針對(duì)全球數(shù)據(jù)安全領(lǐng)域復(fù)雜的國(guó)際形勢(shì),中方于2020年9月8日提出《全球數(shù)據(jù)安全倡議》(以下簡(jiǎn)稱《倡議》),為數(shù)據(jù)安全治理提供藍(lán)圖。《倡議》期望通過(guò)一系列務(wù)實(shí)舉措與各方一起共同加強(qiáng)數(shù)據(jù)安全、個(gè)人隱私和國(guó)家安全的協(xié)調(diào)發(fā)展,促使各國(guó)更加重視網(wǎng)絡(luò)安全和數(shù)據(jù)安全建設(shè),推動(dòng)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)的發(fā)展與合作。在經(jīng)濟(jì)全球化的背景下,數(shù)據(jù)共享、流通和交易乃大勢(shì)所趨,如何保障數(shù)據(jù)安全,并以數(shù)據(jù)安全促進(jìn)全球數(shù)字經(jīng)濟(jì)健康持續(xù)發(fā)展,值得思考。
一、數(shù)據(jù)和數(shù)據(jù)安全的內(nèi)涵與外延正在發(fā)生變化在數(shù)字經(jīng)濟(jì)時(shí)代,數(shù)據(jù)作為新的生產(chǎn)資料被認(rèn)為是生產(chǎn)要素和新黃金,其重要性不言而喻。而且,流動(dòng)和共享成為數(shù)據(jù)的新特征。數(shù)據(jù)安全工作從以“系統(tǒng)”為中心的思路逐漸轉(zhuǎn)變?yōu)橐浴皵?shù)據(jù)”為中心的方法,全球的法律政策也轉(zhuǎn)變?yōu)橐詡€(gè)人信息及隱私保護(hù)為重點(diǎn),向全面數(shù)據(jù)安全治理擴(kuò)張。
應(yīng)用場(chǎng)景的變化催生了新的數(shù)據(jù)安全技術(shù)。傳統(tǒng)的技術(shù),例如加密、訪問(wèn)控制、數(shù)據(jù)庫(kù)安全審計(jì)、數(shù)據(jù)庫(kù)防火墻和數(shù)據(jù)防泄露等,只能發(fā)揮局部的安全防護(hù)作用,無(wú)法滿足數(shù)據(jù)流通、共享、交易等新應(yīng)用場(chǎng)景的安全需求。為此,安全多方計(jì)算(Secure Multi-Party Computation)、數(shù)據(jù)脫敏(Data Masking)、差分隱私(Differential Privacy)、同態(tài)加密(Homomorphic Encryption)、聯(lián)邦學(xué)習(xí)(Federated Learning)、零知識(shí)證明(Zero-Knowledge Proof)等新技術(shù),被提出并得到廣泛研究。雖然學(xué)術(shù)領(lǐng)域?qū)@些技術(shù)的研究已有了大量積累,但是,其在現(xiàn)實(shí)場(chǎng)景中的實(shí)用性和效率問(wèn)題還有待解決。目前,離這些技術(shù)的大范圍普及和落地使用,仍然還有相當(dāng)?shù)木嚯x。
數(shù)據(jù)蘊(yùn)含的價(jià)值越高就越易遭受到黑客攻擊,攻擊方式也更加復(fù)雜多樣。過(guò)去幾年,各種數(shù)據(jù)安全事件頻發(fā),例如某酒店上億客人隱私數(shù)據(jù)被泄露等,勒索軟件攻擊事件不斷,造成的危害愈發(fā)嚴(yán)重。這些逐利的不斷變化的數(shù)據(jù)安全威脅對(duì)數(shù)字經(jīng)濟(jì)秩序造成了極大的危害,需要強(qiáng)有力的安全防護(hù)手段和持續(xù)的安全運(yùn)營(yíng),才能有效抵御。
二、數(shù)據(jù)安全已成為數(shù)字經(jīng)濟(jì)時(shí)代最緊迫和最基礎(chǔ)的安全問(wèn)題在數(shù)字經(jīng)濟(jì)時(shí)代,大數(shù)據(jù)、云計(jì)算、人工智能、物聯(lián)網(wǎng)等技術(shù)廣泛應(yīng)用所產(chǎn)生的全球數(shù)據(jù)量呈指數(shù)級(jí)增長(zhǎng)。數(shù)據(jù)已變成重要的生產(chǎn)要素和基礎(chǔ)的戰(zhàn)略資源,其價(jià)值日益凸顯。同時(shí),全球數(shù)據(jù)安全風(fēng)險(xiǎn)與日俱增,數(shù)據(jù)安全與隱私保護(hù),數(shù)據(jù)存儲(chǔ)、使用與跨境流動(dòng)的風(fēng)險(xiǎn)等問(wèn)題,對(duì)各國(guó)數(shù)據(jù)安全治理能力提出了新的挑戰(zhàn)。
