隨著移動互聯網、云計算、物聯網和人工智能的不斷發展和應用,世界經濟正加速向以數字經濟為重要發展方向的經濟模式轉變。
數字經濟一方面極大地促進了經濟增長,逐漸成為經濟增長的主要動力源泉;另一方面也提高了經濟發展的質量,成為促進實體經濟轉型升級、推動供給側結構性改革的重要支撐。在數據作為交換媒介實現巨大經濟價值的同時,數據跨界流轉的速度越來越快,數據安全問題日益凸顯,網絡攻擊、信息泄露、數據篡改、數據損毀等事件屢見不鮮,嚴重制約了數字經濟的發展,甚至危害到人民生命財產安全與國家安全。因此,數據安全是數據要素市場發展的重要保障,是合法、合規、有序地推動數據使用和價值變現的基礎。
在全面推進數字經濟發展過程中,必須要加強數據安全能力建設,以高水平安全來保障數字經濟的高質量發展。
(一)數據安全是實現數字經濟高質量發展的重要保障
隨著數字中國戰略的深入實施,中國數字經濟發展迅猛。根據國家稅務總局公布的數據,2023年中國數字經濟核心產業銷售收入同比增長8.7%,較2022年增長2.1個百分點。數字經濟正在邁向實體產業之間雙融合的高質量發展階段。這就要求數據要素加速共享與流通,有效發揮數據價值,實現從數據資源到數據要素,最后到數據資產,再到數據資本的轉變。但是,數據權屬關系、估值定價機制、流通規則、數據安全等問題形成了數據流通的技術壁壘與區域壁壘。因此,完善數據安全治理、保障數據安全是筑牢數字安全屏障的重要內容,是促進數字經濟健康發展的重要保障。
(二)數據安全治理成為全球數據資源競爭的有效手段
數據作為數字經濟的核心組成部分,對于塑造國家的核心競爭力至關重要。現階段,一個國家數據資源的多少與利用情況成為新形勢下國際競爭力的關鍵要素之一,能夠直接影響到該國在全球的經濟政治影響力,各主權國家均意識到數據資源背后所蘊含的戰略價值。為了更有效獲取數據資源、提升國際競爭力,全球各國已將數據安全治理納入政治議題,各國競相完善數據安全相關法律法規,在數據安全領域開展戰略博弈,保護或爭奪數據資源,以爭取更多的數據控制權。現階段全球數據安全治理機制已無法有效協調各主權國家之間差異化的治理需求與理念,全球數據安全治理體系面臨多元博弈的局面。
(三)國家政策持續加碼,推動數據安全能力和體系建設
2023年2月27日,中共中央、國務院印發的《數字中國建設整體布局規劃》中明確,數字中國建設要夯實數字基礎設施和數據資源體系“兩大基礎”,要筑牢可信可控的數字安全屏障。近幾年來,我國加快出臺數據安全方面的立法進程,加強防范數據安全風險。相繼出臺了《網絡安全法》《數據安全法》《密碼法》《關鍵信息基礎設施安全保護條例》《個人信息保護法》《數據安全管理辦法》等多項政策法規,以及《信息安全技術個人信息安全規范》《數據安全風險評估管理辦法》等行業規章制度,為數據安全行業的規范化發展、數據安全領域的技術發展和應用深化提供了指導和參考,為數據安全產業的發展提供了良好的政策保障。
(一)數據泄露事件呈現愈演愈烈之勢
當前,大數據、物聯網、人工智能等新興前沿技術快速發展,已經衍生出更具有持續性和隱蔽性的數據安全風險,給數字經濟安全保障工作帶來極大的挑戰。數據安全威脅的爆發性、危害性與日俱增,對國家安全、經濟發展、社會發展和個人隱私都帶來了嚴峻挑戰。在各行業數字化轉型的大背景下,互聯網承載的數據越來越豐富,數據作為新型生產要素,只有流動才能創造更大價值。然而,隨著跨行業、跨部門、跨層級、跨地域、跨系統、跨業務的數據采集、存儲、傳輸、使用等場景的與日俱增,數據在創造更大價值的同時,重要數據和個人隱私信息遭篡改、泄露等問題也越發突出,數據濫用、暗網交易等黑灰產活動日益猖獗,對個人財產、經濟運行、公共利益和國家安全都帶來了嚴重威脅。
