī)和地方政府規(guī)章。在行業(yè)層面,在能源、交通、金融、電信等關鍵信息基礎設施行業(yè)出臺行業(yè)性數(shù)據(jù)安全自律規(guī)范,推動制度細化完善。
(二)構建數(shù)據(jù)安全多方協(xié)同治理體系
數(shù)據(jù)安全必須加快構建由政府部門、企業(yè)、安全廠商、社會組織等共同參與的數(shù)據(jù)安全協(xié)同治理體系,共同保障數(shù)據(jù)安全,統(tǒng)籌推進數(shù)據(jù)要素資源的安全管理與安全運營的保障工作。積極發(fā)揮政府和行業(yè)協(xié)會等主體作用,加強對數(shù)據(jù)安全治理規(guī)則、相關標準制定的組織引導,強化各行業(yè)自我監(jiān)管和跨行業(yè)協(xié)同監(jiān)管,確保關鍵基礎設施領域重要數(shù)據(jù)的安全。明確各類平臺和企業(yè)等市場主體在數(shù)據(jù)安全治理方面的責任,落實數(shù)據(jù)流通交易聲明和承諾制,完善數(shù)據(jù)登記及披露制度。建立數(shù)字化思維,提升居民個體維護自身數(shù)據(jù)安全保護意識和素養(yǎng),減少數(shù)據(jù)泄露風險。
(三)健全數(shù)據(jù)安全流動的風險評估工作
數(shù)字經(jīng)濟時代數(shù)據(jù)安全事件頻發(fā),開展數(shù)據(jù)安全風險評估是企業(yè)做好數(shù)據(jù)安全保護的重要環(huán)節(jié),是主管部門落實監(jiān)管職能的重要抓手,也是各方履行法定義務的必要程序。推動企業(yè)積極開展數(shù)據(jù)安全流動的風險評估和安全認證活動,幫助企業(yè)掌握數(shù)據(jù)安全總體狀況,發(fā)現(xiàn)數(shù)據(jù)安全隱患,確定防護策略及預防風險行為。依據(jù)相關法律法規(guī)及行業(yè)標準規(guī)范,全面識別企業(yè)數(shù)據(jù)資產(chǎn),做好數(shù)據(jù)分類分級工作,對業(yè)務數(shù)據(jù)流動鏈路進行梳理和識別,判斷其合規(guī)性及風險性。數(shù)據(jù)安全風險評估的重點是要從業(yè)務角度,識別各個業(yè)務場景以及數(shù)據(jù)流動全鏈路過程,最后在評估基礎上采取安全措施,從而降低數(shù)據(jù)安全風險。
(四)加快數(shù)據(jù)安全技術的研發(fā)和推廣應用
加大對數(shù)據(jù)安全基礎理論、前沿技術和關鍵技術研究的支持力度,著力提升包括數(shù)據(jù)安全產(chǎn)品和服務在內的綜合技術能力,推動數(shù)據(jù)安全技術在各個領域的廣泛應用,以數(shù)據(jù)安全技術創(chuàng)新強化數(shù)據(jù)安全保障能力。推動數(shù)據(jù)安全核心技術攻關,加大在區(qū)塊鏈、可信計算等關鍵前沿技術領域的科研投入與人才儲備,打造相關技術領域的自主創(chuàng)新能力。構建數(shù)據(jù)安全產(chǎn)品體系,發(fā)展面向重點行業(yè)領域特色需求的精細化、專業(yè)型數(shù)據(jù)安全產(chǎn)品,推動關鍵產(chǎn)品多元化供給,提高產(chǎn)業(yè)鏈供應鏈韌性。探索完善數(shù)據(jù)確權、數(shù)據(jù)開放、數(shù)據(jù)交易相關技術,推動數(shù)據(jù)依法合理有效利用和有序流動,促進以數(shù)據(jù)為關鍵要素的數(shù)字經(jīng)濟發(fā)展。加強政務數(shù)據(jù)安全保護,強化數(shù)字化公共服務平臺、重要行業(yè)領域數(shù)字基礎設施和新型基礎設施的數(shù)據(jù)安全防護能力。(劉娟 桑元 賽迪顧問股份有限公司 網(wǎng)絡與數(shù)據(jù)安全研究中心)