?。ㄒ唬┐髷?shù)據(jù)技術(shù)給數(shù)據(jù)安全防護(hù)帶來(lái)改變
大數(shù)據(jù)的“4V特性”,即數(shù)據(jù)量大(volume)、數(shù)據(jù)類型多(variety)、處理速度快(velocity)和價(jià)值密度低(value),顛覆了傳統(tǒng)的數(shù)據(jù)管理方式,使傳統(tǒng)的數(shù)據(jù)安全技術(shù)無(wú)法有效應(yīng)對(duì)大數(shù)據(jù)應(yīng)用場(chǎng)景下新出現(xiàn)的安全問(wèn)題。從技術(shù)維度看,網(wǎng)絡(luò)爬蟲、機(jī)器學(xué)習(xí)和人工智能等技術(shù)的發(fā)展使個(gè)人隱私數(shù)據(jù)的采集與分析變得越來(lái)越方便,個(gè)人隱私以及國(guó)家重要信息泄露,也逐漸成為非常嚴(yán)峻的全球問(wèn)題。從意識(shí)維度看,無(wú)論是各類企事業(yè)單位等組織,還是公民個(gè)人,對(duì)數(shù)據(jù)資產(chǎn)的重視程度遠(yuǎn)小于對(duì)實(shí)體資產(chǎn)的重視。可以說(shuō),數(shù)據(jù)安全意識(shí)的嚴(yán)重缺失,導(dǎo)致對(duì)數(shù)據(jù)資產(chǎn)的保護(hù)意識(shí)不強(qiáng),對(duì)各類風(fēng)險(xiǎn)隱患的警惕性較低,對(duì)安全技術(shù)的運(yùn)用不夠充分,對(duì)安全技術(shù)發(fā)展和管理體系升級(jí)的重視程度不夠,這些都使數(shù)據(jù)安全治理能力存在嚴(yán)重不足。
?。ǘ?shù)據(jù)資產(chǎn)問(wèn)題影響各類安全主體
數(shù)據(jù)作為一種重要資產(chǎn),給國(guó)家安全、國(guó)防安全、社會(huì)安全和人身安全等,帶來(lái)重要影響。針對(duì)大數(shù)據(jù)進(jìn)行的網(wǎng)絡(luò)攻擊,不僅僅停留在商業(yè)竊密,而是以企業(yè)重要資產(chǎn)、國(guó)家重要機(jī)密、重要基礎(chǔ)設(shè)施為首要目標(biāo),以期干預(yù)政治、操控輿論、顛覆政權(quán),甚至破壞或癱瘓電力、交通、能源等關(guān)鍵基礎(chǔ)設(shè)施,中斷工業(yè)生產(chǎn),影響軍事戰(zhàn)局。
此外,針對(duì)開放的海量數(shù)據(jù)的關(guān)聯(lián)分析,也可能引發(fā)商業(yè)機(jī)密甚至國(guó)家戰(zhàn)略性重要數(shù)據(jù)資源的泄露。數(shù)據(jù)的開放流通可用增加數(shù)據(jù)資源的商業(yè)價(jià)值和社會(huì)價(jià)值,但是,大數(shù)據(jù)融合開放也使數(shù)據(jù)權(quán)屬關(guān)系將變得更為復(fù)雜,在開放流通的各個(gè)環(huán)節(jié)都可能產(chǎn)生用戶數(shù)據(jù)濫用等法律風(fēng)險(xiǎn)。
?。ㄈ┯薪M織的網(wǎng)絡(luò)攻擊背景強(qiáng)大、難以發(fā)現(xiàn)
有組織有背景的惡意網(wǎng)絡(luò)攻擊是數(shù)據(jù)泄露的主要原因之一,也成為全球數(shù)據(jù)安全的主要風(fēng)險(xiǎn)。由于新冠肺炎疫情的影響,遠(yuǎn)程辦公模式增加了數(shù)據(jù)被惡意攻擊的可能性。這類攻擊者大都是有組織、集團(tuán)化的犯罪團(tuán)伙,甚至是具有國(guó)家背景的黑客團(tuán)隊(duì)和網(wǎng)絡(luò)戰(zhàn)部隊(duì)。大量APT攻擊、勒索軟件攻擊等,都是由以國(guó)家為背景的力量發(fā)起的。這些國(guó)家級(jí)網(wǎng)絡(luò)攻擊者利用大數(shù)據(jù)技術(shù)擴(kuò)大攻擊效果,發(fā)起大規(guī)模數(shù)量級(jí)的僵尸網(wǎng)絡(luò)攻擊,通過(guò)控制關(guān)鍵節(jié)點(diǎn)放大攻擊效果。大數(shù)據(jù)的價(jià)值密度低,使黑客可將攻擊隱藏在大數(shù)據(jù)中,使安全分析工具難以實(shí)現(xiàn)挖掘和分析的效力。