(二)數據共享交易過程需要解決交易可信的問題
數字經濟經過不斷演進和發展,現已步入數據驅動的發展階段。數據開放利用可以將數據作為資產直接變現,實現數據增值和收益,繼而形成重要的競爭優勢。但由于相關數據共享交易規則不透明、法律法規約束不充分、數據安全防護技術措施不到位,海量數據在共享交易過程中必然潛伏著各種危機。一方面,濫用信息、倒賣個人數據的情況屢見不鮮,這是由于數據采集、流通與共享等環節缺乏個人信息收集使用的規范標準、數據使用主體的權責界定不清、數據安全保障制度與技術措施不完善,引發的違規使用個人信息或數據濫用的問題。另一方面,數據逆向分析等技術給數據脫敏清洗帶來更大的挑戰,即便是經過脫敏、匿名化處理后可視化的數據商品,依然存在被關聯分析得到原始數據信息的可能性。此外,由于數據交易和使用的合法性很難界定,阻礙了數據流通,而面對市場上數據供需矛盾突出的問題,地下數據交易市場規模卻不斷壯大,針對個人信息的違規收集和惡意利用等行為也變得日益猖獗。
(三)數字貿易背景下的數據跨境流動風險
隨著經濟全球化發展,國際合作交流更為頻繁,數據跨境傳輸、訪問和使用的頻次大幅提升,推動數據跨境流動不再局限于個人數據,政府和企業等所有主體都有數據跨境流動的可能。由于技術漏洞以及各國立法監管不完善等因素,數據跨境流動帶來的風險滲透于數據全生命周期的各個環節。在跨境電商、跨境普惠金融變得更加頻繁,虛擬世界與現實世界交互性加強的同時,海量數據不斷匯聚積累,這些數據遍布金融、能源、測繪、地圖、通信等各個行業。在數據跨境流動過程中,如何對海量數據進行全面梳理分類和有效監管仍是挑戰。數據規模龐大與技術環境實時變化疊加,增加了數據分類分級難度。數據價值評估基準不統一,對重復加工生成的衍生數據狀態判斷不明,使得數據跨境流動風險難以有效預測。此外,以數據為目標的跨境攻擊也變得更為頻繁,這些經由網絡攻擊獲取的數據,以黑灰產形式流入地下數據交易市場,將進一步加劇數據跨境流動風險。
當前,隨著數字經濟的蓬勃發展,中國始終堅持維護數據安全與促進數據開發利用并重,相互促進,來推動數據安全產業的快速發展、保障數字經濟的平穩運行。中國數據安全防護與治理的實踐經驗凝聚著政策、制度、技術等多方面的探索,其中數據安全防護與治理技術體系是實現數據安全保障的重要支撐。
(一)中國數據安全防護與治理體系架構
由于數據的廣泛性、分散性、多樣性、復雜性等特性,數據資產發現與梳理、數據分類分級、權限管控、數據合規、數據分析、數據流轉等成為眾多用戶共同面臨的難題。因此,數據安全防護與治理體系的建立要從管理體系、技術體系到運營體系形成一體化的系統工程。其中,管理體系更偏向于自上而下的組織、制度、流程建設,只有制度的完善才能讓組織上下全體實現數據安全的目標;技術體系主要是保障數據全生命周期的安全所采取的相應技術手段;運營體系旨在真正實現數據安全“事前、事中、事后”運營流程的過程,三者缺一不可。數據安全防護與治理應當是從建立組織架構→梳理應用需求→梳理數據資產→引進數據安全平臺技術→建設數據全流程管控→數據應用安全→數據安全運營的全面系統工程。
(二)中國數據安全防護與治理產品體系