?。ㄋ模?shù)據(jù)共享與流通帶來(lái)的安全挑戰(zhàn)
在數(shù)字經(jīng)濟(jì)時(shí)代的應(yīng)用場(chǎng)景下,數(shù)據(jù)將會(huì)頻繁地跨系統(tǒng)、跨組織甚至跨境流動(dòng),特別是在數(shù)據(jù)共享環(huán)節(jié),傳統(tǒng)的數(shù)據(jù)訪問(wèn)控制技術(shù)無(wú)法解決跨組織的數(shù)據(jù)授權(quán)管理和數(shù)據(jù)流向追蹤問(wèn)題,僅靠書面合同或協(xié)議難以實(shí)現(xiàn)對(duì)數(shù)據(jù)接收方的數(shù)據(jù)處理活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)控和審計(jì),極易造成數(shù)據(jù)泄露和數(shù)據(jù)濫用的風(fēng)險(xiǎn)。因?yàn)榘踩只哦桓伊魍ê褪褂脭?shù)據(jù)的情況,將使許多部門對(duì)可能關(guān)系到公共安全、社會(huì)穩(wěn)定和公共利益的數(shù)據(jù),能不共享就盡量不共享,能不公開就盡量不公開,甚至搞“一刀切”,影響了數(shù)據(jù)效用的發(fā)揮。此外,國(guó)際數(shù)據(jù)跨境流動(dòng)可能引發(fā)用戶數(shù)據(jù)被泄露、濫用和誤用等問(wèn)題,也可能會(huì)給企業(yè)和國(guó)家?guī)?lái)技術(shù)管理、資產(chǎn)管理和組織管理方面的挑戰(zhàn)。而且,跨境數(shù)據(jù)的承載介質(zhì)多樣、呈現(xiàn)形態(tài)各異、應(yīng)用較為廣泛,數(shù)據(jù)所在國(guó)的政策和法律又存在差異,這導(dǎo)致數(shù)據(jù)所有者和使用者的權(quán)限模糊,數(shù)據(jù)的應(yīng)用開發(fā)存在數(shù)據(jù)被濫用等風(fēng)險(xiǎn)。
?。ㄎ澹?shù)據(jù)安全成為國(guó)際性、整體性問(wèn)題
一些國(guó)家以地緣政治和意識(shí)形態(tài)先行,用數(shù)字安全的名義發(fā)展自身數(shù)字攻防能力,擾亂全球數(shù)字經(jīng)濟(jì)規(guī)則,同時(shí),以各種理由阻礙聯(lián)合國(guó)制定網(wǎng)絡(luò)空間規(guī)則,又利用自身在網(wǎng)絡(luò)空間的優(yōu)勢(shì)地位,以單邊主義的方法,對(duì)非本國(guó)數(shù)字經(jīng)濟(jì)企業(yè)積極實(shí)施打壓,破壞全球供應(yīng)鏈安全。而且,這些國(guó)家通過(guò)“長(zhǎng)臂管轄”制度,違規(guī)獲取他國(guó)用戶數(shù)據(jù)。
此外,針對(duì)有關(guān)數(shù)據(jù)安全的全球性法律可能會(huì)沖擊各國(guó)執(zhí)法機(jī)構(gòu)的執(zhí)法效力。例如,由于GDPR的長(zhǎng)臂管轄原則,使很多企業(yè)被納入其管轄范圍之內(nèi),且該條例實(shí)質(zhì)上擴(kuò)大了歐盟監(jiān)管機(jī)構(gòu)對(duì)中國(guó)企業(yè)的影響。
三、加強(qiáng)數(shù)據(jù)安全治理的對(duì)策建議
鑒于上述數(shù)據(jù)安全現(xiàn)狀、存在問(wèn)題和面臨的挑戰(zhàn),應(yīng)該從法規(guī)標(biāo)準(zhǔn)、技術(shù)平臺(tái)、產(chǎn)業(yè)發(fā)展、能力建設(shè)、解決方案和國(guó)際合作等方面綜合應(yīng)對(duì)。
?。ㄒ唬┴酱晟茢?shù)據(jù)安全標(biāo)準(zhǔn)規(guī)范和實(shí)施細(xì)則
我國(guó)高度重視數(shù)據(jù)安全,諸多法律、政策和標(biāo)準(zhǔn)先后發(fā)布或立項(xiàng)。2020年7月3日,《數(shù)據(jù)安全法(草案)》公開征求意見,明確了應(yīng)采用數(shù)據(jù)安全治理的方法,為數(shù)據(jù)安全治理實(shí)踐提供法律支撐。《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法(草案)》和《個(gè)人信息保護(hù)法(草案)》等上位法,給出了通用的數(shù)據(jù)安全原則和基本方法。接下來(lái),各行業(yè)各領(lǐng)域和企業(yè)組織需要根據(jù)自己的實(shí)際情況和安全需求,制定包括個(gè)人信息、重要數(shù)據(jù)、數(shù)據(jù)跨境等方面的管理、技術(shù)標(biāo)準(zhǔn)與實(shí)施細(xì)則,內(nèi)容覆蓋數(shù)據(jù)全生命周期的數(shù)據(jù)安全要求,包括分類分級(jí)、去標(biāo)識(shí)化、風(fēng)險(xiǎn)評(píng)估等內(nèi)容,指導(dǎo)數(shù)據(jù)安全治理的具體實(shí)踐,使數(shù)據(jù)安全治理措施落實(shí)到位,有法可依,有規(guī)可循。這方面的工作,急需政產(chǎn)學(xué)研用各方緊密協(xié)同,加快推進(jìn)相關(guān)標(biāo)準(zhǔn)規(guī)范和條令條例的制定。
?。ǘ┙⒕哂姓帕Φ臄?shù)據(jù)安全服務(wù)、監(jiān)管與審計(jì)平臺(tái)需要建立具有政府公信力的權(quán)威大數(shù)據(jù)平臺(tái),提供專門的數(shù)據(jù)安全服務(wù)、監(jiān)管和審計(jì)業(yè)務(wù)。例如,建立個(gè)人信息大數(shù)據(jù)平臺(tái),并采取加密、匿名化、訪問(wèn)控制和數(shù)據(jù)脫敏等安全保障措施,為需要使用個(gè)人信息的應(yīng)用或組織安全地提供數(shù)據(jù);當(dāng)各類應(yīng)用平臺(tái)服務(wù)商需要使用個(gè)人信息時(shí),只能向個(gè)人信息大數(shù)據(jù)平臺(tái)提出申請(qǐng),這樣就將個(gè)人信息的使用模式從目前的多點(diǎn)訪問(wèn)模式轉(zhuǎn)變成集中訪問(wèn)模式,為個(gè)人信息保護(hù)提供切實(shí)的安全保障。在監(jiān)管層面,通過(guò)這樣的權(quán)威大數(shù)據(jù)平臺(tái),可建立國(guó)家級(jí)的數(shù)據(jù)安全監(jiān)管與審計(jì)體系,支持對(duì)數(shù)據(jù)流通的路徑溯源和安全審計(jì),以及實(shí)現(xiàn)對(duì)數(shù)據(jù)主權(quán)的確權(quán)。
?。ㄈ┮哉咭龑?dǎo)數(shù)據(jù)安全產(chǎn)業(yè)創(chuàng)新布局
通過(guò)政策指導(dǎo)、項(xiàng)目扶持、需求牽引等方式相結(jié)合,引導(dǎo)企業(yè)加強(qiáng)數(shù)據(jù)安全保護(hù)產(chǎn)品和解決方案的創(chuàng)新研發(fā)。建議國(guó)家各部委、地方政府在設(shè)立科研與產(chǎn)業(yè)化項(xiàng)目、應(yīng)用示范項(xiàng)目時(shí),重點(diǎn)支持?jǐn)?shù)據(jù)分類分級(jí)、數(shù)據(jù)共享安全監(jiān)測(cè)、細(xì)粒度數(shù)據(jù)資源訪問(wèn)控制、共享數(shù)據(jù)脫敏及去標(biāo)識(shí)化、跨域多模式網(wǎng)絡(luò)身份認(rèn)證、數(shù)據(jù)標(biāo)記及追蹤溯源、數(shù)據(jù)安全威脅監(jiān)控等技術(shù)的研發(fā)、成果轉(zhuǎn)化和應(yīng)用示范。而且,需要發(fā)展數(shù)據(jù)安全測(cè)評(píng)、培訓(xùn)、認(rèn)證產(chǎn)業(yè),為企業(yè)或組織提供數(shù)據(jù)安全能力成熟度評(píng)估支撐,特別是在大數(shù)據(jù)開發(fā)利用的相關(guān)政策中,明確采集和處理不同數(shù)據(jù)所需要的數(shù)據(jù)安全能力成熟度等級(jí)要求,并將相關(guān)企業(yè)或組織納入測(cè)評(píng)范圍。