隨著數字化轉型的推進,數據規模越來越龐大,數據交互越來越復雜,應用越來越多,數據安全面臨著合規監管要求、流動共享風險、數據基礎設施安全風險等方面的挑戰。中國數據安全防護與治理的主要做法也是圍繞滿足數據安全合規、保障數據流動共享中的安全和數據基礎設施安全來開展的。中國數據安全防護與治理市場分為數據安全防護與治理產品和數據安全防護與治理服務兩部分。其中,數據安全產品分為安全防護類產品、安全治理類產品以及特定場景數據保護產品。數據安全治理類產品是針對數據資產進行識別、分析和管控的產品,通過掃描企業資源來識別數據資產并確定其資產數據的敏感度,將數據進行分類分級,從而實施數據治理策略。數據安全防護類產品分為密碼類、檢測類、防護類、訪問控制類、管控類以及溯源類6個類別。特定場景的數據保護產品是指在數據共享交易、數據跨境、個人隱私保護、數據銷毀、數據災備等環境下的數據安全保護類產品。數據安全服務指從前期規劃設計咨詢、分類分級、合規性評估,到數據風險評估、數據安全運營、數據安全第三方評估與檢測等各個環節的數據安全服務工作。
(一)加強數據安全治理機制建設
構建數據基礎制度,把數據安全治理貫穿構建數據基礎制度體系全過程,從國家、地方、行業等多個層面加強數據安全制度建設。適應數字經濟發展要求,規范數據流通共享和數據權利義務的相關法律法規,進一步健全數據安全制度頂層設計,推動頂層設計與基礎制度相輔相成。在地方層面,重點圍繞公共數據采集、共享、開發應用等,依法出臺數據安全方面的地方性法規和地方政府規章。在行業層面,在能源、交通、金融、電信等關鍵信息基礎設施行業出臺行業性數據安全自律規范,推動制度細化完善。
(二)構建數據安全多方協同治理體系
數據安全必須加快構建由政府部門、企業、安全廠商、社會組織等共同參與的數據安全協同治理體系,共同保障數據安全,統籌推進數據要素資源的安全管理與安全運營的保障工作。積極發揮政府和行業協會等主體作用,加強對數據安全治理規則、相關標準制定的組織引導,強化各行業自我監管和跨行業協同監管,確保關鍵基礎設施領域重要數據的安全。明確各類平臺和企業等市場主體在數據安全治理方面的責任,落實數據流通交易聲明和承諾制,完善數據登記及披露制度。建立數字化思維,提升居民個體維護自身數據安全保護意識和素養,減少數據泄露風險。
(三)健全數據安全流動的風險評估工作
數字經濟時代數據安全事件頻發,開展數據安全風險評估是企業做好數據安全保護的重要環節,是主管部門落實監管職能的重要抓手,也是各方履行法定義務的必要程序。推動企業積極開展數據安全流動的風險評估和安全認證活動,幫助企業掌握數據安全總體狀況,發現數據安全隱患,確定防護策略及預防風險行為。依據相關法律法規及行業標準規范,全面識別企業數據資產,做好數據分類分級工作,對業務數據流動鏈路進行梳理和識別,判斷其合規性及風險性。數據安全風險評估的重點是要從業務角度,識別各個業務場景以及數據流動全鏈路過程,最后在評估基礎上采取安全措施,從而降低數據安全風險。
(四)加快數據安全技術的研發和推廣應用
加大對數據安全基礎理論、前沿技術和關鍵技術研究的支持力度,著力提升包括數據安全產品和服務在內的綜合技術能力,推動數據安全技術在各個領域的廣泛應用,以數據安全技術創新強化數據安全保障能力。推動數據安全核心技術攻關,加大在區塊鏈、可信計算等關鍵前沿技術領域的科研投入與人才儲備,打造相關技術領域的自主創新能力。構建數據安全產品體系,發展面向重點行業領域特色需求的精細化、專業型數據安全產品,推動關鍵產品多元化供給,提高產業鏈供應鏈韌性。探索完善數據確權、數據開放、數據交易相關技術,推動數據依法合理有效利用和有序流動,促進以數據為關鍵要素的數字經濟發展。加強政務數據安全保護,強化數字化公共服務平臺、重要行業領域數字基礎設施和新型基礎設施的數據安全防護能力。(劉娟 桑元 賽迪顧問股份有限公司 網絡與數據安全研究中心)
浙公網安備 33010502006954號 