(四)讓數(shù)據(jù)安全成為組織的競(jìng)爭(zhēng)力
在數(shù)據(jù)安全領(lǐng)域,通過(guò)建立科學(xué)的治理模式,讓一個(gè)組織能處理的數(shù)據(jù)類型和規(guī)模,與其數(shù)據(jù)安全能力水平掛鉤。例如,健康醫(yī)療行業(yè)迫切需要利用大數(shù)據(jù)技術(shù)大幅提升技術(shù)和業(yè)務(wù)水平,而這類數(shù)據(jù)敏感程度高,因而,行業(yè)主管部門可以規(guī)定,哪些組織可以處理哪些類型的數(shù)據(jù),或能夠處理何種規(guī)模數(shù)據(jù)的組織必須證明其達(dá)到了相應(yīng)的數(shù)據(jù)安全能力級(jí)別要求。這樣,當(dāng)一個(gè)組織想要使用健康醫(yī)療數(shù)據(jù)開展研究或拓展業(yè)務(wù)之前,需要先具備相應(yīng)的數(shù)據(jù)安全能力。因此,數(shù)據(jù)安全能力越高的企業(yè),就意味著有越大的機(jī)會(huì)處理更多類型和數(shù)量的數(shù)據(jù),而不是增加成本。通過(guò)這樣的治理方式,引導(dǎo)企業(yè)或組織積極提升自己的數(shù)據(jù)安全能力,實(shí)現(xiàn)業(yè)務(wù)競(jìng)爭(zhēng)力與安全的正向掛鉤,從而帶動(dòng)整個(gè)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展水平逐漸提高。
?。ㄎ澹暮弦?guī)與運(yùn)營(yíng)兩個(gè)維度打造數(shù)據(jù)安全解決方案打造“合規(guī)+運(yùn)營(yíng)”雙輪驅(qū)動(dòng)的數(shù)據(jù)安全解決方案。一方面,根據(jù)網(wǎng)絡(luò)安全和數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn),通過(guò)支持?jǐn)?shù)據(jù)全生命周期安全保障的大數(shù)據(jù)平臺(tái)或安全組件,為大數(shù)據(jù)、數(shù)字經(jīng)濟(jì)應(yīng)用場(chǎng)景特別是數(shù)據(jù)的跨系統(tǒng)、跨組織、跨境的共享、流通和交易的應(yīng)用場(chǎng)景,從合規(guī)維度提供完備的數(shù)據(jù)安全保障能力。
另一方面,通過(guò)大數(shù)據(jù)安全分析能力的本地化賦能,以安全運(yùn)營(yíng)或安全服務(wù)中心為載體,從運(yùn)營(yíng)維度抵御持續(xù)變化的高級(jí)安全威脅,特別是針對(duì)數(shù)據(jù)的安全威脅,大幅度降低數(shù)據(jù)被竊取的安全風(fēng)險(xiǎn)。
?。┤蛞暯窍碌臄?shù)據(jù)安全治理需要弘揚(yáng)多邊主義全球數(shù)字經(jīng)濟(jì)浪潮下,數(shù)據(jù)安全問(wèn)題沒(méi)有國(guó)界,沒(méi)有一個(gè)國(guó)家能夠置之度外、獨(dú)善其身。各國(guó)需要普遍參與并討論出一套普適性的規(guī)則,以開放包容的姿態(tài),管控分歧,不斷增進(jìn)彼此信任,建立數(shù)據(jù)安全治理國(guó)際合作機(jī)制,為全球數(shù)字經(jīng)濟(jì)發(fā)展?fàn)I造公平的競(jìng)爭(zhēng)環(huán)境。我國(guó)可以在政策、法規(guī)、標(biāo)準(zhǔn)和技術(shù)等多方面積極主導(dǎo)和參與,構(gòu)建和壯大自己的數(shù)據(jù)流通“朋友圈”,只有各國(guó)共商、共建、共享,才是解決全球數(shù)據(jù)安全問(wèn)題的正確路徑。